Archivo

Archivo para la Categoría "Auditoria de Seguridad"

Sistemas de Detección de Intrusiones

21 diciembre 2009 Deja un comentario

Historia

Cuando la gente oye hablar de Sistemas de Detección de Intrusiones, generalmente los asocia a “alarmas de ladrones para ordenadores o redes”. Es fácil entender un concepto como este usando comparaciones sencillas. En realidad, la explicación es bastante aproximada, y los usuarios que no se dedican a la seguridad no necesitan saber más. Sin embargo, los expertos en seguridad no pueden cometer el error de conformarse con algo tan trivial, sin tener conocimiento alguno sobre la historia de estos sistemas.

La detección de intrusiones es el fruto de la aplicación del Procesamiento Electrónico de Datos (EDP) a las auditorías de seguridad, utilizando mecanismos de identificación de patrones y métodos estadísticos. Es una parte imprescindible en las modernas tecnologías de seguridad de redes.

Antes de la detección de intrusiones existían las auditorías de seguridad. La auditoría es el proceso de generar, almacenar y revisar eventos de un sistema cronológicamente.

La Figura 1‑1 muestra un esquema simple del funcionamiento de un sistema de auditorías. Los eventos de sistema son capturados por los generadores de auditorías, que llevan los datos al elemento encargado de guardarlos en un fichero de “logs”. El analizador, en base a unas políticas de seguridad, emite los resultados a través de un terminal.

Figura 1‑1 – Sistema de Auditorías Básico

Durante los comienzos de la historia de los ordenadores, estas máquinas eran relativamente escasas y muy caras. Su uso estaba restringido a técnicos e ingenieros especializados. Los primeros sistemas de auditorías tenían como propósito medir el tiempo que dedicaban los operadores a usar los sistemas que monitorizaban, con una precisión de milésimas de segundo, y servían entre otras cosas para poder facturarles el mismo.

Auditorías: el comienzo

A mediados de los años 50 la empresa “Bell Telephone System”, de Estados Unidos, creó un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en el futuro en el negocio de las empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorías mediante el Procesamiento Electrónico de Datos (EDP), rompiendo con el anterior sistema basado en los tradicionales informes de papel. Esto hizo que a finales de los 50 la “Bell Telephone System” se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores. [1]

El Departamento de Defensa de EEUU empleó numerosos recursos en los años 70 para la investigación de políticas de seguridad, directrices y pautas de control de lo que denominaban “sistemas de confianza”. Estos esfuerzos culminaron con la Iniciativa de Seguridad de 1977.

Los Sistemas de Confianza son aquellos “sistemas que emplean los suficientes recursos hardware y software para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada”. [2]

En estos sistemas se albergaban distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.

En un principio, los desarrolladores no tenían claro si las auditorías jugaban un papel importante en la seguridad de un sistema de confianza. Más tarde, se terminó incluyendo un apartado sobre los mecanismos de las auditorías en el “Trusted Computer System Evaluation Criteria” o TSCSEC [3] (Libro Naranja), como un requisito para cualquier sistema de confianza de clase C2 o superior. La serie de documentos del Departamento de Defensa de EEUU sobre Sistemas de Confianza se conoce como la “serie Arco Iris” (“Rainbow series”) debido a los colores de las tapas de los libros que publicaban.

El documento que trata el tema de las auditorías está incluido en el “Libro Marrón” titulado “A Guide to Understanding Audit in Trusted Systems” [4]. En este libro se enumeran los cinco objetivos de un mecanismo de auditoría:

·         Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.

·         Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

·         Permitir el descubrimiento de la transición de usuario cuando pasa de un menor nivel de privilegios a otro mayor (elevación de privilegios).

·         Permitir el bloqueo de los intentos de los usuarios por saltarse los mecanismos de protección del sistema.

·         Servir además como una garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.

Los primeros Sistemas de Detección de Intrusiones

A medida que el número de ordenadores crecía, el número de eventos de sistema a analizar era tal que esta tarea se volvía humanamente imposible. Las autoridades militares de norteamericanas se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de los auditores.

James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de “Monitor de Referencias” en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos.

Anderson propuso un sistema de clasificación que distinguía entre ataques internos y externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoría de seguridad:

Leer más…

Categorías:Auditoria de Seguridad, Seguridad, Sistema de Detección de Intrusos Etiquetas: , ,

La auditoría de seguridad en las empresas: puntos a tener en cuenta

18 diciembre 2009 Deja un comentario

(Editado por Fernando Ortega: Juan Pecantet nos envía este artículo sobre auditorías de seguridad. No nos indica ninguna referencia sobre la procedencia del artículo, pero por el interesante contenido, lo publicamos)

La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad

La importancia en que radica auditoria de sistemas en las organizaciones son:

- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.

- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.

- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.

- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

- Mala imagen e insatisfacción de los usuarios  porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.

- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.

- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.

- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.

La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.

En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:

- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.

- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.

- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Metodología de trabajo de Auditoria

El método del auditor pasa por las siguientes etapas:

- Alcances y Objetivos de la Auditoria Informática.

- Estudio inicial del entorno auditable.

- Determinación de los recursos necesarios para realizar la auditoria.

- Elaboración de Plan y de los Programas de trabajo.

- Actividades propiamente dichas de la auditoria.

- Confección y elaboración del informe final.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.

Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad – Autentificación – Integridad – Confidencialidad

Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

- Interceptación de las comunicaciones.

- Acceso no autorizado a ordenadores o Redes de ordenadores

- Perturbación de las redes.

- Ejecución de programas que modifiquen o dañen los datos.

- Declaración falsa.

- Accidentes no provocados.

- Robo de datos.

- Infiltración de datos críticos.

Los beneficios de un sistema de seguridad son:

- Aumento de la productividad

- Aumento de la motivación del personal

- Compromiso con la misión de la compañía

- Mejoras de las relaciones laborales

- Mejoras del rendimiento

- Mayor profesionalismo

- Ayuda a formar equipos competentes

- Mejora los climas laborares de los RR.HH

Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.

Etapas para implementar un sistema de seguridad

- Introducir el tema de seguridad en la visión de la empresa.

- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.

- Capacitar a los gerentes y directivos, contemplando el enfoque global.

- Designar y capacitar supervisores de área.

- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.

- Mejorar las comunicaciones internas

- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel

- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.

Fuente: http://www.shellsec.net/articulo/auditoria-empresas/

Categorías:Auditoria de Seguridad, Seguridad Etiquetas: ,
Seguir

Get every new post delivered to your Inbox.