Este video publicado por www.iso27000.es, presenta la historia de la ISO 27001 desde su origen en 1989, hasta el 2007 que es donde la ISO 17799 pasa a ser ISO 27002, se reserva la numeración 27000 para posteriores normas relacionadas a la seguridad de la información, tal como se describe en el artículo La familia ISO 27000.
En enlace en YouTube es Historia ISO 27001
domingo, 17 de agosto de 2008
viernes, 15 de agosto de 2008
HALLAZGOS DE AUDITORIA DE SISTEMAS
Los hallazgos de auditoria de sistemas, pueden desarrollarse al igual que los hallazgos de auditoria financiera, operacional o gubernamental, para cada hallazgo se pueden desarrollar los atributos del hallazgo, los cuales se comentan a continuación:
Condición: “Lo que es”
Aquello que el auditor encuentra o descubre
Criterio: “Lo que debe ser”
Marco de referencia con el que se compara la condición para encontrar divergencias. Ley, reglamento, carta, circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o finalmente juicio del auditor.
Para auditorías de sistemas de información y TI: GAISP, COBIT, ISO 17799, SB 443/2003, NAG 270 y otros.
Causa: “Por qué”
El origen de la condición observada. El porqué de la diferencia entre la condición y el criterio, deberán ser desarrolladas de acuerdo a la explicación que de el responsable.
Efecto: “Las consecuencias”
Surge de las diferencias entre la condición y el criterio, el efecto tendrá un resultado positivo o negativo
Recomendación: “Arregla la condición”
La recomendación se deberá elaborar habiendo desarrollado los anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea de mejorar o anular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras situaciones. La recomendación deberá ser viable técnica y económicamente.
lunes, 4 de agosto de 2008
Windows y las Pistas de Auditoria
En Windows contamos con la “Directiva de Seguridad Local” la cual permite definir o parametrizar de que eventos/sucesos queremos que Windows guarde la información, podemos ingresar a esta opción de la siguiente forma: Inicio – Configuración – Panel de Control – Herramientas Administrativas – Directiva de Seguridad Local. Con esta herramienta podemos habilitar/deshabilitar entre otras las siguientes opciones:
• Directivas de cuenta
o Directiva de contraseñas
Forzar el historial de contraseñas
Longitud mínima de contraseña
Vigencia máxima de contraseña
o Directiva de bloqueo de cuentas
Duración del bloqueo de cuenta
Reestablecer la cuenta de bloqueos después de
Umbral de bloqueos de la cuenta
• Directivas locales
o Directiva de auditoría (Opciones deshabilitadas por defecto)
Auditar el acceso a objetos
Auditar el acceso del servicio de directorio
Auditar el cambio de directivas
Auditar el seguimiento de procesos
Auditar el uso de privilegios
Auditar la administración de cuentas
Auditar sucesos de inicio de sesión
Auditar sucesos de inicio de sesión de cuenta
Auditar sucesos del sistema
o Asignación de derechos de usuario
Administrar los registros de auditoría y seguridad
Cambiar la hora del sistema
Restaurar archivos y directorios
o Opciones de seguridad
Inicio de sesión interactivo: no requerir Ctrl + Alt + Supr
Dispositivos: permitir el desbloqueo sin tener que iniciar sesión
Cuentas: cambiar el nombre de la cuenta administrador
La habilitación de las anteriores opciones se conoce como Hardering de Windows, puesto que se hacen más fuerte/seguro el sistema operativo. Habilitadas las opciones deseadas de la Directiva de Seguridad Local, lo siguiente es ir monitoreando o realizar revisiones post en busca de eventos ilíticos, esto lo podemos realizar ingresando al siguiente programa: Inicio – Configuración – Panel de Control – Herramientas Administrativas – Visor de Sucesos.
En el Visor de Sucesos podemos visualizar los sucesos agrupados en: Aplicación, Seguridad, Sistema, Internet Explorer, por cada uno de estos elementos se despliega la siguiente información: Tipo, Fecha, Hora, Origen, Categoría, Suceso, Usuario, Equipo. Esta información si es algo complicado buscar o analizar en el Visor de Sucesos de Windows, la podemos exportar en formato plano para luego realizar el análisis con CAATTs: Excel, Access, IDEA, ACL, Gestor F1 Audisis y aplicar Técnicas de Detección de Fraudes.
Un ejemplo algo trivial podría ser: Queremos saber si se cambio la hora en un equipo que tiene Windows (NT, XP) suponiendo que el equipo cuenta con un programa de control de asistencia, y no tiene restricciones de usuario (Se ingresa con un usuario Administrador de Windows).
Para poder realizar esta tarea necesitamos habilitar la Directiva de auditoría, la opción Auditar sucesos del sistema, una vez hecho esto cada vez que se cambie la hora se generará un suceso que será guardado con los números de evento 520 y 577, de esta forma podemos monitorear y detectar los eventos guardados por Windows. Para tener fuerza probatoria de responsabilizar a un determinado usuario por el ilícito como siempre comentamos, no basta con recurrir a la tecnología (habilitar los sucesos), esto debe ir acompañado de una entrega formal del equipo haciendo responsable al usuario y asignándole la propiedad temporal debiendo firmar la conformidad el usuario.
Revisión de las Pistas de Auditoria
Finalmente, los datos almacenados de suceso/eventos tanto los normales como los que no lo son que podemos denominarlos como errores, irregulares, ilegales, ilícitos, o fraudes deben ser monitoreados constantemente, justamente para detectarlos a tiempo y también para que este tipo de controles sirvan como un elemento disuasivo y pasen de simples controles detectivos a ser controles preventivos.
La ISO 17799 indica:
“10.10.2. Los procedimientos para el uso del monitoreo de las instalaciones de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.”
Las personas encargadas de realizar las tareas de revisión en orden de prioridad deberían ser los siguientes, cada uno desde su punto de vista particular de acuerdo a sus funciones, formación y experiencia:
• Auditor (Interno)
• Auditor de Sistemas (Interno)
• Oficial de Seguridad de la Información (Interno)
• Administrador de la Base de Datos (Interno)
• Auditor (Externo)
• Directivas de cuenta
o Directiva de contraseñas
Forzar el historial de contraseñas
Longitud mínima de contraseña
Vigencia máxima de contraseña
o Directiva de bloqueo de cuentas
Duración del bloqueo de cuenta
Reestablecer la cuenta de bloqueos después de
Umbral de bloqueos de la cuenta
• Directivas locales
o Directiva de auditoría (Opciones deshabilitadas por defecto)
Auditar el acceso a objetos
Auditar el acceso del servicio de directorio
Auditar el cambio de directivas
Auditar el seguimiento de procesos
Auditar el uso de privilegios
Auditar la administración de cuentas
Auditar sucesos de inicio de sesión
Auditar sucesos de inicio de sesión de cuenta
Auditar sucesos del sistema
o Asignación de derechos de usuario
Administrar los registros de auditoría y seguridad
Cambiar la hora del sistema
Restaurar archivos y directorios
o Opciones de seguridad
Inicio de sesión interactivo: no requerir Ctrl + Alt + Supr
Dispositivos: permitir el desbloqueo sin tener que iniciar sesión
Cuentas: cambiar el nombre de la cuenta administrador
La habilitación de las anteriores opciones se conoce como Hardering de Windows, puesto que se hacen más fuerte/seguro el sistema operativo. Habilitadas las opciones deseadas de la Directiva de Seguridad Local, lo siguiente es ir monitoreando o realizar revisiones post en busca de eventos ilíticos, esto lo podemos realizar ingresando al siguiente programa: Inicio – Configuración – Panel de Control – Herramientas Administrativas – Visor de Sucesos.
En el Visor de Sucesos podemos visualizar los sucesos agrupados en: Aplicación, Seguridad, Sistema, Internet Explorer, por cada uno de estos elementos se despliega la siguiente información: Tipo, Fecha, Hora, Origen, Categoría, Suceso, Usuario, Equipo. Esta información si es algo complicado buscar o analizar en el Visor de Sucesos de Windows, la podemos exportar en formato plano para luego realizar el análisis con CAATTs: Excel, Access, IDEA, ACL, Gestor F1 Audisis y aplicar Técnicas de Detección de Fraudes.
Un ejemplo algo trivial podría ser: Queremos saber si se cambio la hora en un equipo que tiene Windows (NT, XP) suponiendo que el equipo cuenta con un programa de control de asistencia, y no tiene restricciones de usuario (Se ingresa con un usuario Administrador de Windows).
Para poder realizar esta tarea necesitamos habilitar la Directiva de auditoría, la opción Auditar sucesos del sistema, una vez hecho esto cada vez que se cambie la hora se generará un suceso que será guardado con los números de evento 520 y 577, de esta forma podemos monitorear y detectar los eventos guardados por Windows. Para tener fuerza probatoria de responsabilizar a un determinado usuario por el ilícito como siempre comentamos, no basta con recurrir a la tecnología (habilitar los sucesos), esto debe ir acompañado de una entrega formal del equipo haciendo responsable al usuario y asignándole la propiedad temporal debiendo firmar la conformidad el usuario.
Revisión de las Pistas de Auditoria
Finalmente, los datos almacenados de suceso/eventos tanto los normales como los que no lo son que podemos denominarlos como errores, irregulares, ilegales, ilícitos, o fraudes deben ser monitoreados constantemente, justamente para detectarlos a tiempo y también para que este tipo de controles sirvan como un elemento disuasivo y pasen de simples controles detectivos a ser controles preventivos.
La ISO 17799 indica:
“10.10.2. Los procedimientos para el uso del monitoreo de las instalaciones de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.”
Las personas encargadas de realizar las tareas de revisión en orden de prioridad deberían ser los siguientes, cada uno desde su punto de vista particular de acuerdo a sus funciones, formación y experiencia:
• Auditor (Interno)
• Auditor de Sistemas (Interno)
• Oficial de Seguridad de la Información (Interno)
• Administrador de la Base de Datos (Interno)
• Auditor (Externo)
Suscribirse a:
Entradas (Atom)
