Universidad Nacional de Ingeniera Instituto de Estudios Superiores UNI-IES Asignatura:Ingeniera de Software III Tema:Auditora de Seguridad Informtica de la Librera Karen #2 Autor:Francisco Moreno Darce Grupo: 5N1-Co Docente:Ing. Jacqueline Montes Managua, Nicaragua, 03 de diciembre de 2014 2 Contenido 1.Introduccin: ........................................................................................................................... 3 2.Antecedentes Generales y Situacin Actual ................................................................... 4 3.Objetivos: ................................................................................................................................. 5 3.1.General: ............................................................................................................................. 5 3.2.Especficos: ..................................................................................................................... 5 4.Alcance ..................................................................................................................................... 6 5.Identificacin de Recursos .................................................................................................. 7 6.Metodologa ............................................................................................................................. 8 7.Procedimiento ......................................................................................................................... 9 7.1.Seguridad Fsica ............................................................................................................... 9 7.2.Protocolos/Servicios ....................................................................................................... 10 7.3.Seguridad de Usuarios .................................................................................................. 10 7.4.Contraseas .................................................................................................................... 11 7.5.Administracin del Sistema ........................................................................................... 11 8.Puntos dbiles y amenazas. .............................................................................................. 12 8.1.Seguridad fsica .............................................................................................................. 12 8.2.Protocolos/Servicios ....................................................................................................... 12 8.3.Seguridad de Usuarios .................................................................................................. 12 8.4.Contraseas .................................................................................................................... 12 8.5.Administracin del Sistema ........................................................................................... 12 9.Recomendaciones y Planes de Accin .......................................................................... 13 9.1.Seguridad Fsica ............................................................................................................. 13 9.2.Protocolos/Servicios ....................................................................................................... 13 9.3.Contraseas .................................................................................................................... 13 10.Conclusiones ..................................................................................................................... 14 11.Bibliografa ......................................................................................................................... 15 3 1.Introduccin Desde el punto de vista econmico, la seguridad de los datos de los cuales lleva control un establecimiento es de suma importancia para la toma de decisiones. La seguridad informtica es un rea en el que debemos de invertir tiempo para evitar posibles problemas y luego tener que reparar daos. Dadoesto,laejecucindeunaauditoriaexternaalsistemaquelosmaneja pretendegenerartranquilidadyseguridadalosencargados,ademsde proporcionarles pautas en reas donde el sistema posea debilidades o fallas. Elpresentetrabajopretendeauditarelsistemadecontroldeventaseinventario delestablecimientoLibreraKaren#2desdelaperspectivadelaseguridad, tanto:fsica,deprotocolosyservicios,delusuario,lascontraseasyla administracin del sistema en general. 4 2.Antecedentes Generales y Situacin Actual La Librera Karen #2 es un establecimiento dedicado a la venta de tiles escolares yartculosvariosrelacionadosalatemtica,ademsdeprestarlosserviciosde fotocopias e impresiones.ElestablecimientoseencuentraubicadoenlaciudaddeJinotepe,enel departamentodeCarazo.EspropiedaddelaseoraKarlaVannessaBermdez Aguirre, y es administrada por el seor Edgard Jos Rodrguez Aguirre. Elcontroldeventaseinventarioesllevadoenunordenadorpersonaldedicado nicamente a esta funcin, no presenta ningn tipo de interaccin con algn otro ordenador en el establecimiento o en algn otro sitio, por lo cual este sistema ser considerado como un sistema informtico aislado. A este solo tienen acceso el administrador y un usuario adicional que hace uso del sistema cuando el administrador no se encuentra presente. Labasededatosseencuentraenelmismoordenadordondeseejecutala aplicacin, esta almacena los datos procedentes de la misma utilizando diferentes tablas para el control ordenado de la informacin. Comodatorelevante,cabedestacarqueestaeslaprimeravezeneltranscurso delfuncionamientodeesteestablecimientoqueserealizarunaauditora informtica en general, haciendo notar que no existen archivos que permitan crear unabaseparadeterminarsituacionesanterioresalarealizacindelapresente auditora. 5 3.Objetivos: 3.1. General: Determinarsielsistemadeinformacindelestablecimientomantienela integridad de los datos, lleva a cabo eficazmente los fines de esta y utiliza eficientementelosrecursosatravsdeunaauditoradeseguridad informtica. 3.2. Especficos: Presentarelestadoactualdelestablecimiento,permitiendodaraconocer con claridad el alcance del presente trabajo. Inspeccionarloselementosdehardwareysoftwarequeconstituyenel sistema para ubicar y determinar debilidades (si existen). Proponermedidasparamitigarlasposiblesreasquepresenten vulnerabilidadesqueperjudiquendirectaoindirectamentelosfinesdel establecimiento. 6 4.Alcance Conobjetodecumplirlosobjetivosdeestetrabajo,laauditoraselimitara inspeccionar el apartado de seguridad de los siguientes sectores del sistema: 1.Seguridad Fsica 2.Protocolos / Servicios 3.Seguridad del usuario 4.Contraseas 5.Administracin del sistema Todosellossernevaluadosenelnicoequipoqueposeeelestablecimiento. Dicho esto, el apartado de seguridad de redes ser omitido dado que este equipo no posee ningn tipo de conexin con otro, de forma directa o indirecta. 7 5.Identificacin de Recursos Tomandocomopuntodereferenciaelalcancedeestaauditora,losrecursos necesarios para su realizacin se resumen en: Recursos Humanos oIngenieroenComputacin,EstudianteoEgresadodelaCarrerade Ingeniera en computacin. Recursos Materiales oHerramientasparaparaeldesensamblajedecomputadoras (desarmadores). oSoftwareparaprobarelusoderecursosdesistema(benchmarkso pruebas de referencia). oEntrevista. 8 6.Metodologa EnestetrabajosehadecididoutilizarlametodologaCheck-List,estaconsiste enunaseriedepreguntasespecficasparacadareaaevaluar,permitiendo saber si se cumple o no con los estndares que la auditora pretende establecer. Sehaescogidoestametodologaporsusencillezyprecisinalmomentode detectaranomalasydebilidades.Adems,dadalaenvergaduradeltrabajo, permite conseguir mejores resultados en un lapso de tiempo menor. 9 7.Procedimiento Laauditorafuerealizadaentrelosdas17y18denoviembredel2014.El presente informe inici su redaccin el da 20 de noviembre del 214. Conelobjetodelarealizacindelaauditora,seprocediavisitarel establecimiento paralacomprobacin delaspecto fsicodelordenador,ascomo tambin para la las pruebas que se deben realizar para asegurar si se cumplen o no los aspectos relacionados con el software que es utilizado. Adems,ciertosaspectos(cubiertosenelcuestionario)fuerondiscutidosconel administrador del local para esclarecer cualquier duda que no pueda ser resuelta con la interrogante base. ComofueplanteadoanteriormenteseutilizarlatcnicadeChecklistya continuacinsepresentaelcuestionarioutilizadodurante elprocesode auditora dividido en cada una de las reas a cubrir con su respectiva respuesta. 7.1. Seguridad Fsica oSeguridad FsicaSNoN/A Seencuentraelsistemaenunasuperficieslidayestablelo ms cerca del suelo posible? X Est el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de fro / calor? X Estelsistemasituadoenunsitiodondepuedatenerun seguimiento, aislado y con poco trfico humano? X Estlasala/edificioenelqueseencuentraelsistema asegurado con una cerradura o sistema de alarma para que slo personal autorizado acceda? X Estn las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina? X Est el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use (aunque slo sea por unos segundos)? X Estn todos los usuarios desconectados del terminal?X Estn los interruptores del terminal bloqueados o protegidos?X Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas / deshabilitadas? X Estn los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o deshabilitados? X Existen discos duros conectados fsicamente al sistema sin bloquear? X 10 7.2. Protocolos/Servicios oProtocolos/ServiciosSNoN/A Estninstaladosenelsistemalosltimosparchesde seguridad, notas de versin y otra informacin relevante para su configuracin particular? X Est plenamente seguro de las credenciales del desarrollador, todoslosparchesdeseguridad,vulnerabilidadesexistentesy notas de la versin que existen? X Siguelasinstruccionesdelproveedorparalainstalacinde software? X Tomaapuntessobrecualquierproblemaqueencuentreenel proceso de configuracin? X Cuandoinstalaunsoftwarequerequierecredencialesde administradorestconscientedeimplicacionesdehacerloy los posibles efectos secundarios de esto? X Los programas que tienen acceso a informacin sensible solo son ejecutados por usuarios autorizados? X Losserviciosqueseejecutandeformaconstantehacen correcto uso de los recursos? X Cuentanconlasmedidasdeseguridadpertinentespara manejarcorrectamentedesbordamientosdebfer,ataquesde denegacin de servicio y de sobrecarga general del sistema? X Llevacontroldelusopromedioderecursosdelosserviciosy programas que son utilizados con frecuencia en el sistema? X 7.3. Seguridad de Usuarios oSeguridad de UsuariosSNoN/A Poseeunmtodoestndarparalacreacinymantenimiento decuentasdeusuario;polticasaceptablesdeuso,clarasy concisas? X Creacuentasdeusuarioparapersonasu organizacionescon quienesnohainteractuadodealgunaforma,oquehansido conocidos por tener problemas de seguridad en otros sistemas? X Limitaalacantidadderecursosqueunusuariopuede consumir(elnmerodeiniciosdesesin,cantidaddeespacio en disco)? X Mantieneregistrosdetalladosdelaactividaddelusuario?(la hora de conexin, la duracin) X Revisaperidicamentelaactividadinusualdelusuario? (intentos fallidos por partede los usuarios de obtener permisos deadministrador,accederaarchivosquenodeben,orealizar X 11 otras tareas no autorizadas) 7.4. Contraseas oContraseasSNoN/A Requiere contraseas nicas y complejas de todas las cuentas de usuario en el sistema? X Es alto el nivel de complejidad de las contraseas?X Las palabras comunes Son contraseas vlidas en el sistema?X Las contraseas son permanente?X Cuentan con una fecha lmite antes de su renovacin?X Elarchivodondesealmacenanlascontraseascuentacon alguna forma de encriptacin? X Las contraseas son almacenadas en algn otro tipo de medio de almacenamiento? X Son cambiadas frecuentemente las contraseas del sistema?X 7.5. Administracin del Sistema oAdministracin del SistemaSNoN/A Navegadeformaregularatravsdesusistema?(buscando enelcontenidodelosdirectoriosdelsistema,registrosyotros archivos) X Ejecutadeformafrecuenteherramientasparacomprobarla robustezdesusistemaparaencontrarposiblesfallosde seguridad? X Esconscientedelaspersonasogruposquepuedantener intenciones de romper en su sistema? X Mantieneasususuariosinformadosdesustcnicasyloque espera de ellos para mantener la seguridad? X 12 8.Puntos dbiles y amenazas. 8.1. Seguridad fsica Sepuede apreciarunaclaradebilidadaintromisionesde tercerosensituaciones dondeelordenadorquededesatendidoyaseaporeladministradoroporlos usuarios, adems de las amenazas a las que se enfrentan por ataques externos a travsdemediosextrables,dadoquelospuertosexternosnoposeenningn mecanismo de seguridad. 8.2. Protocolos/Servicios En este apartado, los problemas en el proceso de configuracin son obviados por completo, y no son tratados de una forma debida (solicitando asistencia experta); adems de que se le resta importancia a las posibles consecuencias que puedan ocurriralinstalarunsoftwareexternoalsistemaquerequieraprivilegiosde administrador. Adicionalmente, la carencia de un control del uso de recursos del sistema, muestra unaaperturapeligrosaparaataquesexternosatravsdeprocesosquese ejecutendefondoyconsumanrecursosquepodransernecesariosparael software del establecimiento. 8.3. Seguridad de Usuarios Elapartadodelaseguridaddeusuariosnorequieredemuchaatencin,yaque este est bien controlado, adems de que por la cantidad de usuarios que tienen acceso al sistema, es donde se presentan menos factores peligrosos. 8.4. Contraseas En cuanto las contraseas, el que la complejidad de estas no sea alto, genera la probabilidad de un ataque a travs de intentos de acceso por fuerza bruta si se da la oportunidad de que algn agente externo tenga acceso al sistema. Esteproblemasevemsacentuadocuandosetomaenconsideracinla inexistenciadeunserviciodedicadoparalarevisindelacaducidaddelas contraseas y el hecho de que estas no son cambiadas con frecuencia. 8.5. Administracin del Sistema Es importante sealar nivel de seguridad en este aspecto del sistema, ya que es el que posee la mayor robustez y debera de tomarse como ejemplo para el resto de componentes, tanto de hardware como software. No se encontr ninguno. 13 9.Recomendaciones y Planes de Accin Dadas las amenazas encontradas en el punto anterior, las recomendaciones para su solucin y mitigacin sern presentadas a continuacin. 9.1. Seguridad Fsica Crearpolticasorutinasqueobliguenalsistemaaentrarenunmododeacceso limitado,solosiendoutilizablecuandosetenganlascredencialesaptasparasu utilizacin. Enelcasodenosernecesarioslospuertosexternosdelordenador,es recomendable deshabilitar su funcionamiento, creando de esta forma una infalible para ataques desde dispositivos ajenos al ordenador. 9.2. Protocolos/Servicios Formularmedidasquepermitanllevaruncontroloregistrodetodoslossucesos que ocurren en el ordenador, tanto como errores de configuracin y ejecucin de protocolosyserviciosnecesarios,comodelosrecursosquesonutilizadospor estos (espacio en disco, memoria). Serecomiendaqueestosregistrosquedenpermanentementeguardadosen sistemaparareferenciasfuturas,tantoparafuturasauditorascomopara actualizaciones que se deban realizar en el sistemay as contar con un algo que permitacompararlasituacinanteriorconlasposiblesmejorasoproblemasque se puedan genera a raz de estas actualizaciones. Concientizaralosusuariosquetienenprivilegioselevados(accesode administrador)lasposiblesconsecuenciasdelaejecucindeprogramasque pidan este tipo de credenciales para su instalacin o configuracin. Llevaruncontroldetodoslosaccesos,yaseanporprotocolos,servicioso usuarios, que requieran credenciales de administrador. 9.3. Contraseas Se sugiere un cambio en las polticas relacionadas a la complejidad de las contraseas, minimizando de esa forma la probabilidad de un acceso no autorizado por medio de ataque de fuerza bruta. En cuanto a las polticas de caducidad de las contraseas, que por consiguiente implica modificaciones en el aspecto de la renovacin de estas, se recomienda que estas tengan una validez mxima de 3 meses, evitando que cualquier ataque a la seguridad que haya ocurrido con anterioridad no se repita y no cause mayores daos. 14 10. Conclusiones Gracias a este trabajo se ha podido aplicar los conocimientos adquiridos a lo largo de la asignatura, relacionados especficamente a la auditoria de un sistema informtico. A pesar de que este trabajo est centrado nicamente en aspecto de la seguridad del sistema, es imprescindible sealar la importancia del resto de reas que la auditora de sistemas de informacin, ya que esta no solo permite encontrar anomalas y debilidades en un determinado sistema, sino que tambin permite proponer medidas que ayuden a mejorar el funcionamiento de un establecimiento o de una organizacin, aumentando as su eficacia y eficiencia. La auditora fue realizada con xito, en tiempo y forma, intentando minimizar los inconvenientes que pudieran ser causados al establecimientoDicho esto, se lograron completar con xito los objetivos anteriormente propuestos. Las anormalidades y vulnerabilidades encontradas fueron tratadas con el administrador del establecimiento, proponiendo, en este trabajo, soluciones razonables que podran ser aplicadas para lograr un mejor funcionamiento de este. 15 11. Bibliografa Impulso Tecnolgico - http://www.impulsotecnologico.com/ Artculo: Informe de Auditoria Informtica - Auditores Informticos Natalia Rosales Hidrobo Alcance de la Auditora Informtica