Auditoria Informática

[Mentalidad de seguridad. Esta forma de pensar]… No es natural para los ingenieros. La buena ingeniería incluye pensar cómo hacer funcionar las cosas; la mentalidad de seguridad en cómo hacer que fallen.

Frase concisa y cierta que Ricardo Galli extrae del ensayo de Bruce Schneier The Security Mindset.

Los programadores se basan en construir soluciones y programas valiosas pero un buen ingeniero debe hacer un plan de pruebas que contemplen todos los requisitos de seguridad cómo comenta Gallí.

En su moraleja nos recomienda que busquemos unos cuantos amigos/programadores/empleados que tengan “mentalidad de seguridad”. Aquí está auditoriasistemas.com para que lo mirrmos desde el punto de vista mas “retorcido”.

Siempre debe haber una fase de evaluación y no sólo se debe analizar la funcionalidad y la seguridad sino también temas operativos y de provisión del servicio en lo referente a capacidad, disponibilidad y continuidad.

convert this post to pdf.

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditoría Informática son:

• el control de la función informática,
• el análisis de la eficiencia de los Sistemas Informáticos,
• la verificación del cumplimiento de la Normativa en este ámbito
• y la revisión de la eficaz gestión de los recursos informáticos.

Para la correcta administración de la Seguridad de la Información, se debe controlar, analizar, verificar y revisar los siguientes requerimientos básicos: La confidencialidad, integridad y la disponibilidad de los recursos informáticos de las organizaciones.

• Confidencialidad.- Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

• Integridad.- Para la Seguridad de la Información, el concepto de Integridad busca asegurar:
  • Que no se realicen modificaciones por personas no autorizadas a los datos, información o procesos
  • Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, información o procesos
  • Que los datos o información sea consistente tanto interna como externamente.

• Disponibilidad.- Para la Seguridad de Información, la disponibilidad busca el acceso confiable y oportuno a los datos, información o recursos para el personal apropiado.

UNE-27001 y COBIT

Recientemente (Noviembre 2007) AENOR ha aprobado una normativa referente a los sistemas de gestión de la seguridad de la información 

Normativa ISO española referente a la Seguridad de los Sistemas de Información

• UNE-ISO/IEC 27001:2007
  Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)

Best-practices en el proceso de Gestión de la seguridad

• Libro de gestión de la seguridad de ITIL
• CobiT Security Baseline

Certificaciones Seguridad

• CISPP: Certified Information Systems Security Professional, IS2
• CISM: Certified Information Security Manager, ISACA
• CISA: Certified Information Security Auditor, ISACA
• SECURITY++: Computing Technology Industry Association, COMPTia
• CEH: Certified Ethical Hacker

convert this post to pdf.

La web de la Agencia de Protección de Datos va lenta. Esta es la opinión generalizada de diferentes empresas que se dedican a la realización del servicio de adecuación a la LOPD. La operación más habitual que realizan los usuarios de esa web es la consulta de los ficheros que la agencia tiene inscritos.

Precisamente hoy la web de la Agencia de Protección de Datos ha fallado. Primero la lentitud extrema y después la indisponibilidad generada por la BBDD.

Durante la indisponibilidad la web mostraba el siguiente mensaje de error:

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

De hecho, esta no es la primera vez que ocurre.

Responsabilidades de la Agencia de Protección de Datos

La función general de la agencia de proteción de datos es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Entre otras responsabilidades, una de las funciones de la Agencia en la que quiero incidir es en la de “Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.”

Seguridad y control de acceso a los ficheros de la Agencia de Protección de Datos

La BBDD de ficheros de la agencia contiene datos personales. Esto es así por el registro de personas física que registran ficheros en la Agencia proporcionado sus datos personales. Por este motivo los propios ficheros de la Agencia de Proteción de Datos deben garantizar las medidas de seguridad legales y derechos de los afectados.

No solo esto sino que por la responsabilidad de facilitar las herramientas de consulta de los ficheros inscritos debe garantizar la disponibilidad y la continuidad de su web.

Una de las “best practices” en seguridad es la de utilizar productos con contratos de soporte y con las actualizaciones de seguridad aplicadas. Por esto sorprende que en la indisponibilidad detectada hoy se observa que utilizan una BBDD Oracle de la que Oracle ya no da soporte.

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

El nombre de OCI8 se utiliza para nombrar el software cliente para una BBDD Oracle 8. Si miramos en Oracle vemos que Oracle 8 no es un producto del que se dé ya soporte y de la que se conocen diferentes vulnarabilidades.

Esto sólo mirando errores en indisponibilidades, no quiero buscar más y mejor reir que llorar. Por lo menos esparemos que no utilizen “Windows 95 Server” con “IIS 1.0″.

convert this post to pdf.