EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Conceptos de Seguridad “El único sistema seguro es aquel que: está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él.” - Gene Spafford - Professor of Computer Sciences and Philosophy, Purdue University "La combinación de espacio, tiempo y fuerza, que deben considerarse como los elementos básicos de esta teoría de la defensa, hace de ésta una cuestión complicada. Por consiguiente, no es fácil encontrar un punto fijo de partida". De la guerra, Karl Von Clausewitz. “El arte de la guerra nos enseña a confiar no en la posibilidad de que el enemigo no venga, sino en nuestra propia disponibilidad para recibirlo; no en la oportunidad de que no ataque, sino en el hecho de que hemos logrado que nuestra posición sea inexpugnable”. El arte de la guerra, Sun Tzu. In God we trust. All others we monitor — Lema de la NSA Activos de Información: es todo aquel recurso valioso o de importancia para la actividad. Esto puede ser: Información propiamente tal: Bases de datos, archivos, conocimiento de la persona. Documentos: manuales, contratos, facturas. Software: Aplicaciones, sistemas operativos, utilitarios. Físicos: Equipos, edificios, redes. Recursos Humanos: personas internas o externas al proyecto. Servicios: Electricidad, soporte, mantención. Principios de Seguridad Mínimos privilegios de acceso a los recursos Mínima exposición: no se vea mas que lo necesario Algunas palabras sobre seguridad SEA PARANOICO El ambiente actual está caracterizado por un mercado altamente competitivo, donde la “tecnología” y la “información” desempeñan un papel importante en la atención de clientes Los intrusos son cada vez mas sofisticados… Construyen bases de conocimientos y desarrollan habilidades Se apalancan en la automatización se mueven fácilmente a lo largo de la infraestructura y sacan provecho de la red Son cada vez más hábiles y disfrazan su comportamiento Internet se ha vuelto indispensable para los negocios IDEA FUNDAMENTAL: La seguridad es un proceso continuo que NO puede ser reemplazado exclusivamente por la compra de equipos La Seguridad NO es sólo tecnología..... Es un proceso... Ud. No puede comprar un equipo que le garantice la seguridad que necesita... Ud. Puede procurar operar de manera segura... 1 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI La seguridad como estrategia El ambiente de negocio electrónico abre nuevos riesgos en el manejo de la información de la institución, los cuales deben ser evaluados y manejados apropiadamente Ecuación del Riesgo 2 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI RIESGO = amenazas X vulnerabilidades Amenazas INTERNAS Y EXTERNAS Vulnerabilidades INTERNAS Y EXTERNAS Exposición ¡ El riesgo nunca puede ser cero ! Riesgo Residual Para manejar los riesgos, las empresas buscan tecnologías que se puedan operar de manera segura y que se ajusten a sus necesidades de negocio A nivel organizacional 3 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Vulnerabilidad y Abuso Por que son vulnerables? Hackers Virus Preocupaciones de desarrolladores y usuarios Problemas de calidad de los sistemas Complejidad Procedimientos por computadora no siempre son auditados Extensión de los efectos de los desastres Posible acceso sin autorización Radiación: alterar la grabación de datos Hardware: conexiones defectuosas. Software: Fallas de protección y control Archivos: Robo, copia Usuario: Identificación, autenticación, modificaciones al código Programador: Desmantelar módulos de protección de fallas y revelar las políticas de protección. Personal de Mantenimiento: “desmantener” al sistema Operadores: No notificar de errores que detecta Incidentes con los Sistemas de Información Caídas de sistema Vulnerabilidad Intencional No intencional Delitos Tipos 4 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Métodos de ataque Leyes Delitos de acuerdo a lo que cada ley ESTABLEZCA Amenazas a los Sistemas Información Problemas de Hardware Incendios Fallas del software Problemas eléctricos Acciones del personal Errores de los usuarios Accesos no permitidos Cambios en los programas Robo de datos Problemas en los servicios y equipos de comunicaciones Ataques Electrónicos Bombas Lógicas: Programa que "detona" cuando se ejecutan ciertas instrucciones, se cumple un plazo o en un momento especifico Sabuesos: Intercepción de telecomunicaciones Gusanos: Paralización de los sistemas Fusil HERF: High Energy Radio Frequency - intercepción electrónica de equipos para dejarlos fuera de operación o alteracion remota (ver pelicula “La Emboscada”) 5 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Desastre Perdidas de Hardware, Software, Datos, Incendios, Fallas de Energía, Inundación u otra calamidad. Sistemas para tolerar fallas: Backup, particularmente para transacciones on-line Donde ocurren los errores? Preparación de Datos Transmisión Conversión Completar formularios Entrada de datos On-Line Tipeo Otras entradas Validación Proceso / Mantenimiento de Archivos Salidas Transmisión Distribución Problemas de Calidad en los Sistemas Software & datos Bugs: Errores en el programa Mantenimiento: Modificar un Sistema en Producción puede tomar mucho tiempo Calidad de Datos: Hallarlos y corregirlos es costoso Seguridad e Internet Encriptado: Codificación de los mensajes para denegar accesos no autorizados. Autenticación: Habilidad para identificar a alguien. Integridad del los Mensajes Firma Digital Certificado Digital SECURE ELECTRONIC TRANSACTION: Estándar para transacciones con tarjeta de crédito en Internet ELECTRONIC CASH: Moneda electrónica que permite que permanezca anónimo el usuario Desarrollar una estructura de control Costos: Pueden ser caros y complicados. Beneficios: Reduce errores, perdida de tiempo, recursos Riesgo: Determinar la frecuencia de ocurrencia del problema y los daños que este provoca Encriptacion: Codificacion y modificacion de los mensajes para evitar el acceso no autorozado y la intercepcion. Autenticacion: Para identificar lo que envian terceras personas. Integridad del mensaje Firma digital 6 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Certificado digital Billetera Digital: Software que almacena info de tarjeta credito, debito, ID usuario y se usa en transacciones e-commerce. Secure Electronic Transaction: Standard para transacciones con tarjeta de credito en Internet CREDIT CARD-SET: Protocolo de pago seguro. ELECTRONIC CASH: Dinero digital ELECTRONIC CHECK: Firma digital encriptada. SMART CARD: Almacena e-cash ELECTRONIC BILL PAYMENT: Transferencias electrónicas p.e. pagomiscuentas.com Sistemas de pago electronico Abusos por Internet Hacking (y sub-clases): Acceder a datos propietarios Jamming (bloqueo): Meterse en un Host para “colgarlo” Software puro: Virus Sniffing (olfateo): Interceptar datos que pasan por un sistema: Tarjetas de Credito Spoofing: Representacion fraudulenta de la identidad (robada) Integridad Habilidad de asegurar que el soft, las aplicaciones, datos, la conectividad, configuraciones de hard y los privilegios no puedan ser alterados durante su almacenamiento y/o transmisión Disponibilidad Garantizar la posibilidad de poder utilizar los elementos de cualquier capa en el momento necesario. (plan de contingencia). Accesibilidad Que cada objeto del sistema pueda ser accedido si y solo si el sujeto que lo accede tiene autorización para hacerlo. Una cadena es tan fuerte como su eslabón más débil. “La puerta y la cerradura trabajan en conjunto” Política de Seguridad Debe abarcar y contemplar TODOS los aspectos de la seguridad y del sistema Equilibrio en la ecuación Costo = Beneficios Definición de estrategias que abarquen o Valor de la información o Costo de protegerla o Costo de perdida o Nivel físico o Nivel humano (todos) o Nivel lógico o Nivel logístico Agujeros de Seguridad Se manifiestan (en general) de cuatro modos: Agujeros de Seguridad Físicos 7 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o El problema potencial es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, y que se les permita realizar cosas que no debieran ser capaces de hacer. o Por ejemplo dejar estaciones de trabajo con facilidades de reinicialización en modo monousuario y rastrear los archivos locales de la estación. Agujeros de Seguridad en el Software o El problema está causado por una mala escritura de partes "privilegiadas" de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían. Agujeros de Seguridad por Incompatibilidades o El problema se da por falta de experiencia o por descuido del administrador del sistema, haciendo funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. o Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad. Son muy difíciles de encontrar una vez que el sistema está montado y funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier noticia o actualización. Elección y Mantenimiento de Filosofía de Seguridad o El problema es de percepción y el entendimiento. o Software perfecto, hardware protegido y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan. o Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la última parte del nombre de su login es un buen password! o La seguridad está relacionada con una política (o conjunto de políticas/normas) y el funcionamiento del sistema conforme a dicha política. Bug En inglés significa bicho. Término que procede desde los albores de la informática, cuando los computadores funcionaban con relays y lámparas de vacío. Uno de los problemas a solucionar era la presencia de insectos que se introducían entre ellos haciendo contactos indebidos provocando funcionamiento hicieran erróneo. Ahora se emplea para identificar las fallas de software. A la búsqueda y reparaciones de estas fallos se las denomina debuggers. Exploit Aprovecha vulnerabilidades de los Sistemas Operativos. Suele ser un método concreto (forma o programa) de usar un error de algún programa (bug) para entrar en un sistema informático (por ejemplo, para obtener los privilegios del administrador y así tener un control total sobre el sistema). 8 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI FRAUDE (s/LEY) Art. 173 inc 7 Código Penal: El que por disposición de la ley, de la autoridad o un acto jurídico, tuviera a su cargo el manejo, la administración o el cuidado de bienes e intereses pecuniarios ajenos, y con el fin de procurar para sí o para un tercero un lucro indebido o para causar daño, violando sus deberes perjudicare los intereses confiados u obligare abusivamente al titular de éstos. Conjunto de acciones reñidas con la ética, la moral y en muchas ocasiones con la ley orientadas a obtener un beneficio para sus autores o terceros, provocando un perjuicio económico a la entidad, tercero, etc. Para que haya fraude debe mediar ardid o engaño de aparentar una situación o aprovecharse de ella, para proceder de manera indebida, conformando ello un delito. USURPACION DE IDENTIDAD: Cuando un delincuente sustituye la identidad de una persona por la de él, ya sea: - adulterando/fraguando su documento de identidad. - realizando trámites, transacciones impersonalizadas. - apoderándose de documentación personal de la víctima para utilizarla como ardid de ingeniería social. DOCUMENTACION APOCRIFA: Elementos alojados en el legajo de apertura de un producto bancario como respaldo de documentación requerida por política comercial, los cuales luego de contrastar su veracidad, se concluye que los mismos son FALSOS, por ejemplo: - facturas de servicios. - comprobantes de pagos de impuestos. - recibos de sueldo. - contratos de locación, etc. - resúmenes de cuenta de tarjetas de crédito. - poderes, estatutos, etc. - firmas, rúbricas en legajos, etc. FRAUDE CON INGENIERIA SOCIAL: Cuando un delincuente mediante mecanismos impersonalizados como ser el teléfono, internet, correo, etc. engaña a una persona y obtiene de ella sin que lo advierta, datos particulares y sensibles de sus cuentas bancarias o de su vida familiar, etc. las cuales luego utiliza en provecho propio de manera delictual y perjudicando a dicha persona. MAN IN THE MIDDLE: Variante dentro del fraude con uso de la ingeniería social, por el cual un delincuente se comunica con un cliente haciéndose pasar por el Banco y obtiene datos de éste, y luego (o visceversa) se comunica con el Banco haciéndose pasar por el cliente. De esa forma hace un trabajo de engaño con ambas puntas, y una vez que obtuvo la información, acceso o permiso necesario para perpetrar su delito, lo ejecuta. El Banco piensa en todo momento que está hablando con el cliente y éste piensa lo mismo, a la inversa. Denegación de Servicio En ingles Denial Of Service (DoS). Incidente en el cual un usuario o una organización se ven privados de un recurso que normalmente podrían usar. Habitualmente, la pérdida del servicio supone la indisponibilidad de un determinado servicio de red, como el correo electrónico, o la pérdida temporal de toda la conectividad y todos los servicios de red. En los peores casos, por ejemplo, un sitio web 9 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI accedido por millones de personas puede verse forzado temporalmente a cesar de operar. Un ataque de denegación de servicio puede también destruir programas y archivos de un sistema informático. Aunque normalmente es realizado de forma intencionada y maliciosa, este tipo de ataques puede también ocurrir de forma accidental algunas veces. Si bien no suele producirse robo de información estos ataques pueden costar mucho tiempo y dinero a la persona u organización afectada. PGP Pretty Good Privacy - Privacidad Bastante Buena. Conocido programa de libre distribución, escrito por Phil Zimmermann, el cual impide, mediante técnicas de criptografía, que archivos y mensajes de correo electrónico puedan ser leídos por otros. Su finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales. Pharming Se denomina Pharming al acto de explotar una vulnerabilidad en el software de un servidor de DNS, que permite que una persona se "adueñe" del dominio de un website, por ejemplo, y redirija el trafico hacia otro sitio. Phishing "Phishing" (pronunciado como "fishing", "pescar" en inglés) se refiere a comunicaciones fraudulentas diseñadas para inducir a los consumidores a divulgar información personal, financiera o sobre su cuenta, incluyendo nombre de usuario y contraseña, información sobre tarjetas de crédito, entre otros. El correo electrónico comúnmente es utilizado como una herramienta de "phishing" debido a su bajo costo, mayor anonimato para quien lo envía, la habilidad de alcanzar instantáneamente a un grupo grande de usuarios, y el potencial de solicitar una respuesta inmediata. Sin embargo, los estafadores también han usado ventanas "pop-up", correo directo y llamadas telefónicas. Este tipo de correos electrónicos generalmente parecen provenir de instituciones financieras, compañías de seguros o minoristas legítimos. Técnicas tales como una dirección "De" o "From" falsa, el uso de logos aparentemente auténticos de instituciones financieras, o gráficos y ligas a sitios, suelen ser usados para engañar a los clientes y hacerles creer que están tratando con un pedido legítimo acerca de su información personal. Estos correos electrónicos fraudulentos usualmente crean un falso sentido de urgencia destinado a provocar que el destinatario tome una acción inmediata; por ejemplo, frecuentemente invitan a los destinatarios a validar o actualizar información de su cuenta, o a llevar a cabo una cancelación. Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de un enlace a una página que simula ser de la entidad suplantada. Una vez que el usuario remite sus datos, los estafadores pueden proceder a operar con los mismos. La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). 10 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros. Phreaker Persona que hackea las redes telefónicas ajenas para evitar pagar llamadas a larga distancia. Con la voz sobre Ip (voip), entre otras tecnologías, esta practica debe ser cosa del pasado. Es más barato usar el internet. Spoofing Procedimiento que cambia la fuente de origen de un conjunto de datos en una red, por ejemplo, adoptando otra identidad de remitente con el fin de engañar a un servidor firewall. Usuarios roles y permisos Un punto crítico en los sistemas es el de los permisos y es importante disponer de algun mecanismo que permita establecer que operaciones podrá realizar cada usuario. El objetivo es evitar que, por accidente o de forma intencionada, un usuario pueda realizar operaciones que comprometan la integridad y funcionamiento del sistema. Para este fin, se utiliza un sistema de roles, permisos y usuarios. Entendemos por usuario a cualquier persona que accede al sistema. Los usuarios se pueden agrupar en roles en función de las operaciones que se les permite realizar. Es decir, que cada rol se caracteriza por disponer de una serie concreta de permisos. Se entiende por permiso la posibilidad de ejecutar determinadas operaciones o no sobre los diferentes elementos del sistema. Se pueden crear los roles que se quiera, pero por lo general se suelen definir los siguientes: Visitante: usuario que simplemente podrá leer o buscar en los contenidos Usuarios regulares: se le permiten ciertos accesos para su trabajo diario. Supervisores: Roles que permiten ver lo que hacen ciertos usuarios y autorizar sus transacciones Editores/Parametrizadores: gestiona a los usuarios y todos los contenidos del sistema. Administrador: es el responsable técnico y a veces funcional y puede acceder a cualquiera de los aspectos del sistema, configurando o modificando cualquier parámetro de éste. Este usuario tiene control total sobre el mismo, por lo que puede realizar cualquier operación de configuración o mantenimiento sobre este. Control “El empleado solo hace lo que el jefe controla” Controles Físicos De acceso Seguridad de Datos Comunicaciones Administrativos Idealmente deberían ser PREVIOS / EN LA TRANSACCION y POST-TRANSACCION 11 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Seguridad por Controles Físicos Keys (llaves, tarjetas) Locks (teclado) Antropométricas Voz Huellas Dactilares Scanning del Iris Controles de acceso Algo que se “conoce” o Password Algo que se “tiene” o Smart card o token Algo que se “es” o Firma, voz, huella dactilar, scanneo retina Actualmente se combinan las 3 Controles Biométricos Foto (cambia con la edad) Huella dactilar (modificable) Geometría de la mano (cambia) Retina Voz (resfrió, laringitis, etc.) Firma (Nunca “sale” igual) Estrategia Defensiva 12 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Seguridad de Datos Confidencialidad Acceso (eyes only) Integridad del empleado Comunicación Formas de Control Paridad de datos Disparidad de datos CRC Encriptación Validación Controles Administrativos Apropiada selección, capacitación y supervisión de los empleados. Lealtad a la empresa Revocación inmediata de privilegios a empleados desvinculados o transferidos. Modificación periódica de la forma de acceso Estándares Separación de funciones Auditorias periódicas Oportunidad para los de Ciencias Económicas, en áreas de Auditoria Interna 13 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Controles de Aplicación Entrada Procesos Salida Son las distintas “validaciones” AMBIENTE DE CONTROL El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por carácter reflejo, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados. Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce sobre el comportamiento del personal en su conjunto. Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues como conjunción de medios, operadores y reglas previamente definidas, traduce la influencia colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de políticas y procedimientos efectivos en una organización. Los principales factores del ambiente de control son: o La filosofía y estilo de la dirección y la gerencia. o La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento. o La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos. o Las formas de asignación de responsabilidades y de administración y desarrollo del personal. El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento. En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de auditoría con suficiente grado de independencia y calificación profesional. El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización. Crear un Ambiente de Control Controles: Métodos, Políticas, Procedimientos para proteger activos, exactitud, confiabilidad de los registros y adhesión a las políticas corporativas Generales Aplicaciones 14 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Organización y Metodos Control en los Sistemas de Información Ubicación El costo del control Como se controla Lo hace una persona, un sistema o ambos en conjunto? Tipos de control Areas de control: recursos físicos/ información/recursos financieros/ recursos humanos. Niveles de control: Operaciones y Finanzas/Estructural/ Estratégico. Responsabilidades del control: Gerentes/ Controller / Empleados en gral. Controller: ayuda a los empleados de línea en actividades de control, coordinando y recolectando información necesaria Pasos del control Fijar standard Medir rendimiento Comparar rendimiento con standard Determinar acción correctiva Comparar lo anterior con el ciclo PDCA. Conceptos De Control En Los Sistemas Computarizados El control de un sistema computarizado puede expresarse como un plan destinado a asegurar que solo los datos validos sean aceptados, procesados completa y exactamente y que prevea la información y los registros necesarios. Existen varios ambientes de control relativos a una aplicación: o CONTROL DE PERSONAL. o CONTROL DE LAS APLICACIONES. o SEGURIDAD EN LAS INSTALACIONES DE COMPUTO Ubicación De Los Controles En Un Sistema De Información Los controles a las aplicaciones comprende tanto los procedimientos automáticos como los manuales: Los procedimientos automáticos incluyen la entrada de datos realizada en las áreas usuarias externas a la de procesamiento de datos, así como los procedimientos computarizados que controlan el flujo de datos dentro del sistema. Los procedimientos manuales se aplican en las áreas usuarias y son desarrollados para asegurar que las transacciones del procesamiento de datos sean correctamente preparados, autorizados y procesados. El flujo de transacciones en el sistema de aplicaciones comprende seis pasos: 15 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o Origen. Entrada de datos para procesamiento. Comunicación. Procesamiento. Almacenamiento y recuperación. Salida. Origen De La Transacción o Este control es necesario para asegurar que los datos estén completos y sean exactos antes de ser ingresados a los sistemas computarizados. o Origen del documento fuente o Autorización o Reparación para la entrada del procesamiento de datos o Retención de documentos fuentes o Manejo de errores en documentos fuentes. Entrada De Datos Para Procesamiento o Este control debe garantizar que al momento de entrar los datos a las aplicaciones, estos sean completos y exactos. esto se logra con una combinación de controles manuales y automáticos. ENTRADA DE DATOS. VALIDACIÓN DE DATOS. MANEJO DE ERRORES. Para desarrollar controles a la entrada de los datos, se debe tener en cuenta: EL proceso de entrada sea realizado completamente para todos los datos fuentes recibidos. Que se permita validación optima de los datos fuente. Que los procedimientos de entrada permita detectar y corregir errores y su posterior reproceso. Comunicación o Asegurar la integridad de datos mientras son transmitidos por línea de comunicación. o MENSAJES DE ENTRADA. o MENSAJES DE TRANSMISIÓN. o MENSAJES DE RECEPCIÓN. para desarrollar controles a la comunicación de datos, se debe tener en cuenta: Asegurar que los controles adecuados para comunicación de datos estén operando para cada sistema de aplicación y afectan los datos trasmitidos dentro de la organización y los trasmitidos sobre portadoras comunes. Verificar que los controles en uso funcionen correctamente. Identificar y satisfacer los requerimientos de cambio de los controles de comunicación de datos. Procesamiento o Controles para asegurar la integridad de procesamiento y manejo de errores. o IDENTIFICACIÓN DE TRANSACCIONES o MANTENIMIENTO DE ARCHIVOS o REPORTE DE ERRORES Y CORRECCIONES. o Para desarrollar controles al procesamiento de datos, se debe tener en cuenta: Verificar que todas las transacciones son convertidas en entradas para proceso Verificar totales de control significativos 16 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Verificar el procesamiento usando técnicas de prueba validas Verificar que los controles de proceso no puedan ser saltados Verificar que el principio de separación de funciones es usado en la operación del computador. Almacenamiento Y Recuperación o Estos controles son necesarios para asegurar que datos correctos y completos son mantenidos correctamente durante periodos de tiempo definidos. la validez y exactitud de los datos depende únicamente de la funcionalidad de los controles en el procesamiento. o MANEJO DE ARCHIVOS: o LIBRERÍAS, o BIBLIOTECAS, o BASES DE DATOS, o ACCESOS A ARCHIVOS, o MANTENIMIENTO DE ARCHIVOS, o BACKUPS o MANEJO DE ERRORES: o REPORTES Y CORRECCIONES DE ERRORES. o Para desarrollar controles para el almacenamiento y recuperación, se debe tener en cuenta: Se deben proveer facilidades y procedimientos para protección de archivos de datos y programas contra perdida, destrucción o cambios no autorizados. Los procedimientos deben permitir máxima facilidad de uso de archivos y programas Proveer facilidades y procedimientos de respaldo y reconstrucción de archivos Proveer procedimientos que permitan la detención de errores, su corrección y posterior reproceso. Salida. o Estos controles aseguran la integridad de los datos desde el fin del procedimiento, hasta la llegada de los datos al usuario. asegurar que la información procesada incluya datos autorizados, completos y exactos. o Balance y conciliación de información. o Distribución de datos de salida. o Control de registro de documentos. o Manejo de errores. o Para desarrollar controles al proceso de salida, se debe tener en cuenta: Utilizar los totales de control a la salida de datos. Control la distribución de los reportes después de que son impresos. Asegurar que los datos procesados son únicamente los autorizados. Seguridad De Un Sistema De Información La seguridad en los sistemas de información puede definirse como la resultante de los siguientes componentes. Controles de seguridad física y funcional. Esta dado por los controles que protegen a los equipos de computo y los datos contra: 17 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Robo Divulgación no autorizada de la información Modificaciones no autorizadas de la información Destrucciones no autorizadas de la información Las técnicas para seguridad incluyen: o Medios físicos para salvaguardar el ambiente. o Procedimientos manuales. o Rutinas de programas o Seguridad del sistema operacional. o Políticas de personal. Control De Exactitud. La exactitud esta dada por los controles para evitar errores en los datos de entrada y minimizar la posibilidad de error adicionales durante el procesamiento de los datos. o Procesos de validación de datos. o Totales de control. o Cruce de información de diferentes fuentes. Controles De Confidencialidad: Se refiere a los mecanismos necesarios para asegurar que la información se reciba y utilice únicamente por las personas autorizadas para ello: o Proceso de identificación de usuarios. o Definición de control de acceso por opción. o Registro de pistas de transacciones. o Software de seguridad. o Normas o perfiles de acceso. o Control de acceso a los datos o programas a través de restricciones lógicas. o Dispositivos de seguridad de terminales. Localización de los Controles Control: se define como Control a cualquier medida de protección orientada a asegurar que se preserve la Confidencialidad, Disponibilidad e Integridad de los Activos de Información. Algunos ejemplos de controles son: Segregación de funciones. Respaldo de información. Sistemas de detección y extinción de incendio. Chequeo de acceso a lugar restringido. Resguardo de material peligroso (identificación por etiquetado, lugar de almacenamiento) Control Preventivo: su propósito es impedir eventos que afecten la Confidencialidad, Integridad y Disponibilidad de los Activos de Información. Por ejemplo: Contraseñas Lista de control de Acceso Cortafuegos Encriptación Capacitación de los usuarios 18 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Control Recuperativo: está orientado a restaurar rápidamente los servicios y corregir el efecto de los incidentes de seguridad, así como facilitar su investigación. Por ejemplo: Respaldo de datos Soporte 7 x 24 Planes de contingencia Plan de continuidad del Negocio Control Detectivo: está diseñado para detectar intentos de penetrar las barreras de seguridad implementadas, o el uso inapropiado de los activos de información. Por ejemplo: Auditorías Monitoreo del uso de recursos Revisión de registro de eventos o incidentes. Sistemas de detección de intrusos(IDS) Delitos Informáticos Hasta el presente tomamos conocimiento de distintos hechos delictivos cometidos mediante el uso de sistemas de información automática (informática), mencionándolos como "delitos informáticos". En realidad, jurídicamente hablando, éstos fueron considerados como delitos comunes. Ampliando la definición, se dice que para que exista delito es necesario que la acción reprochable esté prevista por la legislación con anterioridad a su cometido. El concepto de "delito informático", si bien se entiende como el delito cometido en un ambiente de computación, se puede decir que es judicialmente "erróneo", dado que la mayoría de los hechos son estafas, defraudaciones y hasta hurto cometidos con una nueva herramienta humana: la computadora, y no es posible calificar el delito por el medio usado. Este nuevo medio que utiliza el hombre ha penetrado en todo el espectro de la vida, y existen tareas que ya son imposibles de desarrollar sin sistemas o computadoras. Delitos informáticos son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático. El delito Informático implica actividades criminales que un primer momento los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho. Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja. Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta. El delito es un acto humano, es una acción (acción, inacción u omisión) Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico. El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona La ejecución u omisión del acto debe estar sancionada por una pena. Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena. 19 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena. Tipos de delitos informáticos reconocidos por Naciones Unidas Fraudes cometidos mediante manipulación de computadoras Manipulación de los datos de entrada Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. La manipulación de programas Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Manipulación de los datos de salida Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. Fraude efectuado por manipulación informática Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Falsificaciones informáticas. Como objeto o Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumentos o Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. 20 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Daños o modificaciones de programas o datos computarizados. Sabotaje informático Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son: Virus Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Gusanos Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Bomba lógica o cronológica Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. Acceso no autorizado a servicios y sistemas informáticos Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático. Piratas informáticos o hackers El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Phishing: Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida 21 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de un enlace a una página que simula ser de la entidad suplantada. Una vez que el usuario remite sus datos, los estafadores pueden proceder a operar con los mismos. La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros. Reproducción no autorizada de programas informáticos de protección legal Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual. Conceptos de Delito Los delitos informáticos presentan las siguientes características principales: Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan. Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. Son muy sofisticados y relativamente frecuentes en el ámbito militar. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley. Delitos informáticos Mundialmente Tipificados Pornografía infantil por Internet u otros medios electrónicos Violación, apoderamiento y desvío de comunicación electrónica Intercepción o captación de comunicaciones electrónicas o telecomunicaciones Acceso o modificación a una base de datos personales Publicación de una comunicación electrónica (Wikileaks?) Acceso a un banco de datos personales 22 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Revelación de información registrada en un banco de datos personales Inserción de datos falsos en un archivo de datos personales Fraude informático Daño o sabotaje informático Diferencias con los delitos “reales” Frecuentemente su tipicidad es poco clara: legalidad Son potencialmente muy lesivos (proporción medios /resultados): bien jurídico Suelen ser cometidos a distancia (problemas de jurisdicción): principio de ubicuidad - territorialidad delitos de expresión Dificultad probatoria (rastros escasos): formas de cooperación. Piratería De Software La comercialización de software pirata es un delito penal reprimido por la ley de Derechos de Autor 11.723, la que por medio de la reciente reforma incluye expresamente al software, independientemente de la plataforma en la cual dicho programa se ejecuta. Ya no existe ninguna duda acerca de la protección civil y penal del software por la ley de Derechos de Autor y la posibilidad de los productores, distribuidores, licenciatarios y derechohabientes de perseguir penalmente la copia ilegal de sus productos. Las infracciones a esta ley pueden acarrear a sus responsables penas de hasta 6 años de prisión. Lo que la ley está protegiendo es el contenido, la obra creada, el derecho de autor; y lo protege en forma amplia: prohíbe la reproducción o edición, distribución o venta bajo cualquier forma, sin tener el derecho respectivo para hacerlo, permitiendo luchar contra la apropiación indebida de software por quienes lucran con la creación ajena. CASDI, Cámara del Software Digital Interactivo, es una asociación civil sin fines de lucro cuya actividad está orientada a fortalecer y optimizar las condiciones de nuestro mercado para un mejor desarrollo del software multimedia. Por ello, ha iniciado una fuerte campaña antipiratería en defensa de los derechos de propiedad intelectual que incluye también a videoclubes. Siendo de público conocimiento la existencia de las copias y falsificaciones, es imposible para un comerciante el pretender escudarse en una supuesta buena fe respecto de la compra y comercialización de dichos productos. Leyes de Protección El software, así como otras tantas obras e invenciones del hombre, forma parte de lo que se llama "propiedad intelectual", es decir, bienes intangibles que merecen ser protegidos por una ley ya que responden al ingenio, esfuerzo y trabajo intelectual de su autor, quien posee el derecho a ser remunerado por dicho esfuerzo, y debe gozar de la seguridad de que su obra, no será utilizada por otras personas para lucrar con el trabajo ajeno. 23 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI La Constitución Nacional de la República Argentina reconoce y protege el derecho de los autores e inventores sobre sus creaciones y obras (artículo 17). Por ser el software una creación, una obra intelectual como tal, está protegida por la ley 11.723 de la Propiedad Intelectual. Según el artículo 2 de la ley 11.723, el titular de los derechos sobre una obra tiene las facultades de disponer de ella, de publicarla, autorizar su reproducción en cualquier forma, etc. Por lo tanto, todo aquello que signifique una reproducción del software que no cuente con la expresa autorización del autor, significa una infracción a sus derechos, y constituye un delito a esa ley, la que especifica que la pena será aquella aplicable al delito de estafa, que es de 1 mes a 6 años de prisión. Confirmando una larga posición jurisprudencial y doctrinaria, el software fue incluido expresamente dentro del alcance de dicha ley en virtud del Decreto 165/94. Así, según lo establecido, la Ley de Propiedad Intelectual se infringe si se verifica cualquiera de las siguientes conductas: Copia o distribución de software sin haber adquirido las licencias correspondientes Utilización del software en más computadoras de las que autoriza la/s licencia/s Préstamo o renta del software para que éste pueda ser copiado o distribuido Quitar los medios técnicos aplicados para proteger el software Esto es así como aquel que emplee software que no esté debidamente licenciado y que no goce del consentimiento firme y claro de quien es el titular de los derechos, incurre en responsabilidad civil según la cual nace la obligación de indemnizar, y su actuar debe considerarse delictivo ya que dicha violación de los derechos está así prescripta en la ley 25.036 que, aclarando definitivamente cualquier interpretación errónea, asegura en su artículo 1ƒ: "Modificase el artículo 1ƒ de la ley 11.723 el que quedará redactado de la siguiente manera: Artículo 1ƒ: A los efectos de la presente ley, las obras científicas, literarias y artísticas comprenden los escritos de toda naturaleza y extensión, entre ellos los programas de computación fuente y objeto; las compilaciones de datos o de otros materiales; las obras dramáticas, composiciones musicales, dramático-musicales; las cinematográficas...." 24 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Backup Dado que resulta prácticamente imposible, debido a limitaciones tecnológicas y sobre todo financieras, almacenar en copias de respaldo todos los datos que posee una organización para su recuperación y disposición inmediata, es necesario clasificar los datos de acuerdo al grado de importancia para las funciones básicas de la organización. De este modo los datos pueden clasificarse de 3 formas: 1. 2. 3. Datos críticos: Corresponden a los datos sin los cuales la organización no puede continuar con sus operaciones. Datos necesarios: Se encuentran en esta categoría todos los demás datos que son necesarios para la compañía pero no de forma inmediata ya que las operaciones no se paralizarían sin ellos, al menos no en el corto plazo. Datos innecesarios o fuera de respaldo: Son los datos que en el caso de que se pierdan no hay necesidad de recrearlos. Una vez identificados los diferentes datos críticos se debe determinar cuanto tiempo puede seguir operando el negocio sin cada uno de ellos, y así determinar el Tiempo de Recuperación Requerido para cada dato. En este punto es importante evitar clasificar todos los tipos de datos como que requieren recuperación inmediata ya que en muchos casos no lo son realmente y esto lleva a un desperdicio innecesario de recursos. Esto es, cuanto mayor sea la velocidad a la que se necesiten recuperar los datos, mayor será el costo de la protección. El backup en cinta es el método tradicional de almacenamiento de datos de respaldo. Mediante este sistema un dispositivo de almacenamiento en cinta es conectado a un servidor y con la ayuda de un software especifico se realizan copias de respaldo de los datos del servidor a cinta con una periodicidad programada. Las cintas son cambiadas por un empleado de la compañía asignado a tal efecto y las cintas viejas son almacenadas en un deposito fuera de la compañía. Para recuperar datos, la cinta que los contiene es buscada en el depósito y llevada nuevamente a la organización donde se procede a la extracción de los archivos. El avance en las tecnologías de almacenamiento de datos permite hoy en día, y seguramente se establecerá como estándar en el mediano plazo, la implementación de dispositivos de almacenamiento ópticos (DVDr) que reemplazaran a la cinta debido a la gran capacidad, creciente velocidad y cada vez menor costo así también como su alta confiabilidad y duración ya que prácticamente no se deterioran con el paso del tiempo. Ventajas: Almacena datos fuera de la compañía para protegerlos contra robos y desastres dentro de la misma y provee un archivo de datos previos. Desventajas: El almacenamiento en cinta no es del todo confiable. Además requiere intervención y monitoreo constante de personas. Por otro lado al estar almacenadas en otro lugar, en el caso de necesitar recuperar datos en forma urgente, es decir, en el momento, la limitación de la distancia demora el proceso. Entre ellas se encuentran los métodos en los que se utilizan RAIDs para replicar los datos contenidos en un disco primario y almacenarlos en un disco secundario dentro de la organización copiándolos continuamente, creando de este modo una imagen idéntica de los datos originales. De esta forma si el dispositivo de almacenamiento principal sufriera algún desperfecto, la organización podría seguir operando utilizando los datos duplicados en los dispositivos de almacenamiento de respaldo. Ventajas: Provee una copia de los datos críticos actuales que pueden estar disponibles en forma inmediata. También reduce la principal causa de perdida de datos, las fallas del hardware. 25 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Desventajas: Se limita a proteger contra fallas del hardware. Si un dato original es borrado o corrompido, el daño se duplicará en la copia de respaldo y no se podrá revertir. Replicación Off-Site Este método utiliza software de replicación y una conexión de red para copiar los datos de un servidor original a uno ubicado fuera de la organización donde es guardado como copia de respaldo. Los datos se transmiten vía Internet o una conexión de red privada entre los dos lugares. Ventajas: Provee una copia de los datos críticos actuales los cuales se almacenan fuera de la organización, protegiéndolos de daños físicos. Los datos están disponibles en forma inmediata. También reduce la principal causa de perdida de datos, las fallas del hardware. Desventajas: El costo del hardware y el software puede ser demasiado elevado y como en la redundancia de datos si un dato original es borrado o corrompido, el daño se duplicará en la copia de respaldo y no se podrá revertir. Servicio de Administración de Backup Online o en la nube Esta solución combina aspectos del backup en cinta y la replicación off-site brindando una solución tercerizada. En primer lugar se replican los datos a través de Internet mediante una conexión de banda ancha, en un servidor que esta ubicado fuera de la organización y que pertenece a quien brinda el servicio. Los datos del servidor de respaldo son archivados en cinta en intervalos regulares y son almacenados en lugares seguros. La recuperación de datos puede realizarse en forma inmediata a través de la misma conexión a internet. Ventajas: Permite el acceso tanto a datos recientemente copiados como a datos históricos. Los datos son almacenados off-site, pero pueden ser recuperados en minutos. Los backups se realizan en forma automática lo cual no permite que se produzcan errores por la intervención de humanos. Desventajas: Requiere una conexión con un ancho de banda suficiente. Para mas de 20 GB de datos es necesaria una conexión T1, para las menores alcanza con una DSL. Si se necesita un ancho de banda superior para usar el servicio, el costo total puede ser muy elevado. El costo de no hacer backup Una posibilidad diaria: que ocurra un desastre. Y actualmente, puede ocurrir. Incluso muy frecuentemente ocurre la pérdida de archivos aislados. El costo de recuperar esos datos puede ser muy significativo. La pérdida de archivos y datos, implica una gran pérdida de tiempo y también la pérdida de negocios o clientes en situaciones críticas o si no puede encontrar la información cuando la necesita. La mayoría de las personas conocen a alguien que ha perdido los datos. El costo de rehacer los datos perdidos puede ser muy significativo. Cuando se pierden datos, de una manera u otra hay formas de recuperarlos. Por ejemplo, la información que tiene copias en papel, puede ser retipeada. Incluso algunos archivos pueden estar compilados en otro medio; sin embargo, las actualizaciones realizadas se habrán perdido. Anualmente, en USA se gastan millones de dólares en rehacer la información perdida. Incluso, hay empresas especializadas en regenerar archivos y datos dañados desde el medio de almacenamiento dañado. Este método es costoso en tiempo y dinero, pero afortunadamente muchas veces se logra recuperar los datos. En otros casos los datos se pierden definitivamente ya sea porque no hay copias existentes o porque la cantidad de datos perdidos es tanta que es 26 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI imposible recuperarlos. Sólo la imaginación pone límite a las consecuencias posibles de perder información. He ahí su red. Archivos dañados o un crash de disco pueden dejar knock out a su red. El tiempo de baja puede significar cientos o miles de dólares de pérdida. Sin una rutina apropiada de backup y recuperación, el tiempo perdido puede ser más que grave. Clasificaciones de Backup De acuerdo a como se realice el método de backup pueden diferenciarse varias clasificaciones las cuales no son excluyentes entre si, sino mas bien complementarias. Según cantidad relativa de datos Backup completo, diferencial o incremental. Se pueden combinar de varias formas. Siempre debería guardarse un backup completo off-site. En un backup completo se almacenan la totalidad de los datos necesarios de una organización. En un backup diferencial se guardan todos los datos que fueron modificados desde que se realizo el ultimo backup completo o incremental. En un backup incremental se guardan todos los datos que fueron modificados desde que se realizo el ultimo backup haya sido este completo, diferencial o incluso incremental. La ventaja del backup incremental es que es mas rápido que los demás, pero en el momento de la recuperación de datos será mas lento el proceso. Según la periodicidad con que se realiza Puede ser semanal, diaria, por hora, etc. La periodicidad con que se realicen las copias de respaldo estará dadas por las necesidades especificas de cada compañía. Tal vez sea innecesario para una compañía pequeña realizar backups completos todos los días. Podría, en cambio, realizar backups incrementales diarios y completos en forma semanal. Sin embargo grandes compañías que manejen grandes volúmenes de datos en forma diaria tal vez necesiten realizar backups por hora, ya que no pueden permitirse perder los datos recolectados durante las anteriores 23 horas si realizaran backups diarios. Según en qué tipo de equipo se realice Las posibilidades son: servidor o estación de trabajo. Mientras que una estación de trabajo se maneja por si misma, en un servidor influyen la actividad de los dispositivos instalados y la red. La diferencia entre ambos esta dada en la en los requerimientos de performance de los componentes de backup. Según desde donde se realice. Puede ser backup local o remoto. Concierne solamente a lo relacionado con los servidores. Para hacer un backup remoto en una estación de trabajo es necesario que esta se conecte con un servidor. La cuestión es si se realiza el backup dentro o fuera del establecimiento. Independientemente de donde se realice el proceso de backup, las copias de respaldo deben almacenarse off-site. 27 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Políticas de Seguridad ¿Qué son? o Normas y procedimientos definidos para asegurar la disponibilidad e integridad de la información y recursos de una organización Tipos de políticas o Política de programa: debe: crear y definir un programa de seguridad de computación: debe ser claro en cuanto a qué recursos cubre (hardware, software, personal, información) establecer direcciones estratégicas de la organización: definición de metas del programa, como por ejemplo, reducción de errores. asignar responsabilidades: para implementación del programa referirse al cumplimiento de la política: requerimientos para establecer el plan y penalizaciones a aplicar a quienes no cumplan la política. o Política de asuntos específicos: debe: Tratar áreas específicas de relevancia para la organización, como por ejemplo, conectividad a internet o privacidad de correo electrónico. Ser actualizada con frecuencia, a medida que aparecen cambios en la tecnología utilizada. Contener una declaración del asunto: la posición de la organización, aplicabilidad, roles y responsabilidades, cumplimiento y punto de contacto. o Política de sistemas específicos: debe: Enfocarse en decisiones: tomadas por la gerencia para proteger un sistema en particular, tales como definir hasta dónde se registrará las acciones de los individuos. Debe realizarse basada en un análisis técnico Variar de un sistema a otro: cada sistema necesita objetivos de seguridad definidos basados en los requerimientos operacionales, ambiente y aceptación del riesgo por parte de la gerencia. o Ser expresadas como reglas: quién (por categoría de trabajo, ubicación dentro de la organización o nombre) puede hacer qué (modificar, borrar) a qué clase específica de registros de datos y en qué circunstancias. ¿Cómo debe ser la política de seguridad? Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. Rayar la cancha con respecto al uso de los recursos de información. Definir la base para la estructura de seguridad de la organización. Ser un documento de apoyo a la gestión de seguridad informática. Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo Ser general, sin comprometerse con tecnologías específicas. Debe abarcar toda la organización Debe ser clara y evitar confusiones No debe generar nuevos problemas Debe permitir clasificar la información en confidencial, uso interno o pública. Debe identificar claramente funciones específicas de los empleados como: responsables, custodio o usuario, que permitan proteger la información. 28 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Contraseñas El 50% de los adultos nunca han cambiado la clave de su PC o de acceso a Internet. Además, sólo el 10% la modifica mensualmente. Las razones esgrimidas fueron: o la falta de interés en recordar una nueva contraseña (el 25%), o que cambiar de password representa una actividad irritante (aproximadamente el 20%) o aspectos sentimentales (el 13%). A pesar de que se recomienda no usar temas clásicos para las contraseñas… o el 41% de los consultados ha elegido el nombre de su pareja y o el 25% el de alguno de sus hijos. Password Permite una clara y unívoca identificación La PASSWORD es confidencial Bloqueo de user-id Accesos múltiples Supresión de password Archivo de password Expiración de password Longitud/composición de password Capacidad de desconexión por tiempo Strong Password Letras mayúsculas Letra minúsculas Números Símbolos A veces: no ingresables por teclado Ser lo suficientemente largas o Compuestas por caracteres al azar o No ser igual a la anterior o No ser visibles cuando son tecleadas o No aparecer ‘en claro’ en el equipo o transmisión o No se permiten más de 3 intentos o Cambios periódicos o Período de vigencia o Se registran intentos fallidos o La gestión de passwords es confiada a Seguridad Informática o Las passwords tienden a ser es un mix de todas Las passwords usuales segun Hackers Chronicle Fechas de nacimiento Nombres de autos, perros, novias, clubes Malas Palabras 29 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Connotaciones Sexuales Mezclas de los anteriores Según 2600.com solo un 9% de las passwords “hackeadas o descubiertas” no guardaba relacion con nada de las personas Si se accede al ambiente del individuo su password está alli (monitores, teclados, calendarios, fotos, etc.) Si se accede a su escritura manuscrita se tiene acceso mas facil a su perfil de pensamiento y actitud (grafologia) Si se conoce su foto = morfopsicologia Hackers Son las componentes claves para comprender a los hackers, pues permiten identificar qué propósito hay detrás de un intento de intrusión. Reto: Era la motivación original, dadas las dificultades inherentes. Se asocia frecuentemente con hackers sin objetivos específicos: personas que invaden sistemas por “diversión”, sin importarles realmente qué sistemas comprometen. Codicia: Muy antigua para actos delictivos. Incluye el deseo de ganar dinero, bienes, servicios ó información. Sus objetivos son sitios que permitan obtener dinero (bancos, comercio electrónico), software ó información que pueda ser vendida. Propósito mal intencionado: El objetivo es causar daño: Vandalismo. Buscan de manera activa formas para dañar a una organización ó sitio específico. Tienden a estar enfocados a propósitos particulares: denegar servicios, modificar sitios Web ó correo electrónico, etc. ¿Qué queremos proteger? Activos (recursos que forman parte del sistema): o Fungibles: Elementos que se consumen con el uso (poco importantes). o Hardware: Elementos físicos. o Software: Programas lógicos. o Datos: Información manejada por el hardware y el software (prioritario). o Otros: Personas, infraestructuras. Estereotipos Sociales Computer Underground o Hacker o Cracker o Pirata Informatico o Phreakers o Sneakers o Lammers Adictos o Utilizacion obsesiva de juegos electrónicos o Obsesion por la tecnología 30 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o Exploracion Compulsiva Adiccion a juegos on-line: banda ancha Compras compulsivas en linea: (datamining) Adiccion a las ciber-relaciones Adiccion ciber-sexual Diferencias entre hackers, lammers y crackers La cultura del hacking en nuestros días parece que va en decadencia, debido al gran éxito de otras grandes corrientes de influencia en la Internet como la Web 2.0 y el boom de los blogs. Sin embargo, esta cultura “1.0″ aún subsiste y en este post vamos a conocer las diferencias entre los verdaderos hackers, los molestos lammers y los audaces crackers. Hackers Un hacker es una persona com amplios conocimientos de informática, redes, internet y demás tecnologías asociadas, que aprovecha sus vastos conocimientos sin fines de lucro aparente para acceder a información clasificada o no pública. Un hacker se auto describe como una persona normal y que nunca dice o presume de serlo. Un hacker es capaz de analizar las deficiencias o huecos de seguridad de un sistema o aplicación, encontrar todas las fallas posibles, así como sus soluciones y generalmente lo comunica por diversos medios, con el fin de que la comunidad apoye en aumentar la seguridad, o bien, para beneficiar a la misma. Individuo que irrumpe en las computadoras. Los estudios han encontrado que suelen ser: o Sexo masculino o Edad entre 16 y 35 años o Solitarios o Inteligentes o Competentes técnicamente o Tienen conocimientos acerca de las redes y de las computadoras, así como de su funcionamiento. o Algunos alcanzan a tener elevados conocimientos sobre los protocolos y sobre como utilizarlos para que los sistemas actúen de ciertas formas. Definición inicial de los ingenieros del MIT que hacían alardes de sus conocimientos en informática. Entre muchas clasificaciones están las de: o White Hat (generalmente no delictivos), o Blak Hat (generalmente es delictivo) y o Grey Hat (reconvertidos por la empresa). Lammers En palabras de un verdadero hacker, un lammer no es más que un intento de hacker o un “hacker newbie (novato)”, quien con el solo hecho de realizar algún hackeo menor llega a sentirse el más grande hacker de la historia, y gusta de divulgarlo a los 4 vientos. Generalmente este tipo de “hackers” (si es que se les puede llamar así), suelen ser adolescentes de entre 10 y 16 años que se están iniciando en el mundo del hacking y cualquier logro menor lo toman con mucha euforia. 31 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Su más grandes armas son los tutoriales realizados por hackers avanzados, y una vez que logran realizar dicho tutorial, gustan de presumir su logro diciendo que lo “lograron solos y sin ayuda”. Crackers Un cracker puede definirse como un hacker especializado en romper cadenas y keys de seguridad en aplicaciones informáticas, con el único fin de usar dichas aplicaciones de manera 100% funcional sin pagar el costo de las respectivas licencias. Al contrario de un hacker, un cracker analiza las deficiencias o psibles agujeros de seguridad de un sistema o aplicación, y busca la manera de quebrantarlos buscando su propio beneficio. Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés. Script kiddie Un inexperto, normalmente un adolescente, que usará programas que se descarga de Internet para atacar sistemas. Intrusos Un problema significativo de seguridad para los sistemas en red es el acceso hostil o no autorizado por parte de usuarios ó de software. La entrada ilegal de usuarios puede ser mediante acceso no autorizado a un equipo, adquisición de privilegios ó realizar acciones para las que no ha sido autorizado, mientras que en el caso del software puede tratarse de virus, gusanos ó caballos de Troya. Un intruso, generalmente conocido como hacker ó cracker, puede ser clasificado como: o Suplantador: individuo NO autorizado a usar un computador o Usuario fraudulento: usuario legítimo que accede a datos, programas ó recursos a los que no está autorizado. Normalmente es un usuario interno. o Usuario clandestino: individuo que toma el control de supervisión del sistema y lo usa para evadir los controles de auditoría y de acceso ó para suprimir información de auditoría. Técnicas de intrusión El objetivo del intruso es obtener acceso a un sistema ó aumentar el rango de privilegios por él accesibles dentro del sistema, lo cual requiere que adquiera información protegida. En la mayoría de los casos, la información se encuentra protegida bajo la contraseña de algún usuario. El archivo de contraseñas puede ser protegido mediante: o Cifrado unidireccional: crypt o Control de acceso: /etc/shadow Detección de intrusiones Herramienta usada por el personal de seguridad para proteger una organización de ataques. Concepto reactivo que intenta identificar a un hacker cuando éste intenta una penetración. También puede ayudar a la identificación proactiva de las amenazas activas, proporcionando indicaciones y advertencias de que una amenaza está reuniendo información para un ataque. 32 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Técnicas para detección de intrusos El funcionamiento típico de las herramientas para detectar intrusos se basa en el análisis pormenorizado del tráfico de red, el cual, al entrar al analizador, es comparado con firmas de ataques conocidos o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. Comúnmente se utiliza un Sistema para Detección de Intrusos (Intrusion Detection System – IDS) que tiene sensores virtuales (sniffer de red) con los que el núcleo del IDS puede obtener datos externos sobre el tráfico de red. Gracias a dichos sensores, el IDS detecta anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. Un IDS no sólo analiza qué tipo de tráfico es, también revisa el contenido y su comportamiento. Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Integración con firewall Normalmente el IDS se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall. Al integrarles, se obtiene una herramienta muy poderosa que une la inteligencia del IDS y el poder de bloqueo del firewall, el punto por donde forzosamente deben pasar los paquetes y donde pueden ser bloqueados antes de penetrar en la red. Tipos de IDSs Existen tres tipos de sistemas de detección de intrusos: o HIDS (HostIDS): un IDS vigilando un único computador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesamiento es mucho menor. o NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo, capturando así todo el tráfico de la red. o DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor, compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN). HIDS Sus sensores pueden determinar diversos tipos de eventos, así como si el ataque tuvo éxito. Los cinco tipos básicos de sensores son: o Analizadores de bitácoras (logs): Vigila los archivos apropiados del sistema. o Sensores basados en firmas: Compara el tráfico de la red con conjuntos de firmas de eventos de seguridad. o Analizadores de llamadas al sistema: Revisan las llamadas entre aplicaciones y sistema operativo. o Analizadores del comportamiento de la aplicación: Se analiza si la aplicación tiene permisos para ejecutar la acción. 33 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Verificadores de la integridad de los archivos: No proporciona identificación de ataque, expone en detalle los resultados del ataque. NIDS Ventajas o Puede estar completamente oculto en la red de modo que un atacante no sabrá que está siendo monitoreado. o Se puede emplear un NIDS simple para monitorear el tráfico en un gran número de sistemas objetivo potenciales. o Puede capturar el contenido de todos los paquetes que viajan hacia un sistema objetivo. Desventajas o Sólo puede dar alarma si el tráfico coincide con reglas ó firmas previamente configuradas. o Puede perder tráfico de interés debido a uso de ancho de banda elevado ó de rutas alternas. o No puede determinar si el ataque tuvo éxito. o No puede examinar el tráfico que está cifrado. o Las redes conmutadas requieren configuraciones especiales para que el NIDS pueda examinar todo el tráfico. Virus Los virus informáticos son una de los principales riesgos de seguridad para los sistemas, ya sea que estemos hablando de un usuario hogareño (y corporativo) que utiliza su máquina para trabajar y conectarse a Internet o una empresa con un sistema informático importante que debe mantener bajo constante vigilancia para evitar pérdidas causadas por los virus. Un virus se valdrá de cualquier técnica conocida –o poco conocida- para lograr su cometido. Así, encontraremos virus muy simples que sólo se dedican a presentar mensajes en pantalla y algunos otros mucho más complejos que intentan ocultar su presencia y atacar en el momento justo. HISTORIA Los virus tienen la misma edad que las computadoras. En 1949 John Von Neumann, describió programas que se reproducen a sí mismos en su libro "Teoría y Organización de Autómatas Complicados". La característica de auto-reproducción y mutación de estos programas, que las hace parecidas a las de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos. Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix en los años 60. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core Wars", que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. 34 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por Core Wars (antivirus) Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del tema. No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores. Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia comienza a crear situaciones graves. Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho conoció el programa Core Wars, creado en la AT&T, y lo difundió entre sus amigos. Ellos se encargaron de diseminarlo por diferentes medios a redes y equipos. Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus. VIRUS EN LAS REDES La frecuencia de los virus informáticos y sus altos costos han motivado el desarrollo y adopción de protecciones de virus servidores de redes. De hecho actualmente existen mas de 10000 virus en todo el mundo y de acuerdo con encuestas realizadas. Las infecciones en distintos países oscilan entre el 35% y el 85% anual. Virus Programa “malo” Un virus es un archivo ejecutable capaz de realizar acciones sin el consentimiento del usuario. Difícil de rastrear Se reproduce rápidamente Puede destruir datos, procesos y equipos Virus Falsos = Hoax Un virus puede reproducirse, auto ejecutarse, ocultarse, infectar otros tipos de archivos, cambiar de forma, residir en memoria, etc. Malware - Código Malicioso Noción usual de virus informático establecida en 1984, en la conferencia IFIC/SEC´84 por Fred Cohen, en paralelismo con los virus biológicos. “Software maligno capaz de reproducirse a sí mismo“. Todo código que lleve a cabo acciones nocivas contra un sistema informático. Quien fabrica los virus…? Existen algunas teorías acerca de quién o quienes fabrican virus: o Las empresas de Software. o Las empresas que fabrican antivirus. o Estudiantes. 35 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Personas comunes por “casualidad” CARACTERÍSTICAS Residir en Memoria: un programa puede cargarse en la memoria del computador, y desde allí infectar todos los archivos ejecutables que se usen. No residentes: solo pueden infectar cuando el programa infectado es ejecutado. Ocultamiento: Un virus puede esconderse de los antivirus, redirigiendo la lectura del disco hacia otro sector, o por el tamaño del archivo que infectan, modificando la información para que el antivirus no detecté que el archivo creció. Encriptado: este es otro método de ocultamiento, por el cual el virus permanece encriptado hasta que se ejecuta. Polimórficos: estos virus tienen la capacidad de mutar cambiando parte de su programación de un momento a otro. Ejecutables por evento: se ejecutan cuando un evento sucede en la PC. Multipartitos: aquellos virus que son capaces de infectar tanto archivos como sectores de booteo. Generaciones de Virus Primera Generación o El mayor objetivo era la de perturbar y burlarse de sus víctimas. Su forma de ataque era directa y devastadora. Segunda Generación o Fue el resultado de la aparición de los programas antivirus. El objetivo pasa de ser la burla al mayor daño posible, alterando archivos de datos. Tercera Generación o Surge la técnica de auto-polimorfismo, la cual apunta a que ninguna parte del código del virus permanezca estable. Otra característica es la de PMD+ (Principio de mayor daño potenciado) Distintos Tipos de Virus ACSO (Antes de Cargar el Sistema Operativo) o Son aquellos que se alojan en el sector de booteo y que toman el control del sistema cuando se prende la computadora. Bombas Lógicas o Se copia subrepticiamente en el sistema y permane- cen latentes hasta que un evento externo la despierta, puede ser una combinación de teclas, una fecha determinada, etc. o Permanecen camuflados dentro de otros programas y se e activan al producirse un acontecimiento determinado: una fecha (Bombas de Tiempo), una combinación de teclas, o un estilo técnico (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario. Gusanos o Éstos se diferencian de los virus en que no necesitan de un anfitrión para subsistir. Ataca principalmente en redes. Caballos de Troya 36 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Se camufla como si fuera una aplicación que cumple una función determinada y cuando se la ejecuta su comportamiento es otro. EXEVIR o Atacan fundamentalmente archivos.EXE y cuando éstos se ejecutan, el virus se activa, se carga en memoria y toma el control del sistema. Macro-virus o De reciente aparición afectan archivos de Word, Excel que contienen códigos de macros. Joke Program o Es inofensivo. o Simula las acciones de un virus informático gastando una broma a los usuarios, haciéndoles creer que están infectados. Prevención primaria Utilizar un programa antivirus actualizado en forma semanal, residente en memoria (“centinela”), configurado para analizar archivos comprimidos, emails y texto plano, Analizar semanalmente todo el equipo Configurar un segundo programa antivirus Utilizar un programa “filtro” tipo MailWasher En conexiones continuas o prolongadas, utilizar un firewall o Desactivar la “vista previa” del correo electrónico o Demarcar la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. o Marcar la opción "Mostrar todos los archivos y carpetas ocultos”* Recomendaciones en archivos adjuntos: o Tradicional: nunca abrir archivos adjuntos que envía un desconocido o Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda, consultar con el remitente o De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble extensión o Estar atentos a Alertas de sitios serios; instalar “parches” de seguridad: Signos y síntomas En directorios y archivos: o La cantidad de espacio disponible es cada vez menor. o Aumento de tamaño de archivos o Algunos archivos desaparecen del disco (borrados). o El directorio muestra archivos desconocidos por el usuario. o Los archivos son sustituidos por caracteres ilegibles. o Alteración en la indicación de la hora de un archivo. En la ejecución de aplicaciones: o Los programas tardan mas tiempo en cargarse o no son operativos. o Algunas aplicaciones trabajan mas lentamente que lo normal. o Al abrir un archivo aparecen errores que antes no existían. o Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados. Funcionamiento del sistema: o Rendimiento del sistema reducido. 37 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o o La cantidad de memoria disponible cambia o disminuye continuamente. Arranque incompleto del sistema o fallo en el arranque. Escrituras inesperadas en una unidad. Mensajes de error extraños o no estándar. Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla. Sectores erróneos en discos. Cualquier operación extraña que su computadora no realizaba antes y que de un momento a otro comienza a ejecutar. Otros errores no justificados. Como prevenirse… Nivel Corporativo o Teniendo una buena política de seguridad, ello implica: tener software original evitar el ingreso de discos / pen drives ajenos a la empresa, como es el caso de los jueguitos. capacitar al personal sobre los peligros que implica un virus. Nivel Personal o Revisación de cada uno de los disquettes que se ingresan en la computadora. Ataques de los Virus Interrupción o Cortar el flujo de comunicaciones o Cortar el acceso a dispositivos o Cortar la comunicación entre equipos o Ocupación de canales Intercepcion o Tener acceso a un mensaje o Leer alguna transmisión o Acceder al trafico de un canal Espionaje o Aprender de algun sistema o Robar datos o Key recorders o Tracking de transacciones Modificaciones o Cambiar información o Alterar programas o Reordenar archivos o Cambiar localización de los datos Destrucción o Romper programas o Inutilizar equipos o Sobrecargar los equipos 38 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Atacar hardware Integridad o Que existan varios valores de los datos o Alteración de registros o Modificar los back-ups Generacion o Creación de nuevos objetos dentro del sistema. o Su detección es difícil: delitos de falsificación. o Ejemplos: Añadir transacciones en red. Añadir registros en base de datos. Acciones varias. Fraude: o Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica que sufre de esta forma una pérdida económica. o El autor del delito logra de esta forma un beneficio normalmente económico. Sabotaje: o Acción con la que se desea perjudicara una empresa entorpeciendo deliberadamente su marcha, averiando sus equipos, herramientas, programas, etc. o El autor no logra normalmente con ello beneficios económicos pero pone en jaque mate a la organización. Chantaje: o Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer información privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa. Mascarada: o Utilización de una clave por una persona no autorizada y que accede al sistema suplantando una identidad. o De esta forma el intruso se hace dueño de la información, documentación y datos de otros usuarios con los que puede, por ejemplo, chantajear a la organización. Virus y Gusanos Virus: o o o Código diseñado para introducirse en un programa, modificar o destruir datos. Se copia automáticamente a otros programas para seguir su ciclo de vida. Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos ejecutables. Gusanos: o Virus que se activa y transmite a través de la red. o Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM. o Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la red como ya estamos acostumbrados. 39 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Caballos de Troya y Spam Caballos de Troya: o Virus que entra al computador y posteriormente actúa de forma similar a este hecho de la mitología griega. o Así, parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y expandiéndose. o Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala en un programa. Spam: o El spam o correo no deseado, si bien no puede considerarse propiamente como un ataque, provoca hoy en día pérdidas muy importantes en empresas y muchos dolores de cabeza. Puertas traseras (Backdoors) Mecanismos para circunvalar los mecanismos de autentificación. Frecuentemente utilizado por programadores durante el desarrollo de aplicaciones. Aceptables en esta fase, pero extremadamente peligroso tras la implantación del sistema. ¿Siempre es un olvido eliminar las puertas traseras? Superzapping Procedimientos o herramientas que evitan ciertos controles del sistema operativo, para ser utilizadas en caso de necesidad extrema. `superzap': Antigua herramienta de emergencia para realizar tareas administrativas. No es una puerta trasera, ya que todo el mundo conoce su existencia. Vulnerabilidad grave: alto riesgo y alto impacto. Técnicas salami Desvío de pequeñas cantidades de recursos de una gran fuente. Especialmente críticos en bancos o en entornos que manejen datos económicos (por ejemplo, sueldos). Round down, redondeo hacia abajo, es el caso mas habitual. Denial of Service (Denegación de Servicio) Tipos de Ataques ser remite solo a los ataques Denial of Services primeros o conocidos como ataques de un solo PC. Sin ayuda especializada de otros PC. Ataques Distributed Denial of Services son ataques que cuentan con ayuda de otos PC. O sea que se utilizan muchos PC como centro de cómputos. Detección y Prevención cuenta de cómo detectar los ataques o formas de prevenir que lleguen estos, un caso en el que todos pensamos es en los firewall, y si esta es una forma de prevenir ataques pero también hay otras formas. Solución distribuida (Intel) mecanismo de protección de servidores sobre ataques de tipos denial of services. Que es dejar fuera de servicio? o Dejar fuera de servicio es hacer que el servidor provoque un falla y por lo tanto se caiga (se cuelgue) y deba reiniciarse o que el servidor diga que esta en un estado correcto pero 40 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI no pueda atender mas clientes porque tiene una sobrecarga de peticiones. Esto también se considera un ataque de tipo Denial of Service, o sea la idea general o la intención general es dejar al servidor por algún motivo con bajos recurso para poder prestar su servicio. o Algunos de estos ataques o tipos de ataques se hacen en combinación, y Sebastián les va a contar un ejemplo de ataques combinados. Después están los ataques Distribuidos de Denial of Service que estos son los ataques en los que los atacantes no están identificados por el servidor atacado porqué?, Porque los que los que atacan realmente al servidor son otras maquinas y el atacante solo usa a estas maquinas y las coordina para que el ataque sea mas fuerte, de esta forma no hay servidor potente que no tenga problema, estoy teniendo un poder de computo mucho mas mayor... o Ping of death Consiste en enviar un paquete ICMP de gran tamaño. Cuando se recibe, se reconstruye, pero debido a su gran tamaño provoca un desbordamiento de buffer. Fue el precursor de los ataques de tipo DoS. o ICMP Flood Consiste en “inundar” de paquetes ICMP al host víctima. Los paquetes enviados son paquetes ICMP falseados que provocan que la víctima corte las conexiones actuales. o Smurf y Fraggle Los ataques Smurf consisten en enviar paquetes ICMP a las direcciones broadcast de la red con la dirección IP de la víctima. Las direcciones broadcast responden luego a la dirección IP de la víctima saturándolo. Los ataques Fraggle son iguales a los ataques Smurf, pero se envían paquetes UDP. Los enrutadores suelen no responderse a los paquetes broadcast ICMP y UDP originados fuera de la red como forma de prevención de éste tipo de ataques. o SYN Flood Consiste en enviar un paquete SYN al servidor y no responder al paquete SYNACK enviado por éste. El servidor espera un tiempo (corto) para la respuesta del SYNACK. Si se mantiene éste tipo de actividad por mucho tiempo, y si se envía una gran cantidad de paquetes SYN, hace que el servidor se ralentice o se paralice completamente. Ataque muy potente, pues no se necesita un gran poder de cómputo por parte del atacante. o UDP Flood Consiste en enviar grandes cantidades de paquetes UDP contra la víctima. Los paquetes UDP enviados suelen tener la dirección IP del emisor falseada (IP Spoofing) para enmascarar su origen. o Connection Flood Se basa en que prácticamente todos los proveedores de Internet tienen un tope de conexiones máximo. Si el atacante establece el tope de conexiones soportadas, monopoliza la capacidad del servidor, y si no realiza ninguna actividad sobre éstas, lo deja inactivo. o Net Flood 41 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o Consiste en enviar grandes cantidades de solicitudes de conexión, evitando que las conexiones de los demás usuarios puedan llevarse a cabo. Suele ir acompañado de IP Spoofing, para ocultar la dirección real del atacante. SUPERNUKE o WINNUKE Son ataques a equipos Windows que escuchan peticiones por los puertos 137 a 139. ICMP Nuke: Consiste en el envío de paquetes ICMP maliciosos provocando que se corten las conexiones de la víctima. OoB Nuke (Out of Band): Provoca una caída del sistema enviando un paquete UDP malicioso al puerto 139. Esto se debe a un bug en Windows 3.x, 9x y NT. Teardrop Los ataques de tipo Teardrop se basan en errores de implementación de algunas colas IP que no vuelven a recomponer correctamente los fragmentos de paquetes, haciendo que el sistema se cuelgue. Son ataques especialmente peligrosos, ya que existen varios tipos de implementaciones que explotan ésta debilidad. Las más conocidas son Newtear, Bonk y Boink. Mail bombing Consisten en enviar grandes cantidades de correo basura a una casilla determinada, provocando que ésta se sature y no pueda recibir más emails. No es considerado del todo como un ataque DoS, pues no están encaminados a saturar ningún sistema. Denegación de Servicios Distribuidos Consiste en realizar un ataque DOS desde múltiples maquinas al mismo tiempo por un atacante. Aumenta la efectividad del ataque Utilización de una red de máquinas cómplices Distribución con arquitectura cliente / servidor Utilización de cientos o miles de máquinas en un Ataque Firewalls analizan los paquetes que entran en la red y bloqueando aquellos que no cumplen el criterio de seguridad predefinido. Sin embargo los firewalls tienen un éxito limitado en contra de los ataques de denegación de servicio (DoS). Aunque algunas herramientas de ataques distribuidos DoS usan puertos específicos, la mayoría de ellas no lo hace. Si el firewall autentica cada conexión (mediante una aplicación proxy) puede haber posibilidades de bloquear los ataques, pero en la práctica los firewalls que hacen esto último son escasos. Una limitación adicional importante de las actuales soluciones IDS es la poca habilidad para atrapar datos de intrusos de la red y redirigirlos a un lugar seguro para elaborar el análisis pertinente. Esto puede ser la clave para descubrir patrones de comportamiento de los intrusos y tenerlos en cuenta para futuros ataques. Más aún, la tendencia actual de las organizaciones a instalar sistemas antivirus en servidores y firewalls contribuye a la latencia de la red. 42 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Consecuencias Virus - ComputerWorld CICLO DE VIDA DE UN VIRUS CREACIÓN GESTACIÓN REPRODUCCIÓN ACTIVACIÓN DESCUBRIMIENTO ASIMILACIÓN ERRADICACIÓN ¿Similar a un virus“humano”? Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente. El siguiente resumen describe cada etapa: Creación: o o hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación assembler. Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus. Generalmente, los creadores de los virus, son personas maliciosas que desean causar daño a las computadoras. Gestación: o Luego de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras organizaciones. Reproducción: o Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados. 43 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Activación: o Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco. Descubrimiento: o Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática. Asimilación: o En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y el tipo de virus. Erradicación: o Si suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede erradicarse cualquier virus. Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza. Tipos de Virus La mayoría de los virus informáticos se dividen en cuatro clases: Virus de Arranque Hasta mediados de 1990, los virus de arranque eran los más populares, y se diseminaban en el mundo de 16-bits del DOS vía disquete. Este tipo de virus infecta el sector de arranque de un disquete y se disemina en el disco rígido del usuario, el cual también puede infectar el registro maestro de arranque (MBR). Una vez que el MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserta y se usa en la computadora. Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar total control de las interrupciones del SO y así, pueden diseminarse y causar daño. Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco. Virus de Archivo Los virus que infectan archivos, también conocidos como parásitos, operan en la memoria y generalmente infectan archivos ejecutables que tienen las siguientes extensiones: *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS. Estos se activan cada vez que el archivo infectado es ejecutado y pueden permanecer en la memoria mucho tiempo después de que hayan sido activados. Existen miles de virus diferentes que infectan archivos. Virus Multi-partes Los virus multi-parte comparten las características de los virus de arranque y los de archivo. Virus Macro De acuerdo con la International Security Association, los virus macro forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de las computadoras. A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema 44 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas. Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro no puede infectar un documento Excel y vice versa. En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos. o Software Antivirus Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo para prevenir una infección por los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. Identificación “heurística” del posible virus El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia una computadora. Es un programa o conjunto de ellos, capaz de identificar archivos que alojan un virus informático, con capacidad para desinfectarlos y eliminarlos. Principales antivirus: McAfee, Norton, AVG, Panda, etc. Detectar y eliminar virus Proteger de los virus en memoria Eliminar los virus insertos en discos, archivos y redes Spyware Son aplicaciones cuyo propósito es el envío de datos del sistema donde están instaladas, mediante la utilización secreta de la conexión a la red, a un lugar exterior, el cual por lo general resulta ser una empresa de publicidad de Internet. Estas acciones son llevadas a cabo, obviamente, sin el conocimiento del usuario También conocidos como Adware (Advertissing Supported Software o Información enviada dependiendo del spyware: o Número de conexiones o Duración de las conexiones o Sistema operativo utilizado o Paginas visitadas o Tiempo de estancia en las mismas o Banners sobre los que se pulsa o Descargas de archivos efectuadas o Dirección de correo electrónico o Número de dirección IP o DNS de la dirección que efectúa la conexión, es decir, ISP y área del país o Número de teléfono al que se realiza la conexión y contraseña de la misma, si ésta última esta guardada 45 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Listado de todo el software instalado, extraído del registro ¿Para qué se utiliza la información recolectada? Lo que se conoce es que esa información es comercializada por la compañía que la adquiere e incluso, en ocasiones, es transmitida a otras empresas similares, con motivos publicitarios. Pero a final de cuentas no se sabe a dónde finalmente va a parar esa información. El spyware se utiliza en muchas de las aplicaciones shareware, freeware, y sobre todo en las aplicaciones gratuitas que incorporan publicidad. Pueden estar totalmente ocultos en la aplicación, sin ninguna sospecha de su presencia o pueden estar incluidos dentro de uno de los tantos banners publicitarios que acompañan las herramientas libres. Generalmente, cuando se instala la aplicación, se instala junto con él un enlace dinámico de librerías (archivos.dll), la cual se instala automáticamente en la carpeta System de Windows, cuando se instalan los programas que lo incorporan. (Ej: Programas espía tipo Aureate, difundidos por la empresa Radiate). ¿Quién creó los Spyware? Se desconocen los primeros creadores. Fueron descubiertos en enero de 2000 por Steve Gibson, un experto en seguridad que detectó un programa desconocido intentando utilizar su conexión a Internet. Algunas de las principales compañías desarrolladoras de aplicaciones que incluyen spyware son: Radiate, Real Networks, Netscape, Doubleclick, Mattel y Comet Systems. Los programas que permiten compartir archivos van de la mano con los spyware. Por ej: Audiogalaxy y KaZaa, se han aliado a empresas de marketing para incluir en su instalación la incorporación de los archivos espía. Efectividad El alcance de su objetivo principal tiene al menos el 99% de efectividad siempre y cuando el usuario tenga conexión a Internet. No necesariamente la conexión tiene que estar abierta. Algunos spyware son capaces de activarse solos sin que el usuario esté navegando. La única forma en que puede anularse la efectividad del spyware es bloqueándolo. ¿COMO BLOQUEAR UN SPYWARE? Se pueden utilizar algunas aplicaciones que buscan en el disco duro la presencia de este tipo de software y los desinstalan. Además, algunos eliminan cookies de compañías de las cuales se sabe que violan la privacidad de los usuarios. Criptografía La Criptografía es la técnica que permite modificar un mensaje a través del uso de un sistema de codificación de textos. Gracias a la criptografía el mensaje resulta ilegible y, por tanto, podemos enviar información a través de la red con la seguridad de que el mensaje no será visto por terceros. 46 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Conceptos En la jerga de la criptografía, la información original que debe protegerse se denomina texto en claro. El cifrado es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto cifrado o criptograma. Por lo general, la aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto. Las dos técnicas básicas de cifrado en la criptografía clásica son: o la sustitución, que supone el cambio de significado de los elementos básicos del mensaje -las letras, los dígitos o los símbolos- y o la transposición: que supone una reordenación de las mismas; La gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas. El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave. El protocolo criptográfico especifica los detalles de cómo se utilizan los algoritmos y las claves (y otras operaciones primitivas) para conseguir el efecto deseado. El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de los usuarios, en su globalidad es lo que constituyen un criptosistema, que es con lo que el usuario final trabaja e interactúa. Términos Texto original (plaintext): La información se encuentra en su forma original. Conocido también como texto simple (cleartext). Texto cifrado (ciphertext): La información después que ha sido ofuscada por el algoritmo de encriptación. Algoritmo: Método de manipulación utilizado para cambiar el texto original a texto cifrado. Clave: Datos de entrada al algoritmo para que transforme el texto original a cifrado. Encriptación: Proceso de realizar el cambio de texto original al cifrado. Desciframiento: Proceso de efectuar el cambio del texto cifrado al original. Criptografía: Arte de encubrir la información mediante el uso de encriptación. Criptógrafo: Individuo que practica la Criptografía. Análisis criptográfico: Arte de analizar algoritmos criptográficos con la intención de identificar debilidades. Analista criptográfico: Individuo que utiliza análisis criptográfico para identificar y utilizar las debilidades en los algoritmos criptográficos. Tipos de Claves CLAVE SIMETRICA.- Uso de una única clave para encriptar y desencriptar un mensaje CLAVE ASIMETRICA.- Utilización de un par de claves. Lo que una clave encripta, la otra clave lo desencripta y viceversa. LA CLAVE PRIVADA.- Queda dentro del ámbito del emisor LA CLAVE PUBLICA.- Es la que se da a conocer a terceros Ataques en contra de la encriptación Los sistemas de encriptación pueden ser atacados de tres maneras: 47 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o A través de las debilidades en el algoritmo. Mediante la fuerza bruta en contra de la clave. Por medio de las debilidades en el sistema de entorno. Códigos de sustitución Reemplaza ó cambia elementos en el texto por otros. Es simple, y funciona bien mientras que el remitente y el receptor usen el mismo esquema de sustitución: la clave es el “libro de códigos” usado para los reemplazos. Puede ser descifrado empleando análisis de la frecuencia de los códigos presentes en el mensaje cifrado. El precursor, la clave numérica M-U-R-C-I-E-L-A-G-O que equivale a 0-1-2-3-4-5-6-7-8-9 Libretas de un único uso Las libretas de un único uso (one-time pads - OTP) constituyen el único sistema de encriptación teóricamente indescifrable. Una OTP es una lista de números en orden completamente aleatorio que se emplea para codificar un mensaje. Sólo debe utilizarse una vez. Si los números en la OTP son verdaderamente aleatorios y la OTP es mas larga que el mensaje, el texto cifrado no proporciona ningún mecanismo para recuperar la clave original. Si las libretas no son verdaderamente aleatorias, surgen patrones que pueden emplearse para realizar un análisis de frecuencias. Si las OTP se utilizan mas de una vez, pueden ser analizadas y descifradas. Su uso no es viable generalmente en entornos con abundante tráfico. “Pretty Good Privacity” - PGP Privacidad bastante buena o PGP es un programa cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales. Puede proporcionar un gran nivel de seguridad. Es más, observadores informados creen que ni siquiera las agencias del gobierno estadounidense como la NSA son capaces de descifrar directamente mensajes generados adecuadamente con PGP. PGP es más fácil de utilizar que muchos otros criptosistemas, pero como ocurre siempre en el campo de la criptografía, su implementación y su utilización influyen muchísimo en la seguridad lograda. Existe la posibilidad de que haya errores en la implementación, y si se utiliza descuidadamente es posible desproteger fácilmente un archivo de texto protegido. Cualquier criptosistema puede ser inseguro, independientemente de lo bueno que sea su diseño. A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos almacenados en discos, copias de seguridad, etc. ESTEGANOGRAFIA Es la técnica del ocultamiento de mensajes. 48 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Mediante la esteganografía se pueden incluir mensajes dentro de una archivo gráfico, sea un dibujo, una foto o un archivo de audio. Generalmente se esconden en archivos de extensión BMP, GIF o JPG o en archivos de audio con extensión WAV. El programa S-tool 4.0 nos permite utilizar esta técnica Rama de la criptología que trata sobre la ocultación de mensajes, para evitar que se perciba la existencia del mismo. Es el arte y ciencia de escribir mensajes secretos de tal forma que nadie fuera de quien lo envía y quien lo recibe sabe de su existencia; en contraste con la criptografía, en donde la existencia del mensaje es clara, pero el contenido del mensaje está oculto. Por lo general un mensaje de este tipo parece ser otra cosa, como una lista de compras, un artículo, una foto, etc. Los mensajes en la esteganografía muchas veces son cifrados primero por medios tradicionales, para posteriormente ser ocultados por ejemplo en un texto que pueda contener dicho mensaje cifrado, resultando el mensaje esteganográfico. Un texto puede ser manipulado en el tamaño de letra, espaciado, tipo y otras características para ocultar un mensaje, sólo el que lo recibe, quien sabe la técnica usada, puede extraer el mensaje y luego descifrarlo. Ingeniería social La definición políticamente correcta de las técnicas de ingeniería social dice que se trata de combinar conocimientos de psicología, engaños y fallas en los procesos para obtener accesos no autorizados a información confidencial, sin necesidad de aplicar estudios avanzados de tecnología. Es decir, que en vez de vulnerar una aplicación para ganar un acceso, se trata directamente de conseguir el nombre de usuario y el password por otros medios. Se puede decir que las técnicas de ingeniería social descansan, en su base, sobre la forma en que los seres humanos toman decisiones. En la jerga del hacking, se dice que la ingeniería social trabaja sobre las “vulnerabilidades de las personas”. Si no es necesario poseer conocimientos avanzados de tecnología, se amplía muchísimo el rango posible de atacantes. De hecho, para alguien que se dedica a realizar fraudes más tradicionales, estas técnicas poseen una baja barrera de entrada a la vez que representan una gran oportunidad y un riesgo menor debido al vacío legal existente en este tipo de delitos. Además, cuando se realiza una acción de engaño sobre una persona,¿dónde queda registrado? Acertó: en ningún lado! Es decir que este tipo de ataques, son prácticamente indetectables. Y esta es la principal razón por la cual prácticamente no existen estadísticas al respecto! Adicionalmente, se suele decir que si uno quiere evitar el robo de una determinada información, en el peor de los casos, con dejar el servidor desconectado o aislado de Internet, es suficiente. Si no se cuentan con los controles adecuados, el hacker podría hacerse pasar por empleado de la empresa (o de un tercero con permiso de acceso), llegar hasta el servidor, copiar la información manualmente y salir. Agunas de las técnicas empleadas: o Phishing: engaño a través de páginas web falsas o de correos electrónicos que recolectan información confidencial de las personas para realizar fraudes. 49 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Quid pro quo: técnica a través de la cual el atacante ayuda a su interlocutor a cambio de solicitarle datos confidenciales. La versión más conocida de este ataque es aquella en la que el atacante se hace pasar por un empleado del helpdesk de la empresa para obtener nombres de usuarios y contraseñas de las personas que contacta. o Phone phishing: engaño a través de comunicaciones telefónicas, donde el atacante típicamente utilizar un IVR falso (como si fuera el contestador de una empresa legítima) para engañar y obtener información. o Baiting: abuso de la curiosidad humana para lograr que un medio infectado sea utilizado dentro de la organización y de esa manera instalar software ilegal que permita luego acceder a la información confidencial. o Thrashing: se trata de obtener datos confidenciales revisando los documentos y demás elementos que fueron arrojados a la basura, tanto de una organización como de un empleado en particular. Resúmenes de tarjetas de crédito, informes, nóminas de empleados, reportes de logística, contratos en borrador y casi cualquier tipo de información es susceptible de ser hallada a través de esta técnica. o Pretexting: se trata de crear un engaño a partir de contar con determinadas piezas de información verdadera, que induzcan a la víctima a confiar en el atacante y revelar información confidencial. La información de base para realizar el ataque en general no es importante para el atacante, cuyo objetivo verdadero es otro, pero ayuda a crear el escenario para que el engaño sea efectivo. Aclaración: en este caso puntual, cuando hablamos de “algunas de las técnicas empleadas”, es importante recalcar la literalidad de la frase. Y es que sencillamente no existe una documentación completa de las técnicas de ingeniería social utilizadas porque al depender del ingenio humano y de la situación particular de cada ataque, es posible crear engaños nuevos todo el tiempo. Después de haber visto en la edición anterior algunas de las técnicas de Ingeniería social que se utilizan actualmente, alguien podría pensar que si estos tipos de ataques no están tan difundidos es porque no representan tanto peligro. Y allí puede aparecer la pregunta¿Por qué comenzar a hablar ahora de Ingeniera social? Es que estamos en una época en la cual la Ingeniera social está viviendo un verdadero auge, alentada por algunos factores como: crecimiento tecnológico sin procesos, movilidad y conectividad, y redes sociales. Cuando hablamos de “crecimiento tecnológico sin procesos”, nos referimos a un doble efecto que podemos encontrar en las organizaciones. En primer lugar, durante los últimos tres años la mayoría de las empresas han realizado —en mayor o menor medida— inversiones en tecnología relacionada a la seguridad, por lo cual existe una peligrosa sensación de seguridad que sin duda dejar lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología no alcanza por sí sola para ofrecer seguridad, y mucho menos ante escenarios de ataque de Ingenieria social. En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las principales armas frente a la Ingenieria social (junto con la concientización). Es decir, que si sumamos una falsa sensación de seguridad junto con la falta de controles adecuados, encontramos un terreno propicio para el desarrollo de estas técnicas. Lo cierto es que es mucho más difícil implementar procesos que tecnología, y no porque las tecnologías sean sencillas ni mucho menos! Tengamos en cuenta que si tomamos como referencia la principal norma internacional relacionada a la seguridad de la información, es decir la ISO 27000, realizar una implementación de los lineamientos de la norma en una organización 50 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI promedio toma entre 2 y 3 años, considerando que luego de la implementación y a través del sistema de mejora continua, se irán mejorando los controles y procesos hasta alcanzar una madurez hasta dentro de otros 2 o 3 años posteriores. Adicionalmente, implementar este tipo de normas requiere apoyo y participación de toda la organización, lo cual ya de por sí representa un reto muy difícil de alcanzar. Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a la información, porque los usuarios la llevan consigo todo el tiempo! Desde algo tan sencillo (comparado con vulnerar un sistema informático) como robar la PDA de un Gerente para sustraer datos, hasta la instalación de accesos Wi-Fi falsos para obtener información de forma ilegal, existen gran variedad de técnicas que combinan algún tipo de conocimiento técnico con otro tipo de tácticas. Más allá de la falta de concientización que hace tiempo se advierte en relación con las tecnologías móviles, gracias a lo cual es muy difícil encontrar que existan controles implementados para este tipo de tecnologías, las técnicas de Ingeniería social pueden ser efectivas incluso en contextos donde a nivel tecnológico se han tomado los recaudos mínimos necesarios. Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento de nuevas formas de ataque, relacionadas con la Ingeniería social. Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña, a través de un engaño. En general, los ataques realizados a las redes sociales se realizan sobre la base de que las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o la obtención de información que permita luego ganar un acceso no autorizado. Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas que comenzaron a utilizar información disponible en Facebook o en LinkedIN (por nombrar solamente a algunas fuentes) para incorporarla a sus procesos de selección de personal. Y entonces¿por qué no podría encontrar un hacker allí mismo información valiosa para sus propósitos? Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda, esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude. En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el nivel de protección de la información. Para las organizaciones, las recomendaciones generales son: Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos inherentes a las distintas actividades. Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la información en todas las áreas de la empresa. Utilizar la información de los elementos de control tecnológico para medir posibles brechas de seguridad asociadas a la Ingeniería social. Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos que incluyan tanto a la infraestructura tecnológica como a los procesos y procedimientos. 51 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Ser extremadamente cuidadoso con la información pública que se almacena en redes sociales. No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder en forma remota). Habilitar las conexiones Wi-Fi en las PDAs y notebooks solamente cuando se las está utilizando. Participar de todas las actividades de concientización que se ofrecen tanto en la propia organización como a través de medios especializados en seguridad de la información. Seguridad Informática Es el conjunto de medidas preventivas, de detección y corrección destinadas a proteger la integridad, confidencialidad y disponibilidad de los recursos informáticos. ¿Qué es Seguridad Informática? Confidencialidad, asegurar que la información es entregada de forma autorizada a quien la requiere. ACCESOS Integridad, asegurar que la información es modificada en forma apropiada y por el personal facultado para dicho efecto. Previene modificaciones no autorizadas a la información y a los sistemas. Disponibilidad, asegurar que la información y los sistemas brindan oportunamente los servicios para los que fueron destinados. RIESGOS O AMENAZAS 52 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Autenticación Autenticación, en su forma más básica, es simplemente el proceso de verificar la identidad de alguien. La identificación debe darse por al menos dos de las siguientes cosas: o Algo que el usuario conozca (una contraseña) o Algo que el usuario tenga (una tarjeta magnética) o Algo que sea una propiedad intrínseca del usuario (la huella dactilar, el iris, la retina, la voz) Autenticación por Contraseñas o Passwords Las contraseñas o passwords son elementos utilizados para la autenticación sirven para acceder a los sistemas que utilizamos según nuestro ROL o funcion. Es un secreto compartido únicamente entre el sistema y uno. Recomendaciones para contraseñas (password). Asigna contraseñas Fáciles de Recordar, pero Difíciles de Adivinar Utiliza caracteres combinados, tanto numéricos (0-9) como alfabéticos (A-Z, a-z) Cambia tus contraseñas con frecuencia y ante la sospecha de que alguien más la conoce Ser cuidadoso al digitar tu contraseña. No permitas que otras personas lo vean Prueba usando la letra inicial de cada palabra de una frase que no te olvidarás o (Pablo Neruda 20 poemas de amor y una canción desesperada = PN2pdayucd) Control de Acceso El control de acceso es el mecanismo de seguridad a través del cual se otorgan los privilegios que requieres para realizar tus actividades diarias en los sistemas de Información. Consta de tres elementos: Autenticación, Autorización y Monitoreo Control de Acceso Si tienes personal a tu cargo Periódicamente realice la certificación de sus permisos según el ROL o funciones. Si el personal a su cargo cambió de funciones, solicita el cambio de ROL Si el personal a su cargo cambio de sector Recomendaciones o No utilices la clave de otro usuario o No prestes tu clave a otra persona. o Recuerda que todo lo que se opere en el sistema con su clave, quedará registrado, y será su responsabilidad. o No permitas que otras personas que hayan trabajado en su área conserven los permisos erróneos Medios en donde reside la información Papel: documentos impresos, anotaciones, resúmenes de cuentas, informes oficiales, planillas e informes de trabajo, documentación de clientes, firma de clientes, comunicaciones internas, manuales. Mapas y planos. 53 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Equipos informáticos: bases de datos, sistemas aplicativos, PCs, computadoras portátiles, Intranet, Internet. Comunicación: telefonía por cable, telefonía móvil, fax, transmisiones satelitales, video conferencias. Soportes magnéticos: diskettes, discos compactos. cintas magnéticas, dispositivos USB de almcenamiento, MP3, MP4, chips. Personas: Conocimiento, habilidades, aptitudes intelectuales. Memoria, sobre información vista, escuchada o analizada. La importancia de la protección ¿Es Importante para mi? o Si, pues debo proteger mi identidad, privacidad para que no sean utilizados por terceros en forma inadecuada. ¿Es Importante para mi organización? o Para poder proteger los recursos de la organización. Como la información, comunicación, etc. o Una amenaza directa a la seguridad de nuestros sistemas, significaría una amenaza directa a nuestros negocios. o Posee información privada de terceros. ¿Sabe cuáles son las Responsabilidades? Preservar la Seguridad de la información que manejas en el desempeño diario de tus actividades. Leer en Intranet las comunicaciones de Seguridad para mantenerte actualizado sobre debilidades o advertencias en seguridad informática. Revisar periódicamente los privilegios de acceso a cada sistema, del personal a tu cargo conforme a sus funciones y responsabilidades. Hacer buen uso del hardware y software que tienes en tu computadora. Evitar la divulgación de información confidencial, tal como: información de clientes, negocios y sistemas. Leer, comprender y alinearte con al Código de Conducta. Reportar al área de Seguridad informática cualquier evento que ponga en riesgo la confidencialidad de la información, tales como virus, código malicioso o fuga de información. Realizar actividades de trabajo exclusivamente con los equipos asignados. No utilizar equipos personales para trabajar con la información de tu empresa. Utilizar las instalaciones de la organización exclusivamente para realizar trabajos relacionados a tus funciones y responsabilidades. No para fines personales. Practicar las recomendaciones de SEGURIDAD Trabajar en lo posible sobre los servidores. La información allí contenida se resguarda periódicamente, según lo indicado por el responsable de la información Recomendaciones de Seguridad Antivirus 54 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o El antivirus corporativo debe mantenerse actualizado. No lo desactives bajo ningún concepto. Cuidados de tu PC (desktop/laptop) o No dejes nunca una sesión abierta cuando abandones tu lugar o Cuando viajes, nunca la dejes fuera de tu vista o No dejes tu computadora encendida o Cuando vayas a utilizar por un tiempo prolongado, apágala y/o utiliza el protector de pantalla con contraseña Correo electrónico de dudosa procedencia o Elimina los correos de dudosa procedencia. Puede ser de riesgo por no conocer al remitente o porque tenga archivos adjuntos que pueden contener virus o código malicioso Software legal o Utiliza solamente las aplicaciones permitidas por HSnn. El uso de software no permitido puede poner en riesgo la información y/o tener consecuencias legales Uso de Internet o Obtén la autorización correspondiente para el acceso a Internet o Utiliza Internet para fines relacionados con tus funciones y responsabilidades del área de negocio a la que perteneces Cuida tu entorno de trabajo o Mantener el escritorio limpio de notas, formularios, informes, diskettes o dispositivos USB o Cerrar con llave. si es posible, los escritorios, puertas y armarios o Retira de la impresora los documentos que mandas a imprimir Destrucción de la información o Ya sea en papel o medio magnético, destruye la información que ya no es útil según su nivel de criticidad Implementación de nuevos sistemas. o Implementación de UAT en los que S.I. deba dar su aprobación. o Detección de accesos no autorizados a sistemas y recursos. o Consultas sobre virus. o Altas, Bajas y Modificaciones de usuarios. Seguridad Informática Una falla de seguridad en los sistemas de información puede poner la empresa La seguridad no es un asunto de especialistas, es un asunto de cada uno. La seguridad informática es un reflejo para adquirir gestos muy simples pero tan importantes como cerrar con llave su casa cuando sale. Políticas o Procedimientos Técnicos o Medidas para prevenir los accesos no autorizados o Alteración de datos o Robo o Daño Físico a los SI Recomendaciones de Seguridad. Políticas de seguridad precisas y claras Compromiso del Management Pensamiento Proactivo - 6 meses 55 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Utilizar en lo posible estándares abiertos de proveedores Aplicable a todas las arquitecturas Actualizar periódicamente el sistema operativo y los programas mas frecuentes que utilizamos en Internet Configurar adecuadamente los programas que utilizamos para navegar por Internet No ingresar a sitios desconocidos o dudosos y menos bajar programas de dichos sitios Instalar programas o dispositivos “cortafuegos” (firewall) Utilizar contraseñas “robustas” y cambiarlas periódicamente Manténgase informado sobre virus, gusanos y troyanos (novedades, nuevos virus, como operan, alertas, anuncios críticos, etc.) en sitios serios. Reglas básicas cuando trabajamos en computadoras ajenas: o No efectuar operaciones delicadas como bancarias o comerciales o En Hotmail, tildar la opción “No recordar mi dirección de correo electrónico en futuros inicios de sesión” o En Hotmail, No elegir la opción “Iniciar sesión automáticamente” o En Yahoo no tildar la opción “Recordar mi identidad en esta computadora” o En Yahoo, Seleccionar el modo seguro de envio de datos (en Hotmail esto es automático) o Cerrar totalmente la sesión de correo (En hotmail seleccionar “Cerrar sesión” y en Yahoo “Salir” y luego “Salir por completo de Yahoo”) o Al iniciar una sesión de chat, no seleccionar “Recordar mi nombre y contraseña en este equipo” o Asegurarse de seleccionar la opción “Cerrar sesión” al finalizar dado que con solo cerrar la ventana, la sesión continúa abierta. o Eliminar todos los archivos que se bajan al finalizar la sesión. Check list de Seguridad Puntos principales de vulnerabilidad o La entrada o En los modelos (los programas con virus) o En la salida (robada o copiada) o El hardware puede fallar o Las telecomunicaciones pueden fallar o Los delitos o Controles Básicos: Administrativos Control del personal tener un plan estratégico Seguros Plan de contingencias ante desastres o Plan de prevención o Plan de contención o Plan de recuperación o Plan de funcionamiento o Estrategias alternativas Back up propio Back-up compartido Servicio de emrgencia del proveedor Back-up parcial 56 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Controles de entrada Passwords Formatos de pantalla o Verificación o Totales de control o Dígito verificador o Verificación de consistencia de campos y caracteres o Control de procesamiento o Verificación de límite o racionalidad o Pruebas aritméticas o Verificación de secuencia o Registros de errores y de transacciones Control de Base de Datos o Físicos o Lógicos o Controles de salida o control de la documentación de sistemas o control de los equipos o Controles de seguridad Peligros Fallas Fraudes Incendios Sabotajes Desastres naturales o Objetivos de los controles o Disuadir o Detectar o Minimizar o Investigar o Recuperar o Técnicas físicas De acceso Ubicación física Protección física Técnicas Lógicas Integridad o Aislamiento o Privilegio de acceso o Encriptado o Identificación o Matriz de peligros y controles o Mezcla óptima 57 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Seguridad Física Seguridad física De nada sirve una implementación de seguridad informática, si la seguridad física no es buena Garantiza la integridad de los activos humanos, lógicos y material de un CPD. No están claras los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones Se deben tener medidas para atender los riesgos de fallos, local o general. Medidas Antes o o o o o o o o o o o o o o Obtener y mantener un nivel adecuado de seguridad física sobre los activos Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo. El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias. Es un concepto general, no solo informático, en las que las personas hagan uso particular o profesional de los entornos físicos. Ubicación del edificio Ubicación del CPD Compartimentación Elementos de construcción Potencia eléctrica Sistemas contra incendios Control de accesos Selección del personal Seguridad de los medios Medidas de protección 58 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Duplicación de los medios Durante o Desastre: es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa. o Se debe contar con los medios para afrontarlo cuando éste ocurra. o Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia. o Plan de contingencia inexcusablemente debe: Realizar un análisis de riesgos de sistemas críticos Establecer un período crítico de recuperación Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso. Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos Establecer objetivos de recuperación que determinen el período de tiempo (horas, dias, semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas. Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos. Asegurar la capacidad de las comunicaciones Asegurar la capacidad de los servicios de Back-up Despues o De la gama de seguros pueden darse: Centro de proceso y equipamiento Reconstrucción de medios de software Gastos extra (continuidad de las operaciones y permite compensar la ejecución del plan de contingencia) Interrupción del negocio (cubre pérdidas de beneficios netos causados por la caida de sistemas) o Documentos y registros valiosos o Errores y omisiones o Cobertura de fidelidad o Transporte de medios o Contratos con proveedores y de mantenimiento Áreas de la seguridad física Edificio: o Debe encargarse a peritos especializados o Las áreas en que el auditor chequea directamente: Organigrama de la empresa Dependencias orgánicas, funcionales y jeráraquicas. Separación de funciones y rotación del personal Da la primera y más amplia visión del Centro de Proceso o Auditoria Interna Personal, planes de auditoria, historia de auditorias físicas o Administración de la seguridad Director o responsable de la seguridad integral 59 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o Responsable de la seguridad informática Administradores de redes Administradores de Base de datos Responsables de la seguridad activa y pasiva del entorno físico Normas, procedimientos y planes existentes Centro de proceso de datos e instalaciones Entorno en donde se encuentra el CPD Sala de Host Sala de operadores Sala de impresoras Cámara acorazada Oficinas Almacenes Instalaciones eléctricas Aire acondicionado Equipos y comunicaciones Host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Seguridad física del personal Accesos seguros Salidas seguras Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de puertas y ventanas Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal Auditoría Física Debieran estar accesibles: o Políticas, normas y planes de seguridad o Auditorías anteriores, generales o parciales o Contratos de seguros, de proveedores y de mantenimiento o Actas e informes de técnicos y consultores o Informes de accesos y visitas o Informes sobre pruebas de evacuación o Políticas del personal o Inventarios de soportes (back-ups, procedimientos de archivos, controles de salida y recuperación de soporte, control de copias, etc.) Técnicas: o Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. (tanto de espectador como actor) o Revisión analítica de: Documentación sobre construcción y preinstalaciones Documentación sobre seguridad física Políticas y normas de actividad de sala Normas y procedimientos sobre seguridad física de los datos Contratos de seguros y de mantenimiento Entrevistas con directivos y personal fijo o temporal (no es interrogatorio) 60 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Consultas a técnicos y peritos que formen parte de la plantilla o independientes Herramientas: o Cuaderno de campo/ grabadora de audio o Máquina fotográfica / cámara de video o Su uso debe ser discreto y con autorización Fases de una Auditoria Fisica considerando la metodología de ISACA (Information Systems Audit and Control Association) o Fase 1 Alcance de la Auditoría o Fase 2 Adquisición de Información general o Fase 3 Administración y Planificación o Fase 4 Plan de auditoría o Fase 5 Resultados de las Pruebas o Fase 6 Conclusiones y Comentarios o Fase 7 Borrador del Informe o Fase 8 Discusión con los Responsables de Area o Fase 9 Informe Final Informe – anexo al informe – carpeta de evidencias o Fase 10 Seguimiento de las modificaciones acordadas Domotica Domótica es la incorporación de tecnologia de control a una vivienda, un edificio o una industria en particular. Los beneficios al implementar Domótica son múltiples, y en general se suman nuevos todos los dias. Ahorro energético. Ampliación de la red de comunicaciones. Seguridad a nivel personal y patrimonial. Asistencia Remota. Gestion Remota via medios convencionales (teléfono, radio, internet, tablet, consola juegos, etc.) Mejor Calidad de Vida y Mejores rendimientos en procesos de negocios y productivos. Aplicaciones de la Domótica Dentro de la amplia gama de aplicaciones se destancan: o Programación y sectorizacion de la climatización. o Racionalización de consumo energetico:. o Reduccion de costos relacionados a tarifas. o Aumento de la seguridad y menores riesgos de exposicion. Usos mas destacados o Automatización del apagado/ encendido en cada punto de luz. o Regulación de la iluminación según el nivel de luminosidad ambiente. o Automatización de todos los distintos sistemas/ instalaciones / equipos dotándolos de control eficiente y de fácil manejo. o Integración del portero al teléfono, o del videoportero al televisor. o Detección de un posible intruso. 61 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o Simulación de presencia. Detección de conatos de incendio, fugas de gas, escapes de agua. Alerta médica. Teleasistencia. Cerramiento de persianas puntual y seguro. control remoto. Transmisión de alarmas. Intercomunicaciones. Plan de Recupero de Desastres Business Continuity Plan (BCP) o Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupción significante. o Direcciona los procesos de negocio y la tecnología que los soporta. Business Recovery (or Resumption) Plan (BRP) o Suministra procedimientos para recuperación de las operaciones de negocio inmediatamente después de un desastre. o Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los procesos de negocio. Continuity Of Operations Plan (COOP) o Suministra procedimientos y capacidades para sostener lo esencial de una organización, funciones estratégicas en un sitio alterno por más de 30 días. o Direcciona el conjunto de operaciones de la organización definidas como mas críticas. Continuity of Support Plan / IT Contingency Plan o Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general. o Losmismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas de TI; no se centra en los procesos del negocio. Crisis Communications Plan o Proporciona los procedimientos para comunicarse con el personal y con el público en general. o Direcciona las comunicaciones con el personal y el publico; no se centra en la TI Cyber Incident Response Plan o Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad. o Se centra sobre respuestas de seguridad de la información a incidentes que afectan los sistemas y / o las redes. Disaster Recovery Plan (DRP) o Suministra procedimientos detallados para facilitar la recuperación de operaciones en un sitio alterno. o A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo. Occupant Emergency Plan (OEP) o Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la propiedad en respuesta a amenazas físicas. o Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio o funcionalidad de los sistemas de TI. 62 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI BAU = Business as Usual = Giro Habitual de los negocios / procesos de la organización. Disaster Recovery Planning Hacer funcionar la empresa despues del desastre Proteger activos Primera recuperación Demostrar que el plan sirve El plan debe ser auditado El plan debe identificar todas las aplicaciones criticas. El plan debe ser realizable! Personas ON CALL – Al llamado de telefono Personas ON SITE – En el lugar de recupero Quienes pueden provocar (sin querer… o queriendo) desastres… Hackers Creackers Phrakers Ex empleados Personal actual de sistemas Plan de Contingencia Plan de Contingencia del Negocio es mayor al Plan de Contingencia Tecnológica 63 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Desarrollo de Planes de Continuidad del Negocio Definición del Proyecto Analisis del impacto en el Negocio Selección de estrategias Desarrollo de planes Pruebas y Mantenimiento Análisis del Impacto en el Negocio Análisis de riesgo Operacional Físico Evaluación del Impacto Financiero Intangibles (imagen, reputación, legal, salud pública, etc) Identificación de Procesos y Aplicativos Críticos (métodos alternativos) Asignación de RTO´s (Recovery Time Objetives) Evaluación de coberturas de seguros y contratos Selección de Estrategias Identificación de recursos Evaluación de backups RTO´s – Recovery Time Objectives Solución Interna vs. Externa Ventajas y Desventajas Desarrollo de Planes Planes de Emergencia 64 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Plan de Sistemas Planes por Unidad de Negocios Métodos: Pruebas y Mantenimiento Política de Mantenimiento Plan de Pruebas Como auditar un Plan de Continuidad de Negocios Toma de conciencia y Educación Análisis de impacto en el negocio Estrategias de Recuperación Tecnología y Negocios. Desarrollo y documentación del Plan Mantenimiento del Plan Pruebas del Plan PLAN DE CONTINGENCIA La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB (continuity of business). Las principales causas de la falta de prevención son: “No nos puede pasar a nosotros” Apatía en los cargos jerárquicos Desconocimiento de cómo preparar un plan Difícil cuantificación de beneficios Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto, desarrollar el plan y realizar las pruebas pertinentes Fase de emergencia: si se produce algún hecho grave, se debe establecer el ambiente de reconstrucción y recuperación y minimizar los daños ocurridos (las medidas de prevención serán fundamentales para evitar daños graves). Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben facilitar las tareas de recuperación del ambiente. Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias de resguardo necesarios para ello. Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operación con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal Control Interno Normas y procedimientos Existentes en el ente Incorporados en su estructura organizativa Preventivos Establecidos para alcanzar los objetivos del ente Que *actualmente* se realizan... Característica o Condición Controlada Actividad qué se controla 65 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Sensor Elemento de Medición Grupo de Control o Comparación Parámetros “normales” de comparación Grupo Activante Acciones directivas, restrictivas o correctivas El Control interno Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último será preciso analizar el costeriesgo de su implantación. Controles Preventivos Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles Detectivos Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles Correctivos Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad. COSO C ommittee Of Sponsoring Organizations (of the Treadway Commission) En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarrolló un modelo para evaluar controles internos. Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno. Establecer una definición común del CONTROL INTERNO: “Marco de Referencia” Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL y decidir cómo mejorarlos 66 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones Definición de Control Interno ¿Qué es Control Interno? o Es un proceso efectuado por la Dirección, la alta gerencia y el resto del personal ¿Para qué? o Para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos ¿En qué niveles? (3 Objetivos del Control Interno) o Eficacia y Eficiencia en las Operaciones o Confiabilidad de la Información Financiera o Cumplimiento con las leyes y normas que sean aplicables Eficacia y Eficiencia en las Operaciones EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos. EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales: Rendimiento y rentabilidad Salvaguarda de los recursos Confiabilidad de la Información Financiera Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada. Abarca también la información de gestión de uso interno. Cumplimiento con las leyes y normas que sean aplicables Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar: o Efectos perjudiciales para la reputación de la organización. o Contingencias. o Otros eventos de pérdidas y demás consecuencias negativas. Los cinco Componentes del Control Interno Ambiente de control Análisis de Riesgo Actividades de Control Información y Comunicaciones Ambiente de control Un adecuado Ambiente de Control se verifica por medio de 7 aspectos: Integridad y valores éticos Compromiso de competencia profesional Filosofía de dirección y el estilo de gestión 67 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Estructura Organizacional Asignación de autoridad y responsabilidad Políticas y Prácticas de Recursos Humanos Consejo de Administración / Comité de Auditoría Análisis de Riesgos Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos: Objetivos Organizacionales Globales Objetivos Asignados a cada Actividad Identificación de Riesgos Administración del Riesgo y Cambio Actividades de control COSO reconoce los siguientes tipos de Actividades de Control: Análisis efectuados por la dirección Administración directa de funciones por actividades Proceso de información Controles físicos contra los registros Indicadores de rendimiento Segregación de funciones Políticas y procedimientos Información Evaluación adecuada de los mecanismos de información: La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización) Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros) Comunicación Evaluación adecuada de los mecanismos de comunicación: La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos. La Alta Dirección es receptiva a sugerencias de los empleados. La comunicación a través de toda la empresa es efectiva. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros. Monitoreo y Supervisión EVALUACION DE LA SUPERVISIÓN y MONITOREO Supervisión Continua: ¿En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno? 68 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI ¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas? Comparaciones periódicas de importes registrados contra los activos físicos. Receptividad ante las recomendaciones de auditores internos y externos. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas). Eficacia de las actividades de Auditoría Interna. Evaluación periódica puntual: Alcance y frecuencia El proceso de evaluación¿es el ideal? (si se hace bien) La metodología para evaluar el sistema de controles internos¿es lógica y adecuada? Adecuación de las muestras, son significativas y como está la calidad de la documentación examinada. La comunicación de las deficiencias: Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno. Los procedimientos de comunicación son los ideales. Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas. Preguntas de Ejecutivos que siguen sin respuestas ¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición frente al riesgo de la compañía? ¿Cómo sé si mi capacidad de manejo de riesgos es efectiva? ¿Qué puedo hacer para mejorar cuando encuentro un problema? Ley SOX La Ley Sarbanes-Oxley (SOX) fue establecida en el año 2002 por el Congreso de los Estados Unidos de América, como respuesta al gran número de escándalos financieros y contables relacionados con algunas de las más importantes y prominentes compañías en este país: Enron, World Com, etc. Dichos escándalos repercutieron negativamente sobre la confianza depositada, por parte de los accionistas y el Estado en los procesos contables y las prácticas de reporte financiero de las compañías públicas. Es de hacer notar que esta ley, en principio, alcanzó únicamente a a aquellas compañías inscritas en el Security Exchange Comision (SEC) de EEUU. La Ley Sarbanes–Oxley tiene por objeto principal la protección del accionista mediante la prevención del fraude financiero y el aseguramiento de que la información presentada en los mercados sea precisa, completa, fiable, comprensible y se presente en plazo. La Ley aumentó las responsabilidades corporativas respecto de la emisión de informes financieros de compañías públicas: Responsabilidad penal para Ejecutivos. Establece fuertes reformas en materia de gobiernos corporativos. Mayores restricciones a los auditores en materia de independencia. Es una ley severa en materia reglamentaria para la exposición contable, las auditorias, los balances y para los directores de las empresas. Aunque incide sobre las empresas estadounidenses, las subsidiarias locales también deben ajustarse a la nueva normativa. 69 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implícitos en la ley buscando alcanzar máximos niveles de control. Esto es así a pesar de que la aplicación de la SOX acarrea altos costos para las empresas, ya que su implementación en el largo plazo puede redundar en beneficios al intensificar la compañía el nivel de control Las TI y el Control Interno constituyen un marco integral para el control y prevención de fraudes financieros. El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO). A comienzos de los años 90, el Comité junto con la asesoría de Pricewaterhouse Coopers, realizó un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO. La Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y políticas y procedimientos. El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de datos, con opciones de cinta, disco óptico y magnético para conservar la información. Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación en línea y capacidad de auditorías. En lo que respecta a procedimientos, se definen las opciones de cómo los datos serán movidos y almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y modificarlo y en qué tiempo se pueden destruir. Para un buen cumplimiento de la ley se necesitan algunos factores como: o estructura documentada del control interno; o mayor transparencia en la eficacia de los controles; o monitoreo electrónico continuo de las acciones de mejoramiento; o desarrollo de controles documentados coherentes que se puedan aprovechar en las múltiples unidades empresariales; y o procesos acelerados y racionalizados. o En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas prácticas de seguridad. Normas de control interno a tener en cuenta en los sistemas interactivos Los sistemas interactivos integrados requieren especiales medidas de seguridad por la posibilidad de actualizar archivos y tablas desde distintas terminales y por diversos empleados. Medidas que se recomiendan: No puede haber baja física de los registros o Los sistemas no deben permitir en ningún caso eliminación de registros. Cuando se lo quiera dar de baja se le colocara un signo, pero la baja física se hará con medidas de seguridad. En ningún archivo se puede modificar los campos valores o Toda modificación debe hacerse mediante un nuevo registro. La diferencia entre el original y el nuevo nos dará el valor al cual se desea llegar. Se exige un nuevo registro para dejar constancia de la modificación Archivos protegidos - doble seguridad 70 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Para los archivos de información confidencial además de la password, es necesario crear un archivo donde queden registrado los cambios de contraseña y archivos que se actualizan en orden correlativo. Cambio periódico de las contraseñas o La contraseña debe ser cambiada periódicamente ya que su uso continuo deteriora el control Control de aplicación de pagos recibidos o Debe arbitrarse un control mecánico por proceso y con intervención de otro sector como elemental norma de control interno Control del ingreso de datos o Diariamente debe establecerse listados de control de las operaciones ingresadas, en cantidad, tipos de registros para cruzar con los totales acumulados en los archivos. Control de archivos al inicio y al final del día o El sistema debe prever al final del día o de cada proceso el control del acumulado de los archivos en cantidad, tipo de registros y valores. Ciclos de retención y back up o Es necesario grabar todas las novedades que actualizan archivos en otro archivo lógico, para poder reprocesar ante emergencias. Archivos en lugar físico distinto o Es común para los procesos en lotes. Siempre es necesario que un ciclo de retención se encuentre físicamente en otro edificio, en prevención de incendios, etc. Control y actualización de tablas o Las tablas que contiene porcentajes, condiciones de bonificación, descuentos, recargos, intereses, comisiones, etc. Necesitan especiales medidas de seguridad en un sistema interactivo, ya que su modificación permitirá cometer fraudes, en procesos supuestamente normales. Control actualización archivos con condiciones especiales o Cuando un archivo como el de clientes, tiene condiciones diferentes para cada uno de ellos, además de exigirles todos los controles, deben tener un numero correlativo de modificación de cada registro individual de cliente. Listados de Control de Condiciones Especiales o Cuando el sistema de opción a que el usuario en lagunas operaciones modifique condiciones que figuran en tablas o archivos esas operaciones deben ser listadas para el conforme de la respectiva gerencia. Estos listados de excepción deben ser numerados y contener el código de usuario y fecha donde se realizo la modificación A fin de minimizar errores, desastres, delitos por computadoras y violaciones de la seguridad, es preciso incorporar controles. Controles: todos los métodos, las políticas y los procedimientos que cuidan la seguridad de los activos de la organización, la exactitud y fiabilidad de sus registros, y el cumplimiento operativo de las normas gerenciales. El control de un SI debe ser una parte integral de su diseño. Los sistemas de computación se controlan mediante una combinación de controles generales y controles de aplicación Controles generales: controles amplios que establecen un marco dentro del cual se controla el diseño, la seguridad y el uso de los programas de computadora en toda una organización. Controles de aplicación: controles específicos, exclusivos para cada aplicación computarizada. 71 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Controles generales Cuidan el funcionamiento eficaz de los procedimientos programados y se ejercen sobre toda las áreas de aplicación. Controles de implementación: auditoria que se hace al proceso de desarrollo de sistemas de diversos puntos, para asegurar que se le maneje y controle debidamente. Controles de Software: monitorean el uso del software de sistemas y evitan el acceso no autorizado a los programas de aplicación y al software de sistemas. Controles de Hardware: cuidan que el hardware este protegido físicamente, y detectan fallos en el funcionamiento de los equipos. Lo primero importante para asegurar que sólo personas autorizadas tengan acceso al equipo. Las computadoras necesitan protección especial contra incendios y extremos de temperatura y humedad. Las organizaciones que dependen críticamente de sus computadoras también deben tomar medidas para contar con respaldos de emergencia en caso de faltar la electricidad. Verificaciones de paridad que detecten el mal funcionamiento del equipo responsable del alterar bits dentro de bytes durante el procesamiento. Controles de operaciones de computación: procedimientos que cuidan que los procedimientos programados se apliquen en forma congruente y correcta al almacenamiento y procesamiento de datos. Esto incluye, además, controles sobre la preparación de trabajos para procesarse en computadoras, sobre el software de operaciones y sobre los procedimientos de respaldo y recuperación, en caso de que el procesamiento termine anormalmente. También incluyen procedimientos manuales, diseñados para prevenir y detectar errores. Controles de seguridad de los datos: garantizan que los valiosos archivos de datos de negocios grabados en discos o cintas no sufran accesos no autorizados, alteraciones o destrucción. Tales controles sobre los archivos de datos se requieren cuando éstos se están usando y cuando se tienen almacenados. Es más fácil controlar los archivos de datos en los sistemas por lotes, ya que el acceso está limitado a operadores que corren las tareas por lotes. Sin embargo, los sistemas en línea y en tiempo real son vulnerables en diversos puntos. Varios niveles de seguridad: las terminales pueden ser físicamente restringidas; el software puede incluir el uso de palabras de acceso asignada a personas autorizadas. Controles administrativos: son normas, reglas, procedimientos y disciplinas de control formalizados, para asegurar que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente. Los controles administrativos más importantes son: Segregación de funciones: principio de control interno que divide responsabilidades y asigna tareas a las personas, de modo que las funciones no se traslapen y se minimice el riesgo de errores y la manipulación fraudulenta de los activos de la organización. Políticas y procedimientos por escrito: establecen normas formales para controlar la operación de los SI. Los procedimientos se deben formalizar por escrito y deben ser autorizados por el nivel gerencial apropiado. Es preciso especificar claramente las obligaciones y las responsabilidades. Supervisión: del personal que participa en los procedimientos de control. Mediante la supervisión se detectan las debilidades, corrigen errores y desviaciones. Controles de aplicación Son específicos dentro de cada aplicación de computadora individual. Incluyen procedimientos automatizados y manuales que aseguran que la aplicación sólo procesará datos autorizados, y que lo hará de forma correcta y cabal. Los controles de cada aplicación deben abarcar toda la sucesión de pasos de procesamiento. Controles de entrada: verifican la exactitud e integridad de los datos cuando entran en el sistema. Son controles específicos para: 72 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o autorizar las entradas; se deben autorizar, registrar y monitorear correctamente durante el flujo de documentos frente a la computadora. o convertir datos; las entradas deben convertirse debidamente en transacciones computarizadas, sin introducir errores al transcribirlas de una forma a otra. o Establecer totales de control: es un tipo de control de entrada que consiste en contar las transacciones o los campos de cantidades antes del procesamiento para efectuar comparaciones y conciliaciones posteriormente. o Realizar verificaciones de edición: rutinas para verificar los datos de entrada y corregir errores antes del procesamiento. Controles de procesamiento: determinan si los datos están completos y son correctos durante la actualización. Los principales son: o totales de control de serie: procedimiento para controlar el grado de actualización por computadora generando totales de control que concilian los totales antes y después del procesamiento. o Cotejo por computadora: control de procesamiento que compara los datos de entrada con información guardada en archivos maestros. Controles de salida: medidas que aseguran que los resultados del procesamiento computarizado sean correctos, estén completos y se distribuyan debidamente. Los más comunes son: o o o cotejar los totales producidos con los totales de entrada y de procesamiento revisión de los registros de procesamiento para determinar que todos los trabajos fueron procesados adecuadamente. procedimientos y documentación formales que especifican a los destinatarios autorizados de los informes, los cheques u otros documentos críticos producidos. Auditoría de Sistemas La auditoría en sistemas es el monitoreo, revisión y evaluación de todos los controles que la empresa posee o debiera poseer para el procesamiento de su información en forma segura y consistente. Esto incluye el control de los equipos de cómputo y su utilización, así como el de las personas que los operan. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. El control interno y el auditor de sistemas DIFERENCIAS o Análisis de los controles en el día a día. o Informa a la Dirección del Departamento de Informática. o Sólo personal interno. o El alcance de sus funciones es únicamente o sobre el Departamento de Informática o Análisis de un momento informático determinado. o Informa a la Dirección General de la Organización. 73 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización. SIMILITUDES o Personal interno. o Conocimientos especializados en Tecnología de la Información. o Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información. Auditoría Externa Vs. Auditoría Interna Se aclara, dado que para los profesionales de ciencias económicas puede llevar a confusión el término de auditoría de sistemas. Auditoría Interna o Se realiza con recursos materiales y personas pertenecientes a la empresa. o Son empleados remunerados económicamente. o Existe por decisión de la empresa. Auditoría Externa o Es realizada por personas ajenas a la empresa auditada. o Siempre es remunerada. o Se presupone mayor distanciamiento entre auditores y auditados. La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas ajenas a la empresa auditada; y es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las recomendaciones habidas benefician su trabajo. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. Auditoria de los Sistemas de Información 74 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Dos enfoques de la auditoria de SI El enfoque tradicional de la auditoria. o Limitado a los controles contables internos. o No se enfocaba a las actividades claves. o Sólo interesaba al personal financiero. En la actualidad. o Los SI intervienen en todas las actividades. o El auditor moderno evalúa riesgos y comprueba controles. o Demuestra conocimientos informáticos. Focos de los Tipos de Auditoria Operativa o Examinar la gestión de un ente, evaluando la eficiencia de los resultados Interna o Medir y evaluar la confiabilidad y eficacia de las actividades de control de los sistemas Externa o Emitir opinión sobre la razonabilidad de la información contable o Independencia del Auditor ¿Qué es la Auditoria de Sistemas? La revisión y evaluación de todos (o algunos) de los aspectos de los sistemas de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes 75 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Es realizada para verificar el funcionamiento y la distribución de los controles en los procesos de información de una empresa, organización o cualquier sistema que utilice medios de información. Puede ser realizada por un equipo interno o externo, principalmente para encontrar fallas en el sistema analizado que permitan optimizar, homogenizar, acercar, y proteger los procesos informáticos, ya que el flujo de la información se facilita en cuanto se automatiza reduciendo el error humano. ¿Qué se revisa y evalúa? Control de modificación en las aplicaciones Fraudes Cambios en los programas Revisión de: o Comunicaciones o Entrada de datos o Bases de datos o Métodos de procesamiento o Salidas de Información (derechos y privilegios) Evaluación de la Seguridad Informática Evaluación de los planes de contingencia Back-ups, planes de recupero Opinión de la utilización de los recursos tecnológicos Resguardo y protección de activos Idealmente, ser consultados en el desarrollo de nuevos sistemas Evaluación de controles Etapas de una Auditoria Planificación o Conocer el ente o 1:N (Extractivas) / N:1 (Concentradoras) / T (Combinatorias) o Regulaciones que lo afectan (AFIP, BCRA, SAFJP, SOX, corporativas) o Evaluar riesgos o Inherente / de Control / de Detección o Determinar enfoque (áreas / ciclos) o Determinar programas de trabajo o Alcance, naturaleza y oportunidad Ejecución o Aplicación de los procedimientos o Pruebas de Controles o Pruebas Sustantivas o Papeles de Trabajo o En general, obtener elementos de juicio respecto del objeto auditado Conclusión o Seguimiento de puntos pendientes o Elaborar informes y borradores de discusión o Acordar recomendaciones (cuando las hubiere) 76 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Elaborar Informe final Planificación de auditoría: En la planificación de auditorías debe considerarse el cumplimiento o realización de los siguientes aspectos (debe cubrir los siguientes aspectos) Comprender el negocio: a través de recorrer instalaciones, leer sobre esa industria o sus informes financieros, entrevistas, revisión de informes de auditorías previas, revisión de los planes estratégicos a largo plazo. Definir los riesgos de auditoría y materialidad (impacto total para la entidad NO basado en lo monetario) significa definir el alcance del trabajo para acotar el riesgo El riesgo de exposición o riesgo de auditoría debe ser el criterio clave para seleccionar las aplicaciones a auditar. o Para determinar la prioridad de las aplicaciones a auditar considerar en el sig. Orden: los activos controlados por el sistema, el impacto sobre la toma de decisiones, la importancia de los archivos utilizados, el costo de procesamiento. o Para establecer prioridades a las auditorias en un plan de auditoría considerar: las observaciones de auditorías previas, el lapso desde la última auditoría y los cambios a los procedimientos auditados o 3. Riesgo del negocio: se refiere a identificar riesgos por ej. De naturaleza financiera, normativa, de controles que pueden afectar la continuidad del negocio a largo plazo. Si bien el auditor debe tener presente este riesgo mientras lleva a cabo la auditoria, debe interesarse principalmente en los riesgos de control y de auditoría. o 4.Evaluacion de riesgos: el objeto de esto es identificar las áreas de alto riesgo que deben ser evaluadas y así permitir la adecuada asignación de recursos para la auditoria, para que la auditoria constituya un valor agregado orientando sus actividades a las áreas de alto riesgo o Para hacer la evaluación de riesgos: Matriz de riesgos Establecer factores de riesgo. Ej. Complejidad, riesgo de falla de las aplicaciones, procedimientos de control Por cada aplicación o trabajo sujeto a la evaluación de riesgo: asignar el factor de ponderación que le corresponde a los factores de riesgo definidos Asignar a cada factor de riesgo un valor por ej. En escala de 1 a 5 Obtener el valor de riesgo asociado con cada aplicación o trabajo sujeto a la evaluación A partir de juicios de valor por ej. Perspectivas históricas, clima comercial, etc. Para todas las aplicaciones, verificar el cumplimiento de los objetivos básicos de control interno que son: Cumplimiento de políticas de la empresa, en un segundo término ver que estén documentados, distribuidos y aprobados Cumplimiento de exigencias legales Salvaguardia de los activos Proceso confiable Eficiencia de las operaciones 77 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o A partir de los objetivos básicos de control interno definidos anteriormente que deben existir para todas las aplicaciones, verificar que existan procedimientos que den cumplimiento a los mismos, por ej.: accesos restringidos a la información, las transacciones son autorizadas, no se ingresan transacciones duplicadas, se informan las transacciones rechazadas y las duplicadas, se hacen back-up de los archivos, los cambios a los programas son aprobados y probados. o Comprensión de los objetivos generales de auditoría para la auditoria de sistemas de información. Un ejemplo de objetivo general de auditoría puede ser Evaluar el control interno en un área o Verificar que el inventario este expresado correctamente o Definir los objetivos específicos de las auditorias de sistemas. o objetivo de auditoría (meta): verificar que el sistema contable registra las transacciones correctamente o Objetivo de control (como): las transacciones son ingresadas exactamente o Objetivo especifico de control de SI: existencia de validaciones en el ingreso para detectar cuentas contables erróneas o Evaluación de la existencia de procedimientos generales de control (políticas y procedimientos) establecidos por la gerencia para dar garantía que se alcanzaron objetivos particulares. Deben existir los siguientes procedimientos de control: o Políticas y procedimientos de seguridad lógica para asegurar la autorización de actividades y transacciones Rastro de auditoría de transacciones, es decir, políticas respecto al uso y registro de documentos para asegurar la registración correcta de Transacciones Procedimientos para asegurar el acceso restringido a las instalaciones, a los activos y a su uso Políticas de seguridad física para todos los centros de cómputos Analizar el conjunto de procedimientos de control específicos de SI que deben existir para dar cumplimiento a los procedimientos generales de control mencionados anteriormente. Por ej. El acceso restringido a los activos (procedimiento general de control) puede ser traducido como acceso restringido a programas, datos y equipos (procedimientos específicos de control). Considerar la evaluación de los siguientes procedimientos de control de SI: De organización general. En el caso que el auditor efectúe un análisis de los costos de capacitación e instalación de hardware y software, el principal interés es identificar los ítems del nuevo soft y hard en los cuales el personal debería ser capacitado. Los costos de instalación, capacitación e impuestos son parte de la capitalización del nuevo soft y hard Metodologías de desarrollo Acceso a la información y programas De operaciones. En el caso de planificar una revisión de las operaciones del centro de cómputos el auditor 1ero. Deberá recopilar información sobre los procedimientos de asignación de recursos del computador (schedulling) lo cual ayudara luego a desarrollar un plan y presupuesto de auditoria De control de calidad De soporte técnico 78 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Ejecución de los procedimientos generales de auditorías. Son: o Evaluación anual de riesgos y planificación general de auditoria Planificación de auditorías individuales Obtención o comprensión del área o tema a auditar Evaluación del área o tema a auditar Realización de pruebas de cumplimiento Realización de pruebas sustantivas Generación del informe Seguimiento Ejecución de los procedimientos propios de auditoría de SI. Si bien son los mismos enunciados anteriormente, se aplican técnicas propias de la materia como evaluación de la documentación técnica y entrevistas con personal técnico para comprender el tema a auditar, utilizar software de auditoría para hacer pruebas sustantivas y utilizar técnicas de diagramación para documentar. Estos procedimientos deben ser considerados para poder planificar las pruebas de auditoría por ej. Evaluar periódicamente los criterios utilizados para planificar a corto plazo y anualmente con el objeto de considerar las tecnologías cambiantes, mejoras en las técnicas de evaluación, etc. Las planificaciones deben ser aprobadas por el comité de auditoría y comunicada a los niveles gerenciales involucrados Considerar en la planificación la existencia de exigencias como normativas u otros temas que deben ser considerados al momento de planificar el trabajo. Por ej. Implantaciones de sistemas o fechas límites de proyectos, tecnologías actuales y futuras, limitaciones de recursos de SI Al efectuar la planificación considerar las áreas vulnerables a delitos informático, y la naturaleza de los mismos en el caso que hayan ocurrido Considerar en la planificación los objetivos de la Gerencia. Para con la auditoria. Estos se esbozan en las cartas de auditoría. Estas son: o o o o o Carta fundamental: delinea la autoridad, responsabilidad y alcance de la función de auditoría. Debe estar aprobada por el nivel gerencial más alto Carta fundamental del proyecto: identifica los objetivos de las auditorias individuales, cronogramas, costos, áreas involucradas e informes La gerencia de auditoría decidirá auditar alrededor del computador generalmente cuando no disponga de recursos técnicos para auditar el sistema que genera la información que se audita., ya que las auditorias a través del computador comprenden el ciclo completo de procesamiento el input, el proceso y el output incluyendo los procedimientos manuales asociados al input y la verificación del output La Gerencia de auditoría asignara al personal más especializado cuando se requiera una revisión de la administración de los recursos de SI y se utilicen herramientas para el monitoreo del rendimiento del hardware y software Desarrollar el programa de auditoría (procedimientos de auditoría para alcanzar los objetivos planificados). Componentes que debe incluir el programa de auditoria El tema y área a ser auditada 79 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI El objetivo de auditoría (meta definida durante la planificación) El alcance (sistema yo áreas yo temas que se van a revisar) La planificación previa donde se definen los recursos, fuentes de información para realizar el trabajo (por ej. papeles de auditorías anteriores, políticas, normas y procedimientos, etc.), el lugar físico a auditar, la actualización de los programas de auditoría existentes Recopilación de los datos Identificación de las personas a ser entrevistadas Identificación de políticas y normas del departamento procedimientos para probar y verificar los controles procedimientos para evaluar los resultados de las pruebas procedimientos de comunicación con la gerencia Generación del informe o Procedimientos de seguimiento: incluye la evaluación y prueba de las operaciones, controles razonabilidad de las políticas y procedimientos Debe incluir la realización de pruebas de cumplimiento y sustantivas La evaluación de controles es para determinar la confianza de los controles ya sean automáticos o manuales. El auditor debe preparar en forma rutinaria programas formales de auditoría de procedimientos de prueba ya que esto permite estructurar la planificación, guiar a los ayudantes en los procedimientos planificados y proveer documentación de la revisión Pruebas de cumplimiento: es para probar que los controles funcionan como lo describe la persona o la documentación y que funcionan de tal manera que cumplen con las políticas de la gerencia. Permiten evaluar la efectividad de las políticas o procedimientos de control para prevenir o detectar errores en los sistemas y operaciones. Se realizan con el objeto de comprender la estructura de control, los resultados obtenidos son utilizados para determinar la naturaleza, tiempos y extensión de las pruebas sustantivas. Son ejemplos de pruebas de conformidad: la observación de prácticas de seguridad, la inspección de documentos por ej. Ver las solicitudes de usuarios para determinar si las modificaciones a programas están aprobadas, etc. No son pruebas de cumplimiento el examen de los manuales de sistemas para determinar que los procedimientos existentes son satisfactorios, el examen de flujogramas de sistemas para poder entender una aplicación, el examen del organigrama para ver que la segregación de funciones es adecuada Las técnicas para efectuar pruebas de control son: observación, inspección, re ejecución de una política o procedimiento, preguntas Prueba sustantiva: se efectúan para sustentar la adecuación de los controles. Es para determinar la exactitud de algo en función a la cantidad, valor. Determinan la validez de las transacciones. Por ej. La confirmación de los balances de cuentas de un cliente, de los inventarios de cintas, de inventarios de equipos, análisis de estadísticas de utilización de recursos del computador, análisis de informes de excepción por violaciones a la seguridad Las técnicas para efectuar pruebas sustantivas son: análisis como comparaciones, cálculo, razonamiento, re ejecuciones por ej. A través del desarrollo de un programa La forma más eficiente para revisar la integridad de los datos es: 80 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o Revisar el sistema a fin de entender el flujo de información Identificar los datos y fuentes de datos a probar Establecer las pruebas Diseñar las pruebas Debe incluir la identificación de la existencia de los controles claves (preventivos, detectives y correctivos) y la prueba de los controles básicos y disciplinarios incluidos en dichos controles claves Debe incluir la existencia y documentación de evidencia de auditoría competente y suficiente para respaldar los hallazgos de la auditoria. El grado de confiabilidad de la evidencia lo da: Si quien entrega la información es independiente al área auditada o es externo a la empresa La idoneidad en el tema (calificación) de la persona que entrega la evidencia y si el auditor realmente comprende lo que está evaluando es objetiva es decir que no exige juicios Asignación de los recursos de auditoria Comprensión del perfil de los recursos humanos disponibles para realizar las auditorias correctamente. Los auditores pueden tener antecedentes como analistas, programadores, auditores contables, con pocas experiencia hasta CISA's. Considerar las posibles restricciones que pueden limitar la disponibilidad del personal por ej. Vacaciones, asistencia a curso, soporte a la auditoría contable, falta de conocimiento, etc. Estas restricciones pueden evitarse con una planificación adecuada A fin de realizar planificaciones adecuadas el auditor debe estar familiarizado con las técnicas de administración de proyectos que incluyen: hacer un plan detallado con las estimaciones para cada tarea de auditoría (ver punto G1.11) considerando la disponibilidad del personal. Equilibrar la asignación de tareas en función de los recursos-destrezas disponibles establecer algún sistema que permita regularmente ir comparando el avance de los proyectos con lo planificado Hacer correcciones al plan por ej. Cambios en las asignaciones o a la planificación en el caso que se detecte que es necesario Capacitación constante de los auditores tanto en nuevas técnicas de auditoría como nuevas tecnologías Técnicas de recopilación de evidencia Revisión de la estructura de la organización (organigrama): permite ver si hay segregación de funciones. Revisión de las normas para documentar sistemas aunque se realice en forma automática y no sobre papel por ej. Con herramientas CASE. Las normas deben requerir mínimamente la documentación de los siguientes aspectos: o Documentación que indica la aprobación del inicio del sistema o Especificaciones funcionales sobre el diseño global o Documentación sobre los cambios a programas realizados o Manuales de usuario Revisión de la documentación de sistemas 81 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Entrevistas al personal: se pueden utilizar formularios de entrevista con el cuestionario o listas de control. Las entrevistas deben documentarse con notas Observación de los empleados realizando las operaciones. Este método da mayor seguridad en cuanto a verificar la eficiencia y eficacia del trabajo El auditor debe documentar su comprensión del ambiente de SI, de un sistema, etc. utilizando flujogramas o narrativas, etc. Luego de haber comprendido y documentado el sistema, etc., el auditor debe identificar los controles claves y efectuar pruebas de cumplimiento de los mismos para ver si funcionan. Los resultados derivaran en pruebas de cumplimiento más extensas o sustantivas. Selección de la muestra para efectuar pruebas. Se realiza muestreo cuando no se puede probar el 100%. Utilización de técnicas asistidas por computador (CAAT) para obtener evidencia de diferentes tipos como ser funcionamiento de programas, parametrización de un software, etc. (ver punto I) Pueden ir desde preguntas, observaciones, confirmación y re-ejecución (por ej. un recálcalo) Cabe aclarar que los diagramas de sistemas, manuales de procedimientos y políticas son herramientas útiles para lograr una comprensión de la estructura de control interno. Por otro lado los diseños de registro y archivos, los listados de programas fuentes son útiles en la etapa de testeo detallado de la estructura de control interno. Evaluación de fortalezas y debilidades Existen técnicas para analizar la evidencia pero la técnica a utilizar depende de la evidencia que se examine. El auditor puede analizar debilidades basándose en: Tendencias estadísticas en términos de tasas globales Comparaciones con otros periodos Análisis de regresión: permite analizar una variedad de datos y determinar si constituyen una tendencia Como parte del proceso de evaluar las fortalezas y debilidades, deben cumplimentarse siguientes aspectos: los Evaluar los controles existentes para verificar que se cumplen los objetivos de control definidos en la planificación. Se puede armar una matriz donde en cada columna se colocan los errores conocidos que pueden presentarse en el área y en cada fila los controles que pueden prevenir, detectar o corregir dichos errores. Se completa la matriz y quedan en evidencia las áreas en que los controles son débiles o inexistentes Determinar que material es apropiado para evaluar el cumplimiento de los objetivos de control Considerar la existencia de controles compensatorios es decir controles que compensan las debilidades de control detectadas en un área. Un control compensatorio es un control fuerte que respalda o balancea a uno débil. El propósito también es balancear controles manuales con automatizados Un control compensatorio puede ser un log de computación que registra las acciones o inacciones de una persona durante su acceso al sistema o archivos, si sucede algo anormal el log puede utilizarse para rastrearla. Los controles redundantes son 2 controles fuertes tanto 1 como el otro es adecuado pero ambos se complementan 82 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Evaluar la interrelación de los controles, debido a que para lograr un objetivo de control normalmente no basta con que solo un control se adecuado. Evaluar las fortalezas y debilidades de los controles y determinar si las operaciones son eficientes, eficaces y están bien controladas es decir que satisfacen los objetivos de control. Determinar que observaciones son materiales para los distintos niveles gerenciales e informarlos. Regla: es mejor informar demasiados ítems que muy pocos. Generar el informe de auditoría. Estructura que debe tener el informe: objetivo, alcance, periodo cubierto, tareas realizadas, conclusión global sobre la adecuación de los procedimientos revisados y sus controles, detallar las observaciones, sus recomendaciones, tiempos estimados de implementación que sustentan la conclusión global e incluir las respuestas de la gerencia a las observaciones realizadas con el plan de implementación que propongan (acciones correctivas a tomar y cuando se implementaran) Criterios de inclusión de las observaciones en distintos niveles de informe de auditoría: depende de las directivas de la gerencia sin embargo la decisión final de que incluir u omitir es del auditor quien debe ejercer su independencia Al efectuar el seguimiento de implantación de las recomendaciones considerar la importancia de las debilidades en la estructura de control interno Comunicar el informe a la gerencia superior y al comité de auditoría. Comunicar los temas sin restricciones. Puede haber ocasiones en que las observaciones deban ser comunicadas de inmediato por ej. Si el auditor tiene la certeza que se han realizado actos ilegales, errores o irregularidades Existen técnicas de exposición: que sea de fácil lectura, breve y comprensible. Además pueden utilizarse transparencias, diapositivas, etc. En el caso de auditorías externas pueden 4 tipos de informes: Sin salvedades: implican que no hay problemas materiales, los estados contables cumplen con los principios de contabilidad Con salvedades: no hay problemas materiales, los estados contables cumplen con los principios de contabilidad, pero hay situaciones que si bien no afectan materialmente deben ser informadas Opinión adversa: los estados contables no cumplen con los principios de contabilidad. Estos informes son los mínimos. Renuncia de opinión: cuando la situación financiera es precaria y puede llevar a la disolución de la empresa o cuando el alcance de la auditoria es tan limitado que no puede generarse un informe. Este tipo de informes también puede ser generado por la auditoría interna Seguimiento para verificar que la gerencia ha implementado las recomendaciones Los auditores deben tener un programa de seguimiento y los resultados del seguimiento deben ser informados a los niveles gerenciales correspondientes. Código de ética profesional Los miembros de la EDPAA y los CISA deben: Apoyar que se establezcan y cumplan normas, procedimientos y controles para los sistemas 83 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Cumplir con las normas de auditoría de sistemas Actuar en interés de sus empleadores Mantener la confiabilidad de la información Cumplir con su tarea en forma independiente es decir evitar toda situación que comprometa o parezca comprometer su objetividad e independencia. Mantenerse capacitado a través de cursos Documentar el material sobre el cual basa sus conclusiones Informar a los involucrados el resultado de la auditoria Apoyar a todos en general en comprender lo que es la auditoria y sistemas Mantener conducta y carácter en sus actividades personales y profesionales Normas profesionales sobre auditoria de sistema de la EDPAF (estándares generales para auditoria de sistemas). Tratan la independencia, capacidad técnica, realización del trabajo e generación de informes. Actitud y apariencia: significa ser independiente del auditado en actitud y apariencia (independencia) Relación en la organización: auditoria debe ser independiente del área que se audita (independencia) Auditoria debe ser además independiente en la participación del proceso de desarrollo de sistemas, no puede tomar decisiones dentro del equipo del proyecto. El auditor debe ayudar a disminuir el riesgo en el desarrollo de un sistema es decir factores que tengan implicancias financieras como el costo, el valor del sistema para la organización y los beneficios que provea el sistema La independencia debe ser valorada continuamente por el auditor y el gerente de auditoría, es decir que deben considerarse aspectos como responsabilidades y asignación de trabajos anteriores, cambios en la relación personal, intereses financieros. El gerente de auditoría de sistemas debería establecer políticas y procedimientos para motivar al staff por ej. Calificación del personal en cuanto a carácter, inteligencia, criterio, motivación Cumplir con el Código de ética profesional Destrezas y conocimiento: el auditor debe ser técnicamente competente para hacer la auditoria Educación profesional permanente. Inicialmente es mejor dedicar tiempo a la capacitación de los auditores en la manera de realizar el trabajo ya que con el tiempo la calidad del trabajo de auditoría mejora Planificación y supervisión: las auditorias deben ser planificadas y supervisadas para asegurar que se alcanzan los objetivos de auditoría. Realizar la evaluación de riesgos (realización de tareas) Exigencia de evidencia: obtener evidencia y documentar para respaldar los hallazgos. Los tipos de evidencia que el auditor puede utilizar son física, documental, representaciones y análisis, por ej. los resultado de la extracción de información, registros de transacciones, listados de programas, logs, cálculos, razonamiento, comparaciones, las proyecciones que son parte de los cálculos, facturas (realización de tareas) Cuidado profesional en todas las tareas realizadas incluyendo el cumplimiento de estas normas. Por ej. El auditor no debería aceptar las declaraciones del analista desde su punto de vista sino que debe verificar personalmente los controles ya sea analizando la documentación, testeando su existencia o ambos esto se debe a que el auditor debe ser consciente de la posibilidad de que otras personas hayan cometido errores, irregularidades o actos ilegales 84 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI (realización de tareas). Los errores son involuntarios, equivocaciones, mala aplicación de una política, mientras que las irregularidades es una falsificación, alteración de registros, aprobación indebida de transacciones, tomar ventaja de una posición laboral, etc. Los gerentes se encuentran en mejor posición para ocultar transacciones de manera que puedan producir una irregularidad material como fraude, la gerencia pudo obviar los procedimientos de control. Los operadores, bibliotecarios tienen el potencial para realizar irregularidades materiales. Generar un informe de auditoría que indique la extensión de la tarea es decir objetivo, periodo analizado y tareas realizadas (generación de informes) Generar un informe de los hallazgos y conclusiones: es decir de las observaciones y la conclusión general. TECNICAS CAAT (procesos especializados de auditoría asistida por computador) Se pueden usar para evaluar controles de tecnología informática, de aplicaciones, para hacer pruebas sustantivas y para la administración de la auditoria Ejemplos de técnicas CAAT existentes y su uso (tipos de técnicas de auditoría asistidas por computador) o Generadores de datos de prueba: este software genera transacciones y datos de acuerdo con criterios específicos por ej. Rango de valores, etc., con ellos se verificar la lógica de programas, es decir se compara la salida obtenida con los resultados esperados o Sistemas expertos: aplicaciones desarrolladas para contener los procesos de toma de decisiones de expertos en un determinado campo. o Utilitarios: por ej. Para ver los parámetros seteados para un software determinado (evaluar los controles en la operación del computador, controles en el sistema operativos por ej. PARMLIB), generadores de reportes sobre la estructura de la base de datos, red de teleprocesamiento, para ver como está configurado el sistema de seguridad (evaluar los controles de acceso), para analizar el log del sistema. o Son provistos por proveedores tanto de hardware como software y permiten manipular información por ej. Para seleccionar e informar datos o Paquetes de bibliotecas: para verificar la integridad de bibliotecas ante cambios a programas por ej. Para comparar programas fuentes, objetos (evaluar los controles en la implementación y mantenimiento) o Instalación de pruebas integradas (ITF): para procesar datos de prueba en un sistema de aplicación en producción Permite probar una aplicación en forma continua. o Por lo general representan un conjunto de entidades ficticias como departamentos, clientes y productos. Los informes obtenidos se verifican para confirmar que el procesamiento es correcto. o Este mecanismo presenta ciertos riesgos por lo cual es necesario asegurarse que no se alteran los datos y los totales reales de producción, es decir que no quedan efectos residuales como resultado de las pruebas realizadas. o Rutinas de auditoría Instantáneas: se integran en distintos puntos del sistema para capturar la imagen de la transacción cuando pasa por dicho punto. Permiten tomar la fotografía de una transacción a medida que recorre el sistema y evaluar los procesos que se aplican a los datos en distintas etapas del procesamiento. o Ídem anterior pero la información recopilada se guarda en un archivo especial que será revisado por los auditores o Software de auditoría: puede ser especializado (desarrollado por el auditor especialmente para un determinado negocio o aplicación) o generalizado (para usar sobre cualquier aplicación por ej. ACL, AUDITPACK). 85 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o o o o o Son módulos pre-escritos que permiten recuperar información (query), muestreo de registros, sumarizar, etc. Tanto el software de auditoría especializado como el generalizado normalmente se utilizan para verificar la integridad de los datos de un archivo. En el caso del especializado también puede utilizarse para hace una simulación paralela es decir que el auditor desarrolla rutinas que simulan total o parcialmente partes del sistema y luego se investigan las diferencias entre los resultados reales y los de la simulación. La simulación en paralelo permite al auditor verificar controles y procedimientos críticos y complejos de programas por ej. Cálculos de intereses y depreciación de cuentas. El software de auditoría corre en forma independiente a los programas en producción y son adecuados para el muestreo de transacciones y su monitoreo discontinuo en sistemas complejos La técnica de datos de prueba es para probar situaciones preconcebidas. El software de auditoría genérico se puede utilizar para: probar la exactitud de los cálculos, puede ser realizada sobre una muestra o sobre el archivo completo Comparar datos de diferentes archivos para asegurar su sincronización Para determinar la antigüedad de los datos (secuenciamiento) u obtener resumen de datos (realizar totalizaciones de archivo) Para identificar condiciones de excepción que no son probables que ocurran y generar con ellas un informes de excepción para su posterior examen Software para la administración de la auditoria: por ej. El MSPROJECT que permite mejorar la administración y seguimiento de los proyectos, el FLOWCHART para documentación y como ayuda a comprender un flujo de operaciones Software como VAMVIEW y CONSUL RACF para evaluar los controles en la seguridad de archivos, programas Software para el tracing y debugging de programas transferencia de información hacia y desde un mainframe (uploading y downloading) para realizar un análisis más detallado de transacciones seleccionadas. En las PC´s se puede desarrollar software para analizar dichas transacciones cuando el volumen de las mismas es suficientemente pequeño, pero hay que asegurarse de la integridad de dichos datos en la PC para que los resultados sean confiables. CASE: son paquetes de software que ayudan en el desarrollo de todas las fases de un sistema es decir análisis, diseño, programación y documentación. Ventajas: Disminuyen el riesgo de auditoría porque permite una cobertura más amplia (tomar como muestra todo el universo) mejorando la oportunidad de identificar excepciones, debilidades de control interno Independencia del auditado Ahorro de tiempo en el transcurso del tiempo por pueden ser reutilizadas en las futuras auditorias Antes de desarrollar o adquirir CAAT considerar: La facilidad de utilización La capacitación de quienes deberán usarla La complejidad de codificación y mantenimiento Requisitos de instalación (PCs, etc.) esfuerzo para llevar la información fuente al CAAT Conservar la siguiente documentación de las CAAT (supervisión de auditoría): flujogramas de programas Listado del programa Diseño de archivos y registros con descripción del contenido y campos 86 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Requisitos de input y ejemplos Instrucciones para operar el programa Referencia cruzada al programa de auditoría y al procedimiento de auditoría que cumple Deben utilizarse copias de los archivos de producción en un ambiente que asegure que no van a ser manipulados Similitudes entre la Auditoria de Sistemas y la tradicional No se requieren nuevas normas de auditoría. Los elementos básicos de un buen sistema de control interno siguen siendo los mismos adecuada segregación de funciones. El estudio y la evaluación del control interno se efectúan para: o respaldar una opinión o determinar la base, oportunidad y extensión de las pruebas de auditoría. Diferencias entre la Auditoria de Sistemas y la tradicional Se establecen algunos nuevos procedimientos de auditoría. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. Sistemas manuales = evaluación transacciones Sistemas informáticos = evaluación control interno Tipos de auditoría Pueden ser de distinta índole: o Auditoría de seguridad interna. Se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno o Auditoría de seguridad perimetral. El perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores o Test de intrusión. Método mediante el cual se intenta acceder a los sistemas para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral. o Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante la que se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la falta de operatividad del sistema se denomina análisis post-mortem. o Auditoría de páginas Web. Entendida como el análisis externo de la Web, comprobando vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc. o Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones, páginas Web, así como de cualquier tipo de aplicación, independientemente del lenguaje empleado y revisar las fortalezas y debilidades de control y de operaciones de un aplicativo o De controles generales: revisar la estructura, políticas, procedimientos operativos y ambiente de control o Del Centro de cómputos: revisar las operaciones del centro de cómputos o De la Seguridad: revisar el acceso lógico, físico y controles del ambiente o De recuperación de desastres: revisar políticas y procedimientos para la planificación de contingencias 87 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o Del sistema operativo: revisar políticas y procedimientos para desarrollar, adquirir y mantener sistemas operativos Del ciclo de vida del desarrollo de sistema (SDLC): revisar la metodología y procedimientos para el desarrollo, adquisición y mantenimiento de sistemas ¿Cómo se audita un sistema? Pruebas o De cumplimiento de Controles Determinar si el sistema se comporta como se espera que lo haga Gestión del ente Sustantivas Obtener evidencias que permitan opinar sobre: Integridad razonabilidad y validez de lo producido por el sistema de Información El riesgo de auditoria Riesgo inherente: o un error puede ser material si se combina con otros errores encontrados en la auditoria y no existen controles compensatorios. o Es el riesgo propio del negocio, riesgo de que haya un error sin considerar la efectividad del control interno. Riesgo de ocurrencia de un error Riesgo de control: o el sistema de control interno no puede detectar o evitar un error material en forma oportuna. Riesgo de ocurrencia de un error Riesgo de detección: o el auditor concluye que no existen errores materiales y hay. Riesgo de no detectar un error Sistema De Control Interno La estructura del control interno consiste en políticas y procedimientos para dar garantía que los objetivos serán alcanzados. Es para prevenir o detectar errores o fraudes en los estados contables (exactitud y confiabilidad de la información), para salvaguardar los activos de la empresa, para asegurar el cumplimiento de leyes y proporcionar una base para medir hasta qué punto las operaciones y objetivos de la gerencia se están logrando Componentes: Controles contables: orientados a contabilizar las operaciones. Se refieren a la salvaguardia de los activos y confiabilidad de los registros contables. Por lo tanto la auditoría contable tiene como objetivo evaluar la exactitud de los estados contables Controles operativos: orientados a garantizar que las operaciones y funciones diarias satisfacen los objetivos del negocio. Por lo tanto la auditoria operativa tiene como propósito evaluar la estructura de control interno, muchas de las auditorias de sistemas son de carácter operativo Controles administrativos: orientados a que se dé cumplimiento a las políticas del negocio y a los controles operativos para garantizar la eficiencia operativa en un área. 88 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI C2.Los tipos de control interno son: controles disciplinarios y controles básicos Controles básicos: por ej. Controles de autorización, totalidad, exactitud, procedimientos de backup y recuperación, conciliación de totales de control, controles de acceso y seguridad, procedimientos programados, controles en el mantenimiento de programas, en la implementación, en las operaciones Controles disciplinarios: por ej. Segregación de tareas, supervisión, custodia. Aseguran el cumplimiento de los controles básicos Pruebas de Cumplimiento de Controles WALKTHROUGH Seguir a través del sistema Se ve el detalle en cada paso CAJA BLANCA POR FUERA DEL SISTEMA SE VEN CHECK-POINTS CAJA NEGRA Solo se conocen cosas específicas Entradas Salidas Algunos procesos (resultado de ellos) CLASIFICACION DE CONTROLES CLAVES Controles Preventivos: Evitan o reducen que se produzcan errores, omisiones, actos maliciosos. Guían para que las cosas se hagan como se deben. Generalmente son pasivos es decir que no toman una acción física. Ejemplos: o Definición de responsabilidades o Confiabilidad en el personal o Entrenamiento o Capacitación o percepción de la seguridad o Personal competente o Separación de tareas 89 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o o o o o o o o o o o Rotación de tareas Estandarización Autorización Redundancia Diseño de formularios Utilización de UserId o tarjetas Uso de password Cambio periódico de contraseña Terminales que se desactivan luego de 3 intentos no autorizados Formularios pre numerados Mascaras de entrada Cancelación de documentos Archivo de documentos fuentes Políticas, Estándares y Procedimientos documentados Software de control de acceso Terminales que se desactivan luego de 3 intentos no autorizados Utilización de tarjetas de identificación de empleados Controles detectivos: Detectan que se han producido errores, omisiones, actos maliciosos e informan su aparición. Monitorean el proceso, registran los problemas y sus causas, determinan si el control preventivo funciona. Actúan a posteriori que se produce la transacción. Ejemplos: o Registro histórico (log) de violaciones de acceso (grabación y examen del log). Es un control detectivo pero no es un control de aplicación detectivo. o Las pistas de auditoría si bien son controles detectives no es el propósito primario de los controles detectivo o Remito de movimientos o Numeración de lotes o Totales de control o Cuenta de transacciones o Control de secuencia o Digito verificador o Registro de fecha y hora o Control de validez o Listado de control o Reconciliación o Archivo de pendiente o Totales de pendientes o Controles cruzados o Rotulación de cintas y discos o Verificación de autorizaciones o Capacitación o percepción de la seguridad (también puede ser detectivo porque permite identificar posibles violaciones) Controles correctivos: 90 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI Corrigen errores, omisiones o actos maliciosos que se hayan detectado por ej. Ante el ingreso de una fecha errónea el sistema la corrige colocando la fecha del sistema. Reprocesan luego que fue corregido a través de los mismos o aun más severos controles, registran las acciones tomadas y cuestan más que los otros Listado de discrepancias Pistas de auditoría (se tienen en cuenta una vez que ha ocurrido el problema) Estadística de origen de errores Corrección automática de errores Respaldo operativo Recuperación El plan de recuperación de desastres documentado El mejor control es el que evita problemas (controles preventivos), luego le siguen los que identifican un problema ya que permiten tomar medidas de investigación y corrección (controles detectives) y por último los controles para corregir un problema (controles correctivos o de recuperabilidad) Pruebas Sustantivas Obtener evidencia Física, Documental y Verbal de los elementos auditados Criterios de comparación, confirmación y razonabilidad Utilizando programas que ayuden a la tarea cuando sea posible, tales como Software Específico: ACL, Cognos, Clementine Pistas de Auditoria (si fuesen inalterables) de las BD de los sistemas en uso Las pruebas de cumplimiento y sustantivas son complementarias entre sí A menor confianza por parte del auditor en el control interno, mayor será cantidad y calidad de pruebas sustantivas que deberá desarrollar A mayor riesgo en el ente auditado, mayor alcance y naturaleza de las pruebas sustantivas a realizar Esquema de auditoria En síntesis, un modelo sencillo de auditoría consiste en dos partes: o Recolector de datos de auditoria o Analizador de esos datos Una posible aproximación a un esquema básico de auditoría utilizando herramientas. Fundamentalmente, utilizado en Sistemas de detección de intrusos: 91 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI El proceso de la auditoria de sistemas de información Definición del alcance y objetivo. Se fija qué se va a auditar, en qué entorno y ante quién se va a responder. Planificación de la auditoria. Definición del método y constitución del equipo de trabajo. Recolección de la evidencia, construyendo una base sobre la que practicar las pruebas necesarias. Debe ser suficiente, fiable, relevante y útil para alcanzar los objetivos fijados. Evaluación de la evidencia, mediante pruebas específicamente diseñadas para ello, ya sean substantivas o de cumplimiento. Formulación de un juicio profesional sobre cómo la información evaluada concuerda con la realidad, tal y como el auditor percibe la realidad en ese momento. Comunicar los resultados. Hallazgos y recomendaciones. Informe de auditoría. Facilitar la implantación de los controles Los servicios de auditoría constan de: o Enumeración de redes, topologías y protocolos. o Identificación de sistemas y dispositivos. o Identificación de los sistemas operativos instalados. o Análisis de servicios y aplicaciones. o Detección, comprobación y evaluación de vulnerabilidades. o Medidas específicas de corrección. o Recomendaciones sobre implantación de medidas preventivas. Pistas y Registros de Auditoria Son una serie de registros de computador sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. [NIST96]. Se generan por un subsistema que monitoriza las actividades del sistema, pudiendo ser utilizadas en una gran variedad de funciones, sobre todo dentro del ámbito de la seguridad informática, donde combinadas con herramientas y procedimientos adecuados, las pistas de auditoría pueden proporcionar un medio de ayudar a cumplir algunos objetivos, como por ejemplo: o Responsabilidad individual. Seguimiento de la traza de las acciones del usuario. o Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las operaciones una vez finalizadas. o Detección de intrusiones. Bien en tiempo real mediante un examen automático o mediante procesos Batch 92 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o Identificación de problemas. Además del punto anterior mediante su examen pueden detectarse otra serie de problemas en el sistema. En cuanto al contenido, la misma publicación señala que una Pista de Auditoria debe incluir suficiente información para establecer qué eventos han ocurrido y quién o qué los ha desencadenado. La definición del alcance y contenidos de las pistas de auditoría debe ser hecho con cuidado, balanceando las necesidades de seguridad con posibles niveles de prestaciones, privacidad u otros costos. En general, un registro deberá especificar: o Tipo de Evento. o El tipo de evento y su resultado, como por ejemplo: Intentos fallidos de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones, eventos relevantes de seguridad o Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento. o Identificador de Usuario asociado con el evento. o Programa o Comando usado para iniciar el evento. Registros nativos: Los sistemas operativos multiusuario incluyen software que recoge información sobre la actividad de los usuarios (accounting). La ventaja de utilizar esta información es que no se necesita un software adicional de recopilación de datos. La desventaja es que estos informes pueden no contener la información necesaria ó no contenerla de una manera conveniente. Registros específicos para la detección: Se puede implementar una herramienta que contenga sólo la información requerida por el IDS. Las ventajas están en independencia del vendedor y portabilidad a diversos sistemas. La desventaja es el costo de procesamiento adicional involucrado. Pistas de Auditoría en entornos de red Security Criteria for Distributed Systems: Creado por el Institute for Defense Analysis en 1995 para sistemas distribuidos, definía varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorías: o Política de administración y control de accesos o Política de Integridad y Confidencialidad de datos o Política no discrecional (Non-discretionary Policy Events) o Política de Disponibilidad o Política Criptográfica o Dependientes y por defecto (Default and Dependent Events) o La norma dice que para cada evento debe REGISTRARSE: Fecha y hora, información del tema del atributo, identificación del host genera el registro de auditoría, clase de evento e identificador del evento dentro de la clase y resultado del evento (éxito o fallo). 93 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI COBIT La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores. Un Resumen Ejecutivo, el cual consiste en una síntesis ejecutiva que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios del COBIT. Un Marco Referencial, el cual proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y principios del COBIT, e identifica los cuatro dominios de COBIT describiendo en detalle, además, los 34 objetivos de control de alto nivel e identificando los requerimientos de negocio para la información y los recursos de las Tecnologías de la Información que son impactados en forma primaria por cada objetivo de control. Los Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de 302 objetivos de control detallados y específicos a través de los 34 procesos de las Tecnologías de la Información. Las Guías de Auditoria, las cuales contienen los pasos de auditoría correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisión de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o unas recomendaciones Conjunto de Herramientas de Implementación, el cual proporciona las lecciones aprendidas por organizaciones que han aplicado COBIT rápida y exitosamente en sus ambientes de trabajo. Este conjunto de herramientas de implementación incluye la Síntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento del COBIT. También incluye una guía de implementación con dos útiles herramientas: o Diagnóstico de la Conciencia de la Gerencia y el Diagnóstico de Control de TI, para proporcionar asistencia en el análisis del ambiente de control en TI de una organización. o También se incluyen varios casos de estudio que detallan como organizaciones en todo el mundo han implementado COBIT exitosamente. 94 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o Adicionalmente, se incluyen respuestas a las 25 preguntas más frecuentes acerca del COBIT, así como varias presentaciones para distintos niveles jerárquicos y audiencias dentro de las organizaciones; SELECCION DE MUESTRAS PARA EFECTUAR PRUEBAS Enfoques que puede utilizar el auditor para determinar el tamaño de la muestra y los criterios de selección: Estadístico o de muestreo: a través de este método el auditor decide el número de ítems (cantidad) o tamaño que debe tener la muestra para representar el universo (precisión) y en qué porcentaje la muestra representa al universo (veracidad). Este enfoque permite que el auditor cuantifique la probabilidad de error de que la muestra no sea suficientemente representativa. Para armar una muestra verdadera, cada miembro del universo tiene igual oportunidad de ser escogido y cada miembro de la muestra debe ser escogido Conceptos estadísticos: Coeficiente de confianza: % de probabilidad en que la muestra representa al universo. Cuanto más grande es este % más grande es la muestra si los controles internos son fuertes reducir el coeficiente de confiabilidad Nivel de riesgo o probabilidad de error en la muestra seleccionada es 1- confianza Precisión de la muestra: es la diferencia entre el tamaño de la muestra y el universo. Cuanto más grande es la diferencia o precisión más pequeña es la muestra y mayor el riesgo que algo no sea detectado Mediana de la muestra: es el tamaño promedio de la muestra. Tiene distribución normal. Para el cálculo se usan los valores de la muestra y el tamaño de la muestra Desvío estándar de la muestra: mide la distribución de los valores de la muestra respecto de la mediana. Para el cálculo se usan los valores de la muestra, la mediana de la muestra y el tamaño de la muestra Métodos que pueden utilizarse en el muestreo estadístico: De Atributos o estimativo: determina el valor de presencia o ausencia (ocurrencia) de un atributo que en este caso será un control o un conjunto de controles. o Es muy útil para realizar pruebas de cumplimiento por ej. Para determinar la cantidad de ocurrencia del atributo Firma en los formularios de pasaje a producción. o La precisión se expresa en % o Solo en el muestreo de atributos puede establecerse la Tasa de Error es decir el porcentaje de errores que esperan detectarse en la muestra. Cuanto más grande se defina más grande deberá ser la muestra o Si en una muestra el auditor encuentra 2 errores para determinar si están o no dentro de los márgenes de aceptabilidad, solo puede lograrse estableciendo primero la tasa de error en la muestra. De Variables o de estimación media o de estimación dólar: se utiliza para determinar el valor (en la unidad de medida que quiera por ej. dólares, cantidad) por ej. De errores que aparecen en una muestra. o Sirve particularmente para las pruebas sustantivas. Por ej. Para ver la cantidad de módulos objetos erróneos en la biblioteca de objetos de producción 95 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o La precisión se expresa en cantidad o en valores Solo en el muestreo de variables puede establecerse el Desvío Standard del Universo. Cuanto más grande es el desvío estándar más grande debe ser el Pasos que deben cumplirse para hacer pruebas por muestreo: Objetivo de la prueba Universo a muestrear Selección del método de muestreo Calculo del tamaño de la muestra Se utiliza el coeficiente de confiabilidad y la precisión promedio. En el muestreo por atributos se usa además la tasa de error y en el muestreo de variables se usa además la desviación estándar del universo Selección de la muestra Evaluación de la muestra La razón más importante para utilizar el muestreo estadístico es que los resultados pueden ser utilizados para proyectar tasas de error para todo el universo No estadístico o por juicio: se utiliza el criterio en función a ítems que se consideran riesgosos, materiales, etc. Para determinar el tamaño que debe tener la muestra y los ítems que se seleccionaran Auditemos un Sistema... Ejemplo de auditoría de sistemas en un Sistema de Liquidación de haberes: preguntas a realizar (se) Pruebas de Cumplimiento o ¿Quién liquida los haberes es distinto de.. o Quién los autoriza...? o Quién efectúa las acreditaciones de sueldos...? o Quién efectúa el pago de cargas sociales...? o Quién autoriza los aumentos de sueldo...? 96 EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI o o o o o o o o o o o o o o o o o Quién efectúa el cálculo de las comisiones de venta...? ¿Qué periodicidad tienen estos cambios? ¿Hay procedimientos establecidos en cuanto a los límites de firma para pagos y gastos?¿Están actualizados? ¿Quedan pistas de auditoría de los movimientos efectuados? ¿Se efectúan cálculos manuales que se ingresen en forma directa a la liquidación? ¿Hay una política establecida para el pago de horas extra y premios? ¿Quién controla el presentismo/ausentismo y por qué método? ¿El sistema de Liq. Haberes recibe y emite información por medio de interfaces? Son interfaces de “texto” ¿Se realizan provisiones en función a montos determinados por el sistema? ¿En forma manual o automática? ¿Son realizadas por personas distintas? ¿Existe una línea de reemplazos con motivos de licencias vacacionales del personal que liquida los haberes? Al utilizar el sistema ¿el usuario debe identificarse con usuario/contraseña? ¿Que mecanismo de seguridad de contraseña hay en funcionamiento? ¿Expira la sesión de trabajo de un usuario luego de un determinado tiempo de inactividad? ¿Existe un procedimiento para dar de baja en el acceso a los sistemas al personal desvinculado? Pruebas Sustantivas o Buscar legajos y cajas ahorro duplicados o Comparar retenciones practicadas y su ingreso o Conceptos inusuales de pago y descuento o Horas de entrada/salida de reloj vs. horas extra o Revisar la autorización de las horas extra o Revisar el pago de haberes por trabajos en días feriados o Control de días por examen y enfermedad o Recalcular importes determinados o Determinar provisiones o Determinar comisiones pendientes de ex-vendedores La fortaleza de las pruebas de cumplimiento influenciará la naturaleza y alcance de las pruebas sustantivas Hoy en día, es “económico” realizar pruebas de “caja blanca” aún para auditores externos Paulatinamente, “cae” la necesidad de efectuar “muestras”, debido a SW de datamining Las normas técnicas de auditoría NO varían por el uso de herramientas tecnológicas – RT 7 La normativa profesional, expone QUE debe hacerse, pero no COMO. 97