Академический Документы
Профессиональный Документы
Культура Документы
2014-02
http://hdl.handle.net/10016/22997
AUDITORA INFORMTICA Y
APLICACIN A UN CASO EN UNA
EMPRESA REAL
EL TRIBUNAL
Presidente:
Vocal:
Secretario:
VOCAL
SECRETARIO PRESIDENTE
Agradecimientos
Gracias a todos.
Contenido
1. Resumen ................................................................................................................................10
2. Abstract ..................................................................................................................................11
8.3. Organigrama..........................................................................................................................66
19. Anexo IV. Reportes con herramientas de deteccin de vulnerabilidades ...................... 106
Para realizar esto, nos apoyaremos en los siguientes marcos: LOPD, ISO 27001 y
COBIT 4.1, aunque especialmente usaremos la norma 27001 gracias a los controles que
posee para su implementacin. Gracias a estos mecanismos, podremos seguir un guin
sobre las diferentes pautas a realizar y las recomendaciones a seguir para conseguir reunir
toda la informacin necesaria y as poder detectar posibles deficiencias.
Within the audit, it will be discussed both the theory part of what an audit is, until
the realization of a detailed study of the company in terms of physical security and
security to hold in procedures and systems.
To accomplish this, we'll rely on the following frames: LOPD, ISO 27001 and COBIT
4.1, although we use especially ISO 27001 thanks to its checks for implementation. With
these techniques, we can follow a script about the different controls to be made and the
recommendations for gathering all the necessary information and be able to identify
possible deficiencies.
Once concluded the audit process, we'll make a report on any deficiencies found as
well as the most appropriate recommendations to resolve them.
The project doesn't look up errors to blame or find responsible, but is intended to
be a guide to improvement of security every way.
Desde que las diversas entidades de negocio de una empresa se fueron apoyando
conjuntamente en la informtica, el proceso de la auditora toma un valor indispensable.
Se tienen que cumplir una serie de normas en lo referente tanto a la seguridad fsica como
a la seguridad de las operaciones y procedimientos internos.
A veces suele ocurrir que estos procesos sobre la seguridad son esquivados o se
buscan soluciones parche para salir del paso, en vez de buscar soluciones acadmicas y
con vistas a solucionar posibles problemas futuros. En la medida en la que unas veces por
prisas y otras por desconocimiento, a veces se adoptan soluciones en las que incurrimos
en el uso de malas prcticas.
Con estas dos partes, evaluamos un presupuesto sobre los costes de realizar dicha
auditora teniendo en cuenta las condiciones ideales y evaluaremos un informe de
recomendaciones.
4.1. Introduccin
4.1.1. Definicin
4.1.4. Regulacin
Existe por tanto, este vaco sobre quin debe hacer las auditoras. A pesar de esto,
existen diferentes metodologas a seguir que nos puedan asegurar cumplir con los
objetivos de seguridad.
Esta auditora se lleva a cabo dentro de la propia empresa, realizada por personal
que pertenece a la empresa auditada. A pesar de ser realizada internamente, esta debe
realizarse siempre siendo real e independiente.
Todas estas recomendaciones anteriores son necesarias, si bien existen otras dos que son
aconsejables:
Eleccin de la empresa
Como hemos indicado en la auditora interna, uno de sus puntos desfavorables son
los lazos que puedan existir entre los auditores con personal del departamento de
informtica. Esto no debe ocurrir en este caso.
Proceso de contratacin
La empresa auditada, deber tener en cuenta en el momento de contratar a la
empresa auditora varios factores como: mbito, alcance, duracin, resultados, coste,...
Es indispensable cerrar bien las condiciones del contrato, as como el
aseguramiento del cumplimiento de los compromisos.
Junto con los aspectos anteriores, tambin deber tener conocimientos sobre
tcnicas de evaluacin de riesgos, muestreo, clculos por operacin, recopilacin de
informacin, anlisis e interpretacin de datos,...
(Jazmin, 2009)
Alcance
Objetivos
El auditor debe analizar con gran exactitud los requerimientos del cliente y deber
hacer cumplir todos los procedimientos para alcanzar esos objetivos. Dentro de los
objetivos diferenciaremos entre dos:
Objetivos generales
Objetivos especficos
A partir del estudio inicial, se determinan los recursos humanos y materiales que
se requieren para realizar la auditora:
Recursos materiales:
la mayora sern proporcionados por la empresa auditada
software y hardware: paquetes de utilidades de auditora y herramientas para
llevarla a cabo como PC, impresora,...
Recursos humanos:
depender de la profundidad y reas a auditar
Revisin
anlisis de la propia informacin y la obtenida en la auditora
entrevistas
- con mtodo preestablecido y preparacin
- gran elaboracin de preguntas y orden
- checklist: cuestionario minucioso, ordenado y estructurado por materias
simulacin
Herramientas
cuestionario general
cuestionario-checklist
simuladores (aplicaciones generadores de datos)
paquetes de Auditora (generadores de programas)
- rastrear los caminos de los datos
- utilizados principalmente en auditoras no de informtica
- paquetes de parametrizacin de libreras
4.5.1. LOPD
(BOE, 1999)
Derecho de Acceso. Informar gratuitamente de todos los datos que se poseen sobre
el interesado.
Derecho de Rectificacin. Corregir los datos que sean inexactos o incompletos.
Derecho de Cancelacin. Bloqueo de los datos cuando no sean adecuados
impidiendo su tratamiento.
Derecho de Oposicin. Cese del tratamiento de los datos en casos con finalidad
comercial o cuando no es necesario su consentimiento para el tratamiento.
(INTECO, 2014)
La LOPD no tiene unos controles asociados que nos permitan evaluar con certeza si
se cumplen las obligaciones de la ley, as que nos apoyaremos para su comprobacin en la
herramienta "Evala" de la AEPD. As pues, enumeraremos las normas que se siguen
diferenciados en varios puntos:
(AEPD, 2013)
Registro de Ficheros
En EMPRESA_X, se tratan datos de carcter personal necesarios para las
reparaciones de los productos. Dicho tratamiento de datos personales se realiza en
varios ficheros, los cuales estn dentro de la poltica de respaldo y se mantienen en
el tiempo como indica la ley.
Tambin se almacenan datos sobre datos personales relativos a concursos o
promociones que se realizan en el departamento de marketing. Igualmente, se
guardan dichos datos.
Otros documentos son los relativos a los empleados de la empresa en el
departamento de recursos humanos.
Informacin y Consentimiento
Los datos relacionados con clientes son obtenidos directamente por los empleados
de EMPRESA_X mediante una llamada telefnica. La recogida de datos se hace con
el consentimiento de la persona afectada informndole sobre el contenido de la
ley.
No se recogen datos personales protegidos, como sexo, religin, afiliacin
poltica,... ni comisin de infracciones penales o administrativas. Tampoco se
recopilan datos sobre menores de edad.
Los datos tambin son tratados por terceras empresas, en el caso de EMPRESA_X
son las empresas de mensajera y reparaciones las que colaboran.
Sobre el proceso de toma de datos, se informa a la persona a la que pertenecen, de
los aspectos bsicos de proteccin de datos va telefnicamente. Toda esta
informacin es grabada telefnicamente y la persona afectada es avisada
previamente de este hecho.
Cuando se reciben datos de un tercero, se informa a la persona de los aspectos
sobre la proteccin de datos en el plazo mximo de 3 meses a partir de la recogida.
Principios
Los datos recogidos son los estrictamente necesarios para las finalidades propias
de la organizacin de las que se informa al interesado en la recogida.
Los datos recogidos se almacenan hasta que concluya la obligacin legal y acabe
sta y se bloquearn hasta su borrado definitivo.
Se dispone de un sistema para corregir errores y cancelar los datos cuando ya no
se necesiten. Existe un mtodo para la notificacin de la cancelacin o rectificacin
en caso de modificar los datos en un tercero.
Respecto a los datos personales, se conoce su deber de secreto y confidencialidad y
se har hincapi de su importancia a las personas que traten la informacin.
Derechos A.R.C.O.
Se conocen los derechos que la LOPD otorga a las personas y cuyos datos trata.
Se facilitan los procedimientos para facilitar y garantizar el ejercicio de los
derechos de oposicin, acceso, rectificacin y cancelacin. Entre ellos, cmo se
realizarn y los tiempos en llevarse a cabo. Dichos derechos se realizarn cuando
quiera el afectado y sern gratuitos.
Ser posible el uso de los servicios anteriores en procesos automatizados siempre
previa identificacin del afectado.
Se sigue un procedimiento sobre qu realizar en el caso de solicitud de acceso a los
datos personales. Se conoce quin tiene la posesin de los datos, cmo los ha
obtenido y si se han comunicado a terceros. Se tiene el compromiso de contestar
en 1 mes y ofrecer el acceso en 10 das.
Seguridad
El nivel mximo de seguridad de los ficheros tratado es bajo y se adoptan las
medidas de seguridad previstas en el reglamento de la LOPD.
Se dispone de un documento de seguridad con las medidas relativas a la LOPD.
Los empleados tienen el conocimiento sobre las obligaciones de seguridad.
Cuando se contrata o disea un software, se verifica que se cumplen las medidas
de seguridad.
Respecto a los datos personales en soportes no automatizados, se procede a su
custodia y salvaguarda.
Presentacin
Objetivos
Comit de Seguridad
Responsable de Seguridad
Sus funciones sern las de implantar, coordinar y controlar las medidas definidas
en las polticas, estndares y procedimientos de seguridad de la informacin.
Copias de Seguridad
Para garantizar el debido acceso a Internet y sus recursos por parte de los
usuarios, se seguirn las reglas siguientes:
Los virus actan de muy diversas formas, pero la mayora de las veces
aprovechan debilidades del sistema operativo, fallos de diseo que se suelen
denominar agujeros de seguridad.
El Spam es ilegal, por lo que podemos emprender acciones legales contra sus
emisores, pero probablemente abandonemos, ya que las direcciones de origen que se usan
siguen complejos redireccionamientos, o se trata de empresas en otros pases, o no
reconocen que sea suyo,...
Podemos tambin intentar que dejen de enviarnos mensajes utilizando ese vnculo
tan ad hoc que casi todos ponen al final del mensaje y que dice algo como: "Si desea
que no le enviemos ms mensajes, pulse aqu..."
Con muchos de los remitentes esto funcionar, pero muchos otros usan ese vnculo
para hacernos caer en la trampa! Usan el vnculo para asegurarse de que la
direccin est viva.
Lo mejor en estos casos es eliminar los mensajes, para lo que las reglas de los
clientes de correo resultan muy tiles, al hacer que se eliminen automticamente
cuando se reciben. Podemos aadir fcilmente una regla para la direccin desde la
que hemos recibido un mensaje no deseado, de forma que se elimine cualquier
mensaje que se reciba en el futuro desde esa direccin. Problema: las empresas
van cambiando de direccin porque saben que se usan estas reglas.
Para garantizar el debido uso del correo electrnico por parte de los usuarios, se
seguirn las siguientes reglas:
CUMPLIMIENTO
CONTROL ? OBSERVACIONES
A.5
Poltica de seguridad
A.5.1
Poltica de seguridad de la informacin
Objetivo: Proporcionar indicaciones para la gestin y soporte de la seguridad de la informacin de acuerdo con
los requisitos empresariales y con la legislacin y las normativas aplicables.
A.5.1.1 La empresa dispone de un documento de poltica de seguridad de la
Documento de poltica de informacin que se actualiza regularmente y que es accesible por los
seguridad de la informacin empleados.
A.5.1.2
El documento de seguridad de la informacin se actualiza regularmente o
Revisin de la poltica de
cuando existe algn cambio importante.
seguridad de la informacin
Tabla 2: Controles_A5
A.6
Aspectos organizativos de la seguridad de la informacin
A.6.1
Organizacin interna
Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin.
A.6.1.1 Existe un comit de seguridad encargado de realizar sugerencias o
Comit de gestin de seguridad detectar posibles deficiencias, las cules sern notificadas a los
de la informacin trabajadores.
A.6.1.2
El comit de seguridad se rene peridicamente para evaluar posibles
Coordinacin de la seguridad
cambios teniendo en cuenta los roles y funciones de cada trabajador.
de la informacin
A.6.1.3
Asignacin de Las responsabilidades de cada trabajador relativas a la seguridad de la
informacin son establecidas por el comit.
responsabilidades relativas a la
Tabla 3: Controles_A6
A.7
Gestin de activos
A.7.1
Responsabilidad sobre los activos
Objetivo: Conseguir y mantener una proteccin adecuada de los activos de la organizacin.
A.7.1.1
Inventario de activos Existe un inventario sobre todos los activos de la empresa identificados en
un fichero actualizable. (*) Poltica de activos (16.1)
A.7.1.2
Propiedad de los activos Cada uno de los activos o recursos de informacin tienen un propietario
asignado, ya sea persona fsica o departamento.
A.7.1.3
Uso aceptable de los Quedan identificadas y documentadas las reglas para el uso aceptable de la
informacin y de los activos (4.5.6) asociados con los recursos.
activos
A.7.2
Clasificacin de la informacin
Objetivo: Asegurar que la informacin recibe un nivel adecuado de proteccin.
A.7.2.1 La informacin est clasificada segn su valor, requisitos legales,
Directrices de clasificacin sensibilidad y criticidad para la organizacin.
A.7.2.2
La informacin sensible est debidamente etiquetada segn un sistema de
Etiquetado y manipulado
clasificacin esquemtica para la organizacin.
de la informacin
Tabla 4: Controles_A7
A.8
Seguridad ligada a los recursos humanos
A.8.1
Antes del empleo
Objetivo: Asegurar que los empleados, los contratistas y los terceros entienden sus responsabilidades, y son
Tabla 5: Controles_A8
A.9
Seguridad fsica y ambiental
A.9.1
reas seguras
Objetivo: Prevenir los accesos fsicos no autorizados, los daos y las intromisiones en las instalaciones y en la
informacin de la organizacin.
Cada uno de los puntos donde se encuentran alojados recursos de
A.9.1.1
Permetro de seguridad fsica informacin se encuentran debidamente securizados mediante puertas,
muros, o puntos con control de acceso.
A.9.1.2 Las reas seguras estn securizadas de forma que slo pueda acceder
Controles fsicos de entrada personal autorizado.
A.9.1.3
Seguridad de oficinas, Existen las diferentes medidas de seguridad de acceso sobre oficinas,
despachos, salas,...
despachos e instalaciones
A.9.1.4
Proteccin contra las
amenazas externas y de Existe una proteccin contra elementos naturales tales como: fuego,
inundacin, explosin,...
origen ambiental
A.9.1.5
Trabajo en reas seguras Existen las medidas de seguridad fsica necesarias para trabajar en las
reas seguras.
A.9.1.6 Existe un control sobre la seguridad fsica en torno a las zonas de carga y
reas de acceso pblico y de descarga, para que el personal no autorizado no pueda acceder.
Tabla 6. Controles_A9
A.10
Gestin de comunicaciones y operaciones
A.10.1
Responsabilidades y procedimientos de operacin
Objetivo: Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la informacin.
A.10.1.1
Documentacin de los La documentacin sobre los procesos y procedimientos se realiza
peridicamente y est a disposicin de los empleados.
procedimientos de operacin
A.10.1.2
Gestin de cambios Los cambios producidos en los recursos y los sistemas de tratamiento
de informacin son controlados.
A.10.1.3
Segregacin de tareas Las tareas y reas de responsabilidad estn definidas, para que no se
produzcan fugas o accesos no autorizados a la informacin.
A.10.1.4
Se separan los recursos de desarrollo, de pruebas y de operacin para
Separacin de los recursos de
reducir los accesos no autorizados o indebidos.
desarrollo, prueba y operacin
A.10.2
Gestin de la provisin de servicios por terceros
Objetivo: Implantar y mantener el nivel apropiado de seguridad de la informacin en la provisin del servicio, en
consonancia con los acuerdos de provisin de servicios por terceros.
Se comprueban que los controles de seguridad, definiciones de los
A.10.2.1
Provisin de servicios servicios y los niveles de provisin relacionados con terceros han sido
implantados y mantenidos.
A.10.2.2
Supervisin y revisin de los Los servicios, informes y registros proporcionados por un tercero son
revisados regularmente mediante auditoras.
servicios prestados por terceros
A.10.2.3
Gestin de cambios en los Se gestionan los cambios en la provisin del servicio, mantenimiento,
mejora de polticas y controles de seguridad.
servicios prestados por terceros
A.10.3
Planificacin y aceptacin del sistema
Objetivo: Minimizar el riesgo de fallos de los sistemas.
A.10.3.1
Gestin de capacidades Se supervisan regularmente las actividades de los empleados sobre los
recursos, realizando proyecciones de requisitos futuros.
A.10.3.2
Aceptacin del sistema Se establecen las condiciones que deben cumplir los nuevos recursos,
actualizaciones o mejoras sobre los procesos de gestin de los sistemas.
A.10.4
Proteccin contra cdigo malicioso y descargable
Tabla 7. Controles_A10
A.11
Control de acceso
A.11.1
Requisitos de negocio para el control de acceso
Objetivo: Controlar el acceso a la informacin.
A.11.1.1
Poltica de control de acceso Se lleva a cabo una poltica de control de acceso basada en los intereses
de la organizacin.
A.11.2
Gestin de acceso de usuario
Objetivo: Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los sistemas.
Existen unos controles para: alta, modificacin y baja de los usuarios
A.11.2.1
Registro de usuario en los diferentes sistemas de control y de informacin. (*)
Procedimientos (16.6)
A.11.2.2
Gestin de privilegios La asignacin de privilegios est restringida y controlada.
A.11.2.3
Gestin de contraseas de La gestin de contraseas es un proceso controlado. (*) Poltica de
Contraseas (16.7)
usuario
A.11.2.4
Revisin de los derechos de La direccin debe revisar los permisos de acceso de los usuarios
regularmente.
acceso de usuario
A.11.3
Responsabilidades de usuario
Objetivo: Prevenir el acceso de usuarios no autorizados, as como evitar el que se comprometa o se produzca el
robo de la informacin o de los recursos de procesamiento de la informacin.
A.11.3.1
Uso de contrasea Se instruye al usuario y se aplican requerimientos de contraseas
conforme a las buenas prcticas.
A.11.3.2
Equipo de usuario desatendido
Los equipos desatendidos tienen la proteccin suficiente.
A.11.3.3
Poltica de puesto de trabajo El puesto de trabajo est libre de utensilios intiles, y se establece una
poltica sobre soportes extrables.
despejado y pantalla limpia
A.11.4
Control de acceso a la red
Objetivo: Prevenir el acceso no autorizado a los servicios en red.
A.11.4.1
Los usuarios slo tienen permisos para los recursos que le son
Poltica de uso de los servicios
necesarios. (*) Permisos de Usuario (16.8)
en red
A.11.4.2 Se lleva a cambo un procedimiento para que un usuario fuera de la
Autenticacin de usuario para organizacin pueda acceder a los recursos. (*) Poltica de Acceso
conexiones externas Remoto (16.9)
A.11.4.3
Cada uno de los equipos conectados a la red se encuentra registrado y
Identificacin de los equipos en
localizado.
las redes
A.11.4.4 Se controla el acceso fsico y lgico a los puertos de diagnstico y
Auditora informtica y aplicacin a un caso en una empresa real
Captulo 4
39
Diagnstico remoto y proteccin configuracin.
de los puertos de configuracin
A.11.4.5
Segregacin en las redes Tanto los grupos de servicio como los usuarios y sistemas en la red
estn segregados.
A.11.4.6 Se establece un control y registro sobre las conexiones de cada usuario
Control de la conexin a la red en la red. (*) Control de Red por Usuario (16.10)
A.11.4.7 Se establece un control y seguimiento sobre las rutas que existen entre
Control de encaminamiento los diferentes recursos con la fuente de informacin para evitar usos
(routing) de red indebidos.
A.11.5
Control de acceso al sistema operativo
Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.
A.11.5.1
Procedimientos seguros de Los accesos a los diferentes sistemas operativos se controlan y son
seguros.
inicio de sesin
A.11.5.2
Cada usuario tiene un identificador propio que le sirve para
Identificacin y autenticacin de
autenticarse en los diferentes sistemas.
usuario
A.11.5.3
Sistema de gestin de Los sistemas de control de contraseas son seguros y robustos, y
pueden ser modificados interactivamente.
contraseas
A.11.5.4 Se controla el acceso a ciertas aplicaciones o programas que puedan
Uso de los recursos del sistemas invalidar la seguridad de los recursos.
A.11.5.5
Desconexin automtica de Las sesiones inactivas durante un periodo indefinido se cierran solas.
sesin
A.11.5.6
Limitacin del tiempo de Se establecen para ciertas aplicaciones crticas la limitacin de uso en
el tiempo.
conexin
A.11.6
Control de acceso a las aplicaciones y a la informacin
Objetivo: Prevenir el acceso no autorizado a la informacin que contienen las aplicaciones.
A.11.6.1
Restriccin del acceso a la Establecemos un control para restringir el acceso a la informacin de
ciertas aplicaciones de acuerdo con la poltica de control.
informacin
A.11.6.2
Aislamiento de sistemas Los entornos sensibles estn en lugares aislados y tienen accesos
restringidos.
sensibles
A.11.7
Ordenadores porttiles y teletrabajo
Objetivo: Garantizar la seguridad de la informacin cuando se utilizan ordenadores porttiles y servicios de
teletrabajo.
A.11.7.1 Se establecen las respectivas medidas de seguridad para entornos
Ordenadores porttiles y mviles, ya sean ordenadores porttiles y dispositivos mviles. (*)
comunicaciones mviles Seguridad en Dispositivos Mviles (16.11)
A.11.7.2
Teletrabajo Se establece una poltica sobre las directrices a seguir en el uso del
teletrabajo.
Tabla 8. Controles_A11
A.12
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
A.12.1
Requisitos de seguridad de los sistemas de informacin
Objetivo: Garantizar que la seguridad est integrada en los sistemas de informacin.
A.12.1.1 Cuando se disean o incorporan nuevos sistemas de informacin
Anlisis y especificacin de los a la organizacin, se produce un anlisis y especificacin sobre los
requisitos de seguridad requisitos de seguridad necesarios.
A.12.2
Tratamiento correcto de las aplicaciones
Objetivo: Evitar errores, prdidas, modificaciones no autorizadas o usos indebidos de la informacin en las
aplicaciones.
A.12.2.1 Se garantiza que la entrada de los datos en las aplicaciones es
Auditora informtica y aplicacin a un caso en una empresa real
Captulo 4
40
Validacin de los datos de entrada validada.
A.12.2.2
Control del procesamiento interno En las aplicaciones se realiza la comprobacin de validacin a fin
de evitar acciones malintencionadas.
A.12.2.3
Integridad de los mensajes Se cumplen todos los requisitos de seguridad para asegurar que la
informacin es accedida por quien debe.
A.12.2.4
Validacin de los datos de salida Se controlan los datos que genera la aplicacin en la salida.
A.12.3
Controles criptogrficos
Objetivo: Proteger la confidencialidad, la autenticidad o la integridad de la informacin por medios
criptogrficos.
A.12.3.1
Poltica de uso de los controles Se establece una poltica de uso de controles criptogrficos para
preservar la informacin.
criptogrficos
A.12.3.2
Gestin de claves Se establece una herramienta para la gestin de claves para dar
soporte.
A.12.4
Seguridad de los archivos de sistema
Objetivo: Garantizar la seguridad de los archivos de sistema
A.12.4.1 Se lleva a cabo un control sobre la instalacin de software en las
Control de software en explotacin mquinas.
A.12.4.2
Proteccin de los datos de prueba del Los datos de prueba seleccionados son protegidos y controlados.
sistema
A.12.4.3
Control de acceso al cdigo fuente de Se restringe el acceso al cdigo fuente de los programas.
los programas
A.12.5
Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software y de la informacin de las aplicaciones.
A.12.5.1
Procedimientos de control de Se controlan los procedimientos de implantaciones de cambio.
cambios
A.12.5.2
Revisin tcnica de las aplicaciones Se revisan las aplicaciones de negocio exhaustivamente al realizar
tras efectuar cambios en el sistema algn cambio sobre el sistema operativo.
operativo
A.12.5.3
Restricciones a los cambios en los Se establece un control riguroso sobre los cambios de software
que se efectan.
paquetes de software
A.12.5.4
Fugas de informacin Deben evitarse situaciones que produzcan fugas de informacin.
A.12.5.5
Externalizacin del desarrollo de La externalizacin del desarrollo de software es controlada.
software
A.12.6
Gestin de la vulnerabilidad tcnica
Objetivo: Reducir los riesgos resultantes de la explotacin de la vulnerabilidades tcnicas publicadas
A.12.6.1 Se tiene conocimiento sobre las vulnerabilidades existentes en los
Control de las vulnerabilidades sistemas utilizados, evaluando su situacin y adoptando las
tcnicas medidas correctivas.
Tabla 9. Controles_A12
A.13
Gestin de incidentes de seguridad de la informacin
A.13.1
Notificacin de eventos y puntos dbiles de la seguridad de la informacin
Objetivo: Asegurarse de que los eventos y las vulnerabilidades de la seguridad de la informacin, asociados con
los sistemas de informacin, se comunican de manera que sea posible emprender las acciones correctivas
oportunas.
A.13.1.1
Notificacin de los eventos de Todos los eventos relacionados con la seguridad de la informacin
deben comunicarse mediante los canales adecuados. (*) Alta de
A.14
Gestin de la continuidad
A.14.1
Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades empresariales y proteger los procesos crticos de
negocio de los efectos derivados de fallos importantes o catastrficos de los sistemas de informacin, as como
garantizar su oportuna reanudacin.
A.14.1.1
Debe crearse un plan sobre la continuidad de negocio que
Inclusin de la seguridad de la
informacin en el proceso de gestin de la contemple los requisitos de seguridad de la informacin
necesarios.
continuidad del negocio.
A.14.1.2 Se evalan los posibles eventos que retrasan o causan
Continuidad del negocio y evaluacin de interrupciones en los procesos de negocio, as como la
riesgos probabilidad, efectos y consecuencias de estos.
A.14.1.3
Debe realizarse un plan para la restauracin y disponibilidad
Desarrollo e implantacin de planes de
continuidad que incluyan la seguridad de de los proceso de negocio si ocurren interrupciones o fallos
en estos.
la informacin
A.14.1.4 Debe establecerse un procedimiento de referencia para la
Marco de referencia para la planificacin continuidad del negocio de manera que cumpla con los
de la continuidad del negocio requisitos y tenga en cuenta las prioridades.
A.14.1.5
Los planes de continuidad deben ser probados y actualizados
Pruebas, mantenimiento y reevaluacin
regularmente.
de los planes de continuidad del negocio
A.15
Cumplimiento
A.15.1
Cumplimiento de los requisitos legales
Objetivo: Evitar incumplimientos de las leyes o de las obligaciones legales, reglamentarias o contractuales y de
los requisitos de seguridad
A.15.1.1
Todos los requisitos necesarios y su enfoque en la organizacin estn
Identificacin de la legislacin
debidamente definidos, documentados y actualizados.
aplicable
Se implantan procedimientos adecuados para garantizar los requisitos
A.15.1.2
Derecho de propiedad legales y reglamentarios sobre el uso del material, a fin de evitar
problemas con los derechos intelectuales y uso de licencias
intelectual (DPI)
software/hardware.
A.15.1.3 Los documentos de la organizacin estn protegidos contra la prdida,
Proteccin de los documentos destruccin o falsificacin de acuerdo con los requisitos legales.
CUMPLIMIENTO
CONTROL ? OBSERVACIONES
A.14.2.1
Poltica de desarrollo seguro. Reglas para el Existe una metodologa a seguir para la creacin de nuevo
desarrollo de software y sistemas de software u otros proyectos.
informacin.
A.14.2.5
Se lleva a cabo el desarrollo de proyectos conforme a las
Los procedimientos del sistema de desarrollo. normas y estndares existentes.
Principios para la ingeniera de sistemas
A.14.2.6 Se llevan a cabo las correspondientes medidas para
Entorno de desarrollo seguro. Establecer y asegurar en entorno protegido y se actualizan
proteger el entorno de desarrollo peridicamente.
A.14.2.8
Se realizan cada cierto tiempo pruebas referidas a la
Sistema de pruebas de seguridad. Las seguridad y se documentan.
pruebas de funcionalidad de seguridad.
A.16.1.4
Una vez detectada cualquier deficiencia en los procesos de
Evaluacin y decisin de los eventos de
seguridad de informacin. Esto es parte de la seguridad, se analiza y de lleva a cabo una accin
correctiva.
gestin de incidentes.
A.17.2.1
Se analiza la posibilidad de establecer elementos
Disponibilidad de instalaciones de
procesamiento de informacin. Lograr redundantes que permitan la ejecucin de tareas ante
cualquier tipo de desastre.
redundancia.
1. Planear y Organizar
2. Adquirir e Implementar
3. Entregar y Dar Soporte
4. Monitorear y Evaluar
Existe una nueva versin denominada COBIT 5.0, la cual tiene diversos cambios en
lo que se refiere a cantidad y distribucin de procesos. Existe un nuevo dominio dedicado
a Evaluar, Dirigir y Monitorear que cubre alguna funcin de los ya existentes. Por tanto, se
reorganizan los cuatro anteriores con diferentes procesos.
(ISACA, 2013)
(Marroqun Rivera & Rivas Merino, 2009)
4.5.6.1. Objeto
4.5.6.3. Referencias
4.5.6.4. Definiciones
No aplica.
Director Gerente
RESPONSABLES
Responsable de Seguridad
ENTRADAS Polticas de la empresa
SALIDAS Aceptacin poltica de uso
REGISTROS Recib de poltica de uso de activos
Planificacin del Sistema de Gestin
ACTIVIDADES DE SEGUIMIENTO
Revisin por la direccin
INFRAESTRUCTURAS Y EQUIPOS No necesario
CUALIFICACION PERSONAL A todos los interesados
Legislacin
DOCUMENTOS SOPORTE Informes de Auditoras
Evaluacin de riesgos
Tabla 14. Uso_Aceptable
CONTRASEAS
No se puede leer, grabar o copiar cualquier mensaje que haya sido enviado a un
empleado sin el consentimiento de ste.
En caso de tener alguna duda acerca del uso del correo electrnico con fines
comerciales contactar con el Responsable de Seguridad.
Material difamatorio
Material ofensivo, vulgar u obsceno
Cualquier tipo de material que pueda considerarse ilegal
La violacin de esta poltica constituye una falta grave que puede conllevar
acciones legales por parte de las autoridades competentes.
DISPOSITIVOS MVILES
Todos los equipos que tengan acceso a la red deben tener instalado un software
antivirus. Este tiene que estar activado y actualizado. Ningn usuario debe intentar
desactivar la proteccin.
Existen miles de email que contienen virus. Si se recibe un correo con algn
archivo adjunto con terminacin .exe, o con un texto que no resulta familiar, o
simplemente se tiene sospecha del email recibido, en ningn caso debe abrirse, e informar
inmediatamente al Responsable de Seguridad.
HARDWARE Y SOFTWARE
EMPRESA_X debe cumplir con los trminos de las licencias software que se
adquieren, controlando la distribucin y el uso del software. Bajo ninguna circunstancia se
puede copiar el software, ya que esto supondra una violacin de la licencia pudiendo
provocar fallos en los sistemas de informacin.
Nunca se deben dejar los equipos porttiles dentro del maletero de un coche,
habitacin de hotel o cualquier otro lugar desatendido.
ALMACENAMIENTO DE LA INFORMACIN
4.5.6.7. Responsabilidades
4.5.6.8. Formatos
Servidores:
Equipos:
Hardware de Red:
Impresoras:
Lneas y conexiones:
Sistemas claves
Mapa de conexiones
WWW EUROPA1
SEDE1
Conexin Sede1 (20MB)
Colt Telecom
SEDE CENTRAL
WWW
Prioridades
Modificaciones
Para establecer una rutina de seguridad sobre los servidores establecemos los
siguientes pasos a llevar a cabo:
En ambos casos se configura que las alertas importantes que generen los sistemas
sean enviados por correo electrnico a los tcnicos.
Gracias a esto, el sistema notificar a los tcnicos con suficiente antelacin si los
periodos de vencimiento estn prximos, y actuar en consecuencia.
Hacer las pruebas del S.O. con expertos, y con los operadores (observar las
reacciones)
Tambin se evaluar el ciclo de vida en el que la aplicacin ser til y pueda ser
mantenido teniendo en cuenta los costes y la actualizacin tecnolgica.
Probadores
Fundamentos de aplicacin
Se comprobar que se cumplen los siguientes requisitos para los que fue diseada
la aplicacin como: mantenibilidad, usabilidad, seguridad, rendimiento y diseo.
Analizar su uso
8.1. Introduccin
8.2. Alcance
Una vez realizada esta pequea reflexin deberemos de explorar al mximo todos
los posibles riegos que podamos tener, siempre dentro de unos lmites adecuados.
8.3. Organigrama
Responsable de Departamento de
Sistemas de Tecnologas de la
Informacin Informacin
Responsable de
Director de
Desarrollo de
Operaciones
Productos
Jefes de
Proyecto
Director
General
Departamento de
Responsable de Contabilidad
Administracin
/ Contabilidad Departamento de
Director
Administracin y
Financiero
Responsable de Compras
RH / Formacin
Departamento
de RRPP
Director Departamento
Comercial de Marketing
Departamento
de Ventas
Referidos a la poltica de backup, los soportes sobre los que se realiza la copia
debern de ser etiquetados correctamente aunque reconocibles slo por los responsables
y debern de ser almacenados de forma segura.
b) planificacin
Procederemos a realizar una planificacin que sea acorde con los requerimientos
pedidos.
i) responsables
La entidad auditada deber elegir un responsable del proyecto, que es el
que se encargar de la comunicacin directa con los auditores, facilitndole todo lo que
necesiten. Es la persona que se encargar de establecer las acciones que sean necesarias.
Tambin en la empresa auditora, se ha de elegir igualmente un responsable.
v) mbito
Es uno de los aspectos importantes a tener en cuenta, definir la amplitud de
lo que queramos auditar. Deberemos de tener en cuenta tanto los costes econmicos como
humanos.
8.7.1. La observacin
8.7.2. La documentacin
3) planes de seguridad
Verificar que existe un plan de seguridad adecuado para la entidad que sea real y
factible. Adems, quien lo lleve a cabo sea personal que est en contacto y lo pueda llevar a
cabo.
4) planes de contingencia
Verificar que existe un plan de contingencia adecuado y factible de ejecucin, si no,
deber de ajustarse a un valor real. De no existir, se deber recomendar la creacin de
uno.
5) actas de Comits
Analizar las decisiones tomadas y que afecten para poder detectar el origen de las
debilidades.
6) memorando y comunicados
Es importante conocer los comunicados que la empresa manda a los empleados
respecto a las medidas de seguridad. Es importante que los empleados estn debidamente
informados sobre las materias de seguridad general y las de seguridad de la informacin.
De no ser as, correramos un serio peligro.
8) contratos
Se debern conocer los contratos de los trabajadores que estn en contacto con los
sistemas de informacin, para saber si las clusulas dispuestas como confidencialidad y
tratamiento de la informacin son suficientes.
9) plizas de seguros
Se debern presentar todas las plizas que tenga la empresa y que afecten a la
auditora para averiguar qu sistemas estn protegidos, y asegurar que las coberturas son
las correctas. Se estudiar si la entidad tiene riesgos altos en algn apartado para un
posible refuerzo de seguridad.
En este punto, analizaremos todos los factores, tanto naturales como no naturales
y sociales que pueda tener una entidad. Adems de los tipos de riesgos que podamos
tener, se realizarn entrevistas para averiguar si tenemos ms riegos en las instalaciones.
Al analizar los tipos de riesgos, deberemos definir el grado que afecta a cada uno
en la entidad, y lo estableceremos en 5 niveles: muy bajo, bajo, normal, alto y muy alto.
a) naturales
i) terremotos
El riesgo de terremotos es un factor importante que depende del lugar del
planeta en el que ocurra. Para ello, deberemos de conocer la situacin ssmica del lugar y
qu tipo de empresa es, ya que hay empresas ms vulnerables que otras.
iii) temperatura
La temperatura afecta negativamente a los aparatos elctricos, por lo tanto
deberemos de controlarla dentro de unos parmetros aceptables. Gran importancia tiene
la sala tcnica, donde est guardada gran parte de la informacin de la empresa.
Deberemos de tener controles preventivos que eviten situaciones inesperadas.
iv) humedad
La humedad es otro factor que afecta negativamente a los aparatos
elctricos, por suerte, son pocos los lugares donde tenemos este fenmeno.
v) lluvias
Deberemos de recurrir a datos estadsticos para estudiar los posibles
riesgos que tendr la entidad: si se encuentra en una zona lluviosa, cerca del mar, ros,...
b) no naturales
i) vibraciones
Se deber de estudiar si fuera de la entidad, se produce algn tipo de
vibracin debido a medios de transporte, obras,... Si fuera preciso, se podran realizar
estudios ms precisos a fin de detectar las vibraciones.
ii) polvo
Se deber de estudiar el polvo existente en el ambiente y si existen fuentes
cercanas que lo puedan emitir, como parques, fbricas, cercana de carreteras,...
iv) interferencias
Deberemos analizar si existen interferencias existentes en el ambiente,
existencia de antenas de telefona, ruido elctrico,... que puedan influir en la salud del
personal y en la infraestructura interna.
c) sociales
a) gerente
b) jefe de equipo
v) Propuesta de recomendaciones
Se deben de proponer las recomendaciones o soluciones a partir del
informe que se debern ejecutar para buscar una solucin.
c) los auditores
d) auditores junior
Por tanto, sern una herramienta de apoyo a los grupos de trabajo existentes.
El personal deber ser respetuoso con las posibles deficiencias que puedan estar
cometiendo los empleados y mantendr una relacin de estrecha colaboracin con los
auditados.
8.7.5. Teletrabajadores
Se debern estudiar los riegos que supone trabajar fuera de la empresa, as como
asegurar que tienen los medios adecuados para realizar el trabajo.
Los sistemas involucrados sern todos los ordenadores y sistemas de la red que
son administrados por la compaa. Tambin sern de aplicacin tanto los diferentes
equipos informticos, soportes sobre los que funcionan y todos los sistemas de servicios o
terceros.
De los usuarios: estos sern los responsables de cumplir con las normas
establecidas por la empresa en materia de seguridad informtica. Cualquier otra gestin
de la informacin ser llevada a cabo por su administrador o el propietario de la
informacin.
Juntando todos los datos anteriores, se presentarn en un informe con las posibles
deficiencias encontradas as como recomendaciones y soluciones. Dicho informe se
entregar al Responsable de Seguridad y a la Direccin.
(Enrique Castillo, 2009)
9.1. Introduccin
9.2. mbito
Para lograr que la auditora de programas sea eficiente, las personas que la
realicen han de poseer conocimientos profundos sobre sistemas operativos, sistemas de
administracin de bases de datos y lenguajes de programacin usados en los programas.
Asimismo, se deber comenzar con la revisin de la documentacin del mismo.
Para poder llevar a cabo una auditora adecuada de los programas se necesita que
los sistemas estn trabajando correctamente, y que se obtengan los resultados requeridos,
ya que al cambiar el proceso del sistema en general se cambiarn posiblemente los
programas. Sera absurdo intentar optimizar un programa de un sistema que no est
funcionando correctamente.
Para optimizar los programas se deber tener pleno conocimiento y aceptacin del
sistema o sistemas que usan ese programa, y disponer de toda la documentacin detallada
del sistema total.
Google
http://www.google.com
Flu-Project.com
http://www.flu-project.com/sobre-flu/herramientas-de-auditoria-de-seguridad
Wikipedia
http://es.wikipedia.org
Monografas
http://www.monografias.com
Recursos bibliogrficos
http://www.slideshare.net
Anlisis de riesgos
http://www.securityartwork.es
ISACA
https://www.isaca.org
OpenVAS
http://www.openvas.org/
Auditora Prctica de Bases de Datos bajo INFORMIX. M Isabel Romero Fernndez. 2009
11.1. Introduccin
El lugar ser en la sede de EMPRESA_X, si bien, parte del trabajo se realiz de forma
remota y la elaboracin de informes en el domicilio del auditor.
Sobre los datos analizados en el punto 4.5.1.1, podemos afirmar que EMPRESA_X
est cumpliendo con todas las obligaciones de la LOPD que existen actualmente.
11.9. Recomendaciones
Establecer acceso web para aplicaciones con puertos ms seguros, como 443.
Adems, no usar estos puerto genricos como el 80 o 443, sino que utilicemos
otros, ej. 9443 o 9080.
Registrar logs de acceso a todos los sistemas, con el fin de saber todas las
modificaciones que hacen los tcnicos.
Integrar todos los equipos y servidores dentro del mismo dominio, as nos
podremos autenticar con el mismo usuario en todos los sistemas.
Por ltimo, se puede tomar como referencia este trabajo como una forma de
cuantificar qu y cmo debemos de evaluar las medidas de seguridad de una empresa, si
bien, deberemos de actualizarla regularmente. Cabe resear que esta auditora ha ayudado
a cumplir ciertos objetivos sobre seguridad y a conseguir una labor formativa en mi caso.
AEPD
Agencia Espaola de Proteccin de Datos, 24, 25, 169, 170
BASH
Intrprete de comandos para Linux, 52
BBDD
Definido como bases de datos, 19, 57, 77
COBIT
Se define como los Objetivos de Control para Informacin y Tecnologas Relacionadas, 10, 11, 43, 44
controller
Es el responsable de controlar internamente la gestin econmica y financiera de una empresa., 98,
100
CPD
Se define como el Centro de Procesamiento de Datos, 19, 53, 55, 57
DHCP
Servicio de entrega de direcciones IP (Dynamic Host Configuration Protocol), 52, 53, 55, 101
DMZ
Se define a la zona neutral donde se alojan servidores crticos, 59
DNS
Se refiere al Servidor de Nombres (Domain Name System), 31, 52, 53
EDI
Se define como el Intercambio Electrnico de Datos (Electronic Data Interchange), 52, 56
EMPRESA_X
Es como definiremos la empresa auditada durante todo el documento, 45, 46, 47, 48, 49, 50
ERP
Son los sistemas de planificacin de recursos empresariales (Enterprise Resource Planning), 19
ESX VMWare
Servidor de virtualizacin de VMWare, 53
GPO
Conjunto de Polticas de Active Directory, 55, 85, 108, 109, 110, 111, 113, 114, 115, 116, 118, 119,
122, 123, 124
GroupWise
Software para gestionar el correo electrnico, 52, 54, 55, 56
IP
Se refiere a la direccin de red del equipo, 31, 53, 55, 57
ISO 27001
Es un estndar para la seguridad de la informacin, 10, 11, 26, 42, 45, 80, 82, 86, 87, 167
IT
Definido como las Tecnologas de la Informacin (Information Technology), 52, 54, 56
Linux
Sistema operativo de cdigo abierto, 52, 53, 56, 57
Una vez dicho esto, a continuacin analizamos el tiempo que nos habra llevado
realizar una auditora real segn la metodologa aplicada. Los tiempos de duracin de cada
tarea son orientativos, basndonos en el estudio que habra que realizar en EMPRESA_X.
A priori, y una vez realizados los clculos de los recursos que tenemos con las
tareas que debemos de ejecutar parece que es demasiado tiempo el que nos da.
Sobre el presupuesto conviene indicar que los costes por hora, el nmero de horas
y el nmero de personas involucradas en el proyecto son orientativas y en ningn caso
deben de ser un ejemplo sobre el coste total.
Sobre las personas involucradas en la auditora hay que indicar que todo el
personal que interviene son auditores, aunque diferenciaremos entre tipos de auditores
segn sea su especialidad. Por tanto, en vez de nombrarlos como auditor1, auditor2,... los
nombraremos con el tipo de trabajo en el que son especialistas.
PRESUPUESTO DE PROYECTO
DEPARTAMENTO IT
COSTES DIRECTOS
PERSONAL
Dedicacin Coste Coste Total
Cantidad Recurso Categora
(horas) (hora) (Euro)
1 AUDITOR 1 Informtico Generalista 80,37 15,00 1.205,50
1 AUDITOR 2 Experto en Desarrollo de Proyectos 27,98 20,00 559,60
1 AUDITOR 3 Tcnico de Sistemas 20,8 15,00 312,00
1 AUDITOR 4 Experto en BD y su Administracin 16,78 20,00 335,60
1 AUDITOR 5 Experto en Software de Comunicacin 14,4 20,00 288,00
1 AUDITOR 6 Experto en Explotacin 38,72 25,00 968,00
1 AUDITOR 7 Tcnico de Organizacin 81,72 25,00 2.043,00
1 AUDITOR 8 Tcnico de Evaluacin de Costes 41,6 25,00 1.040,00
SUBTOTAL A 6.751,70
Tabla 38. Presupuesto_1
La retirada de cintas se realiza como sigue: cada martes de la semana, una empresa
externa se encargar de recoger las cintas correspondientes al fin de semana y nos
suministrar el siguiente juego de fin de semana. En nuestro poder quedarn los 2 juegos
de lunes-jueves. Dicha empresa se encargar de salvaguardar la informacin y proteger su
contenido, bajo firma de la pertinente poltica de confidencialidad entre ambas partes.
En cuanto a los accesos que tienen los usuarios a Internet, slo podrn usar los
puertos 80 y 443, y accedern por medio de un proxy. El resto de puertos estarn
bloqueados por el firewall de la organizacin, como el 21, 22 u otros que se utilicen. Slo
en caso de necesidad de uso y con los correspondientes permisos por parte de los
responsables se permitir el trfico.
Como excepcin se permite el uso del sistema antivirus en la nube, previa firma de
la poltica de confidencialidad y seguridad.
Para controlar el uso de los sistemas de los tcnicos, en cada sistema de guardarn
los logs tanto de acceso como de instalacin de aplicaciones y otros eventos, a fin de tener
un control exhaustivo sobre qu tareas hace cada cual.
Es deseable que dicho repositorio de logs est centralizado en una nica instancia
para un mejor control y aseguramiento.
17.6. Procedimientos
Cada solicitud deber ser presentada al responsable superior y firmada por los
correspondientes controladores de la peticin.
acceso a las impresoras: cada usuario tiene un cdigo que le permite tener
acceso o no a la impresora, escner o copiadora.
acceso Wifi: los usuarios tendrn acceso a cada uno de los 3 puntos de acceso:
Dichos permisos deben ser solicitados por medio un documento firmado por el jefe
de departamento, responsable de RRHH y controller.
El acceso que se produce es una conexin VPN contra la red interna de la empresa.
Una vez dentro, se conectar contra un servidor Terminal Server, para aadir un grado
ms de seguridad.
Una vez identificada una IP por usuario, en el firewall corporativo tendremos una
entrada por cada IP y sus permisos pertinentes.
Por norma general, los permisos de acceso de cada usuario estn denegados, y en
funcin de las necesidades se van habilitando.
Los dos tipos de dispositivos que los usuarios pueden usar fuera de la oficina son:
ordenador porttil y dispositivo mvil BlackBerry.
Para los dispositivos mviles, tendremos un servidor BES que se encargar del
control, tanto de la confidencialidad de la transmisin de los datos como de la seguridad
fsica. Cada dispositivo tendr aparte del cdigo PIN, un cdigo de dispositivo que
bloquear el dispositivo a los 5 minutos de inactividad. En caso de introducir mal dicho
cdigo un nmero definido de veces, el dispositivo de formatear. Tambin tenemos la
posibilidad de resetear el dispositivo en remoto en caso de prdida o robo.
El proceso para notificar una incidencia informtica se realizar por medio de una
aplicacin llamada ServiceDesk. El usuario podr dar el alta el ticket desde el portal web o
mediante el envo de un correo electrnico. Todas las incidencias se almacenarn y
asignarn a cada uno de los tcnicos, pudiendo realizar un seguimiento de la misma a
travs de un SLA configurado previamente.
Cada fin de mes, se generar un informe sobre las incidencias producidas, as como
su clasificacin y resolucin. Dicho informe se remitir a la direccin para su
conocimiento.
Tanto los valores de las preguntas como la ponderacin sobre stos son
orientativos, as como los valores de aprobacin de la auditora, los cuales podran ser
cambiados. En nuestro caso, evaluaremos 100 puntos en cada test, aunque se debera de
ponderar el valor de cada test en funcin de su importancia.
(Annimo, 2009)
(Auditora Informtica y de Sistemas, 2012)
ESACD
Resultado
SECURITY UPDATES
SQL Server Security Updates Falta o no aprobada: KB2463332
Windows Security Updates No actualizado
Office Security Updates Faltan o no aprobadas: KB974556, KB955440 y Office 2002 SP3
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538242
Redistributables Security Updates
ESEDI
Resultado
SECURITY UPDATES
SQL Server Security Updates Falta o no aprobada: KB2494113 y KB2463332
Windows Security Updates No actualizado
Office Security Updates No actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538242
Redistributables Security Updates
CONTROL
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Falta o no aprobada: KB976002
Office Security Updates Faltan o no aprobadas: KB974556 y KB955440
NETXUS
Resultado
SECURITY UPDATES
Windows Security
Ya no soportado
Updates
ESMIS
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Office Security Updates Falta o no aprobada: KB974556 y KB955440
Developer Tools, Runtimes, and Redistributables
Falta o no aprobada: KB2538243
Security Updates
ESTS1
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Office Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
ESTS3
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Office Security Updates Falta o no aprobado: Office 2002 SP3
SDK Components Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
ESTS4
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
ESTS5
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Office Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
Silverlight Security Updates Falta o no aprobada: KB2890788
ESBES
Resultado
SECURITY UPDATES
Windows Security Updates Actualizado
Office Security Updates Actualizado
Developer Tools, Runtimes, and
Actualizado
Redistributables Security Updates
ESSD
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Developer Tools, Runtimes, and Redistributables
Falta o no aprobada: KB2538243
Security Updates
ESBKP
Resultado
SECURITY UPDATES
Windows Security Updates Faltan IE10 e IE11
Developer Tools, Runtimes, and
Faltan o no aprobados: (KB2538242), (KB971117), (KB971118)
Redistributables Security Updates
SDK Components Security
Actualizado
Updates
SQL Server Security Updates Actualizado
PTTS
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Office Security Updates Actualizado
SDK Components Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
ESVC
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
ESRSA
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Developer Tools, Runtimes, and
Falta o no aprobada: KB2538243
Redistributables Security Updates
ESWWW
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
ESDC
Resultado
SECURITY UPDATES
SQL Server Security Updates Actualizado
Windows Security Updates Actualizado
Developer Tools, Runtimes, and Redistributables
Falta o no aprobado: (KB2538243)
Security Updates
Este escner pretende ser una gua para revisar todas las indicaciones que nos
detecta y proceder a su ajuste y solucin si fuese necesaria.
ESDTA
Most Severe Result(s) High Medium Low
Severity: High 3 11 7
ESGW
Most Severe Result(s) High Medium Low
Severity: High 3 6 6
ESPING
Most Severe Result(s) High Medium Low
Severity: Medium 0 3 0
NETXUS
Most Severe Result(s) High Medium Low
Severity: High 7 5 9
PROXY
Most Severe Result(s) High Medium Low
Severity: High 1 6 2
ESTS1
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 3
ESTS3
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 1
ESTS4
Most Severe Result(s) High Medium Low
Severity: High 3 7 6
ESTS5
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 1
ESTS8
Most Severe Result(s) High Medium Low
Severity: Medium 0 5 4
ESCTL
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 0
ESBES
Most Severe Result(s) High Medium Low
Severity: High 2 4 3
ESSD
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 2
ESBKP
Most Severe Result(s) High Medium Low
Severity: High 10 16 6
ES-DIVA
Most Severe Result(s) High Medium Low
Severity: High 1 0 1
SpareLoad
Most Severe Result(s) High Medium Low
Severity: High 1 5 2
PTFS
Most Severe Result(s) High Medium Low
Severity: High 34 23 6
PTIMG
Most Severe Result(s) High Medium Low
Severity: High 33 23 6
ESXi1
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 3
ESXi2
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 3
ESXi3
Most Severe Result(s) High Medium Low
Severity: Medium 0 2 3
ESVC
Most Severe Result(s) High Medium Low
Severity: High 1 11 4
ESBDSAC
Most Severe Result(s) High Medium Low
Severity: Medium 0 3 2
ESWWW
Most Severe Result(s) High Medium Low
Severity: Medium 0 4 1
ESDC
Most Severe Result(s) High Medium Low
Severity: Medium 0 5 7
(1) http://svn.apache.org/viewvc?view=revision&revision=834047
(2) DCE -> (Distributed Computing Environmet)
(3) http://marc.info/?l=apache-httpd-dev&m=131420013520206&w=2
(4) http://www.novell.com/support/viewContent.do?externalId=3426981
(5) http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
(6) http://www.microsoft.com/technet/security/bulletin/ms10-012.mspx
(7) http://technet.microsoft.com/en-us/security/bulletin/ms12-020
SWXX
Most Severe Result(s) High Medium
Severity: Medium 0 3
Las soluciones a los problemas vienen definidos con estas dos referencias:
CVE (Common Vulnerabilities and Exposures): Es una lista sobre vulnerabilidades conocidas
mantenido por el National Vulnerability Database (http://cve.mitre.org/). Sigue el siguiente formato: ao-n
de vulnerabilidad.
ISO 27001
DEFICIENCIAS
Fallo de las medidas elementales de mecanismos de prevencin y deteccin contra
incendios, que provoca que el edificio en cuestin en poco tiempo se vea
inutilizado por el fuego.
PREVISION
A pesar de esto, DELOITTE dispona de un plan para responder automticamente
y asegurar la continuidad de negocio.
Existencia de una buena poltica de seguridad que asegura un backup de
todos los datos importantes en diferentes localizaciones
Previsin de reubicacin fsica inmediata en otras oficinas cercanas (Torre
Picasso)
RESULTADO
A pesar de un resultado a priori catastrfico desde todo punto de vista, gracias a
que se dispona de un plan de contingencia se minimizan:
A pesar de las enormes prdidas econmicas se atenuaron en gran medida
las consecuencias. De no adoptar estas medidas segn qu tipo de empresa
podra verse obligada a cerrar
Se pudo restablecer el trabajo de la empresa en poco tiempo
Ejemplo 3. Phishing
En enero de 2014, tanto Banco Santander como Caja Espaa sufren una campaa
de phishing. Esta tcnica busca mediante el envo de emails con la apariencia visual de
dichas empresas, obtener datos relativos a cuentas bancarias y datos personales.
La existencia de faltas de
ortografa o caracteres extraos
puede dar pistas sobre una
suplantacin de pgina.
El formato o las imgenes de
la pgina que no cuadren o el tamao
sea inadecuado puede ser tambin
un motivo para desconfiar.
El acceso a la pgina
mediante un protocolo no seguro sin
Tabla 100. Caso_2 un certificado firmado por una
entidad reconocida es un caso claro.
Sobretodo entidades importantes donde haya que intercambiar informacin importante,
se acceder mediante el protocolo https con un certificado firmado o autofirmado.
Hay que recordar adems que ninguna entidad financiera solicitar por correo
electrnico algn tipo de acceso o contrasea a sus clientes.
LOPD
Las empresas deben concienciarse de cumplir con la LOPD, no solo para cumplir
con los deberes que se definen en la ley, sino porque la AEPD es muy estricta en la
vigilancia de su cumplimiento y establece grandes sanciones en el caso de su
incumplimiento.
Este caso ocurri en junio de 2011. Hubo una intrusin en el portal web de INTECO
(organismo pblico). Datos personales de muchos usuarios incluidos el mo fueron
comprometidos.
En caso de que el incidente de seguridad sea problema por una mala securizacin
de los sistemas de INTECO, podra ser responsable y propensa a sufrir algn tipo de
sancin o denuncia por la AEPD o por los propios usuarios afectados.