Auditoria Informática

El 25 de abril wordpress lanzó la versión 2.5.1 para mejorar la seguridad y las funcionalidades del programa.

Se recomienda absolutamente actualizar todos los blogs que utilizen 2.5.1.

Atención: Desactivar todos los “plugins previamente” y sobretodo realizar copia de seguridad de los ficheros y de la base de datos.

convert this post to pdf.

[Mentalidad de seguridad. Esta forma de pensar]… No es natural para los ingenieros. La buena ingeniería incluye pensar cómo hacer funcionar las cosas; la mentalidad de seguridad en cómo hacer que fallen.

Frase concisa y cierta que Ricardo Galli extrae del ensayo de Bruce Schneier The Security Mindset.

Los programadores se basan en construir soluciones y programas valiosas pero un buen ingeniero debe hacer un plan de pruebas que contemplen todos los requisitos de seguridad cómo comenta Gallí.

En su moraleja nos recomienda que busquemos unos cuantos amigos/programadores/empleados que tengan “mentalidad de seguridad”. Aquí está auditoriasistemas.com para que lo mirrmos desde el punto de vista mas “retorcido”.

Siempre debe haber una fase de evaluación y no sólo se debe analizar la funcionalidad y la seguridad sino también temas operativos y de provisión del servicio en lo referente a capacidad, disponibilidad y continuidad.

convert this post to pdf.

En la reducción de riesgos de seguridad en las TI, el personal es un riesgo a tener en cuenta: “El personal TI es poco confiable”.

Una medida a evitar es que los administradores TI no abusen de su cargo para espiar a sus propios compañeros de trabajo.

Establecer una buena política de administración de usuario es basico:

• Educar a los usuarios para que establezacan claves seguras y memorizables y así evitar los “post-it’s”.
• Evitar el acceso no autorizado del usuario administrador. El acceso a datos confidenciales se debe restringir incluso a los usuarios administradores, sólo deben tener acceso las personas autorizadas.
• Gestionar las bajas de usuarios y cambios de contraseña en las bajas de empleados en todos los accesos remotos y locales.
• Cada usuario debe tener su espacio de datos personal. El usuario administrador solo debe tener acceso bajo autorización.

Obtiene más recomendaciones de seguridad adecuadas a tu empresa contratando una auditoria de seguridad.

convert this post to pdf.

Se ha descubierto un fallo de seguridad en los kernel linux de 2.6.17 a 2.6.24.1, afecta a aquellos kernels que hallan sido compilados con vmsplice. Afecta a la mayoría de las distribuciones incluyendo las últimas versiones de Debian, Fedora, Mandriva, openSUSE y Ubuntu. Se trata de un exploit local que permite alcanzar privilegios de root. El reporte de bug va acompañado del código necesario para probarlo.

Fuente: it.slashdot.org/article.pl?sid=08/02/10/2011257

convert this post to pdf.

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditoría Informática son:

• el control de la función informática,
• el análisis de la eficiencia de los Sistemas Informáticos,
• la verificación del cumplimiento de la Normativa en este ámbito
• y la revisión de la eficaz gestión de los recursos informáticos.

Para la correcta administración de la Seguridad de la Información, se debe controlar, analizar, verificar y revisar los siguientes requerimientos básicos: La confidencialidad, integridad y la disponibilidad de los recursos informáticos de las organizaciones.

• Confidencialidad.- Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

• Integridad.- Para la Seguridad de la Información, el concepto de Integridad busca asegurar:
  • Que no se realicen modificaciones por personas no autorizadas a los datos, información o procesos
  • Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, información o procesos
  • Que los datos o información sea consistente tanto interna como externamente.

• Disponibilidad.- Para la Seguridad de Información, la disponibilidad busca el acceso confiable y oportuno a los datos, información o recursos para el personal apropiado.

UNE-27001 y COBIT

Recientemente (Noviembre 2007) AENOR ha aprobado una normativa referente a los sistemas de gestión de la seguridad de la información 

Normativa ISO española referente a la Seguridad de los Sistemas de Información

• UNE-ISO/IEC 27001:2007
  Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)

Best-practices en el proceso de Gestión de la seguridad

• Libro de gestión de la seguridad de ITIL
• CobiT Security Baseline

Certificaciones Seguridad

• CISPP: Certified Information Systems Security Professional, IS2
• CISM: Certified Information Security Manager, ISACA
• CISA: Certified Information Security Auditor, ISACA
• SECURITY++: Computing Technology Industry Association, COMPTia
• CEH: Certified Ethical Hacker

convert this post to pdf.

La web de la Agencia de Protección de Datos va lenta. Esta es la opinión generalizada de diferentes empresas que se dedican a la realización del servicio de adecuación a la LOPD. La operación más habitual que realizan los usuarios de esa web es la consulta de los ficheros que la agencia tiene inscritos.

Precisamente hoy la web de la Agencia de Protección de Datos ha fallado. Primero la lentitud extrema y después la indisponibilidad generada por la BBDD.

Durante la indisponibilidad la web mostraba el siguiente mensaje de error:

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

De hecho, esta no es la primera vez que ocurre.

Responsabilidades de la Agencia de Protección de Datos

La función general de la agencia de proteción de datos es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Entre otras responsabilidades, una de las funciones de la Agencia en la que quiero incidir es en la de “Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.”

Seguridad y control de acceso a los ficheros de la Agencia de Protección de Datos

La BBDD de ficheros de la agencia contiene datos personales. Esto es así por el registro de personas física que registran ficheros en la Agencia proporcionado sus datos personales. Por este motivo los propios ficheros de la Agencia de Proteción de Datos deben garantizar las medidas de seguridad legales y derechos de los afectados.

No solo esto sino que por la responsabilidad de facilitar las herramientas de consulta de los ficheros inscritos debe garantizar la disponibilidad y la continuidad de su web.

Una de las “best practices” en seguridad es la de utilizar productos con contratos de soporte y con las actualizaciones de seguridad aplicadas. Por esto sorprende que en la indisponibilidad detectada hoy se observa que utilizan una BBDD Oracle de la que Oracle ya no da soporte.

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

El nombre de OCI8 se utiliza para nombrar el software cliente para una BBDD Oracle 8. Si miramos en Oracle vemos que Oracle 8 no es un producto del que se dé ya soporte y de la que se conocen diferentes vulnarabilidades.

Esto sólo mirando errores en indisponibilidades, no quiero buscar más y mejor reir que llorar. Por lo menos esparemos que no utilizen “Windows 95 Server” con “IIS 1.0″.

convert this post to pdf.

Introducción

A menudo, las compras IT se centran en el coste de adquisición del hardware o el software sin contemplar las implicaciones en el coste a largo plazo.

El análisis económico de las soluciones ayuda a las companias a evaluar el coste de sus proyectos y implementaciones planificadas. Analizar los datos de inversiones anteriores, particularmente en lo relativo al hardware y los costes de soporte, proporciona una visión para la inversión de hoy. De todas formas, en el coste de adquisición y de soporte, la evaluación económica se basa en la disponibilidad de las ofertas actuales no en las inversiones anteriores.

Análisis de costes

Para analizar de forma más exacta el coste de adquisición, einnova evalua el coste relacionado con las aplicaciones y sistemas a lo largo de su ciclo de vida.

• Coste inicial de adquisición: Coste invertido en la compra de licencias y de hardware de la solución.
• Coste de implementación: Coste de instalación, configuración, integración y optimización de la solución.
• Coste de soporte: Coste que incluye los gastos en suscripciones y contratos de soporte de la solución.
• Costes de administración: Coste de las tareas de administración, mantenimiento, monitorización, operación y de gestión del servicio. Además se debe incluir el coste asociado a las incidencias de disponiblidad no planificadas.
• Costes relacionados con el rendimiento: Costes atribuibles a la mejora del rendimiento de las aplicaciones: hardware, software y administración.

Solaris vs RHEL

Costes de adquisición
El coste de adquisición de una solución basada en Solaris 10 es menor que el de una solución basada en el sistema operativo Red Hat Enterprise Linux (RHEL).
La razón es que en Solaris en general no hay necesidad de comprar software adicional.

Costes de implementación
Las herramientas de instalación de solaris cómo JumpStart, dan una ventaja comparativa com RHEL.
Esta ventaja es particularmente notable en redes de más de 10 servidores.
En redes con menos de 10 servidores y sin servidores de instalación no hay diferencias substanciales.

Costes de soporte
Solaris ofrece una solución de soporte global incluyendo hardware y software. En RHEL es necesario adquirir por separado el soporte hardware y software.
Dependiendo del proveedor una plataforma SUM puede llegar a ser un tercio del coste de mantener una plataforma Red Hat.

Costes de administración y operación
A continuación se muestra el análisis realizado en el tiempo dedicado en la administración en Solaris y en Red Hat:

• Un 50% de ahorro de tiempo en el diagnósitco del rendimiento: DTrace.
• Un 75% de ahorro de tiempo en la gestión y previsión de errores.
• Un 20% de ahorro de tiempo en la gestión y diagnósitco de servicios: SMF
• Comparable dedicación de tiempo en la aplicción de parches.

El principal problema con RHEL es la cantidad de dependencias de software. Por ejemplo para una versión particular de software instalado depende una versión particular de kernel. Este problema resulta en que las operaciones de actualización son más complicadas en Linux.

Por último comentar que en los análisis de los costes de administración se deben tener en cuenta los datos sobre la experiencia del personal dedicado a la administración para poder evaluar el caso específico.

Jordi Rosell
Consultor Sénior Einnova
Certificado en Solaris
Certificado en ITIL Foundations

Servicios relacionados

• Asesoría en gestión y planificación servicios IT
• Evaluar Opciones de Mercado.
• Optimización de recursos IT.
• Análisis de requerimientos para determinar las oportunidades de mejora y las acciones necesarias.§

§

§

§

§

convert this post to pdf.

ITIL, recoge las mejores prácticas en la gestión de los Sistemas de Información. Desde entonces se ha ido extendiendo su uso en toda todo tipo de organizaciones, tanto del sector público como del privado. La versión 2 de ITIL ha llegado a ser considerada un estándar de facto para la gestión de servicios TI.

En el año 2005 ITSMf formó un grupo de trabajo cuyo objetivo era la actualización de los contenidos de ITIL y tratar los errores y las deficiencias de la V2. Finalmente, el 1 de junio de 2007, se ha publicado la esperada nueva versión de ITIL, ITIL v3.

Objetivos

• Establece la integración de la estrategia del negocio con la estrategia del servicio TI.
• Habilita un diseño ágil de servicios con un modelo ROI.
• Proporciona modelos de transición que encajan en el propósito de una variedad de innovaciones.
• Desmitifica la gestión de proveedores de servicio y los modelos de explotación.
• Mejora la facilidad de definir y de manejar servicios con cambios en las necesidades del negocio: riesgos dinámicos y altos del negocio.
• Mejora la demostración de la medición de Valor.
• Identifica los eventos para la mejora y el cambio en cualquier punto del ciclo de vida del servicio.

Cambios principales

• Se ha pasado de una estructura basada en procesos, una estructura basada en el ciclo de vida de los servicios.
• Mientras en V2 se explicaba la Alineación del Negocio con las TI, en V3 se potencia la Integración TI en el Negocio.
• Mientras en V2 se explicaba la Getión de la Cadena de Valor, en V3 se potencia la Integración de la Red de Valor.
• Mientras en V2 se explicaban los Catalogos de Servicios Liniales, en V3 se potencian los Portfolios de Servicios Dinámicos.
• Mientras en V2 se explicaba la Colección integrada de procesos, en V3 se potencia el Ciclo de Vida de la Gestión de Servicios Holísticos.

Libros de ITIL v3

• The Official Introduction to ITIL Service Management
• Service Strategy
• Service Design
• Service Transition
• Service Operation
• Continual Service Improvement

Conclusiones

• Las empresas que hayan definido ITIL V2 para la gestión de sus servicios TI se benefician de la gestión orientada a la mejora continua de los procesos TI y su aliniación en su negocio.
• Las empresas que queran definir ITIL V3 para la gestión de sus servicios TI se benificiaran de una mejor integración de la tecnología en su negocio.

Referencia: The Itil Open Guide.

convert this post to pdf.

¿Qué es ITIL?

ITIL nació de una relación de las mejores prácticas observadas en el sector de servicios TI.

Esta colección de libros proporciona una descripción detallada de una serie de buenas prácticas en la gestión de servicios.

ITIL fue producido originalmente a finales de 1980 cubriendo las dos principales áreas de Soporte del Servicio y Prestación del Servicio. Estos libros centrales fueron más tarde soportados por 30 libros complementarios que cubrían una numerosa variedad de temas, desde el cableado hasta la gestión de la continuidad del negocio. A partir del año 2000, se acometió una revisión de la biblioteca. En esta revisión, ITIL ha sido reestructurado para hacer más simple el acceder a la información necesaria para administrar sus servicios. Los libros centrales se han agrupado en dos, cubriendo las áreas de Soporte del Servicio y Prestación del Servicio, en aras de eliminar la duplicidad y mejorar la navegación. El material ha sido también actualizado y revisado para un enfoque conciso y claro.

Las buenas prácticas

La Agencia Central de Telecomunicaciones y Computación, hoy el ministerio de comercio Británico (CCTA/OGC), han definido las buenas prácticas cómo procesos que cubren actividades más importantes de las organizaciones de servicios TI.

El amplio alcance en los temas cubeirtos por las publicaciones de OGC convierten ITIL en un elemento de referencia para las buenas prácticas y en un marco útil para fijar los objetivos de mejora en la gestión de sistemas TI y en Auditorias de Sistemas.

Los procesos en ITIL se explican mediante la descripción de una serie de actividades relacionadas lógicamente que tienen cómo meta definir un objetivo. Estos procesos se describen utilizando procedimientos e instrucciones de trabajo.

Mediante un procedimiento se describen actividades relacionadas lógicamente, y identifican la persona que se encarga de realizarlas. Los procedimiento suelen incluir etapas de distintos procesos. El objetivo de los procedimientos es el de definir quién hace qué cosa, y los marca cada organización.

La delimitación de cómo se deben llevar a cabo una o más actividades se realizan mediante las instrucciones de trabajo que se incluyen los procedimientos.

Organicaciones de servicios TI

Con el implulso de las tecnologías de la información los departamentos de las empresas trabajan cada día mas con sistemas informáticos.

Las areas de negocio dependen cada más de los servicios TI y tienen una importancia vital en la misión y los objetivos de las organizaciones. En ello reside la mejora de los procesos de negocio, cómo por ejemplo:

• Gestión de recursos humanos.
• Gestión de la relación con los clientes.
• Gestión de la cadena de procucción.
• Gestión del conocimiento.
• Gestion financiera.

Es importante asegurar que la gestión de los sistemas TI soporte los intereses del negocio y los objetivos derivados de los objetivos de negocio:

• Misión o por qué vale la pena coperar con una organización.
• Objetivos o que es lo que desea conseguir.
• Políticas o qué decisiones o medidas se han tomado para definir y conseguir los objetivos.
• Planificacion o en que forma se implementan las políticas en forma de actividades.
• Acciones o que tareas se asignan al personal o a organizaciones externas.
• Cuadro de mando integral o el control y medición del cumplimiento de objetivos y de rendimiento.

Cuando adquirimos un producto evaluamos su calidad y su relación precio/calidad, pero esto es más difícil cuando se habla de servicios TI. El nivel de calidad de los servicios se mide una vez se está prestando el servicio, por lo que la evaluación del mismo debe ser una vez prestado este.

Para evaluar el servicio que nos ofrece nuestro departamento TI y que nos ofrecen nuestros proveedores de servicios TI, es habitual preguntarse las siguientes preguntas:

• ¿El servicio que me ofrecen, cumple sus expectativas?
• ¿Puedo esperar el mismo servicio?
• ¿Es razonable el coste del servicio?

Estas preguntas se resuelven con Auditorias Informáticas que con las herramientas necesarias informan sobre el estado de calidad y de madurez de una organización con el objetivo de obtener suficiente información para establecer un plan de mejora en la gestión de los sistemas informáticos.

La calidad

La calidad en los servicios TI es el conjunto de características que influyen en la satisfacción de las necesidades explícitas e implicitas.

La calidad del servicio depende en mayor medida en la manera que se organizan las actividades. El modelo más aceptado sigue los sigue los sigientes pasos:

1. Planificar: Plan
2. Hacer: Do
3. Verificar: Check
4. Actuar: Act

Mediante la recurrencia de estas acticidades se asegura y mejora la calidad (Círculo de Calidad de Deming).

La madudez

Estructurar y definir las prácticas no es suficiente, la madurez de una organización nos dice el nivel de optimización y mejora contínua en la calidad de su gestión.

Existen cinco (5) niveles de madurez:

1. Orientada a producto en el que la producción se realiza sin esfuerzos dirigidos (proceso ad hoc).
2. Orientada a proceso en el que el desempeño está planificado y es repetible (procesos repetibles).
3. Orientado al sistema en el que existe la coperación entredepartamentos (procesos estandarizados y definidos).
4. Orientada a la cadena en la que se pone enfasis en el valor a los procesos de negocio (mejora de procesos )
5. Orientada a la calidad total en el que la mejora continua y equilibrada es instintiva (optimización y rediseño de los procesos)

Estructura de los procesos en ITIL

A continuación la estructura en la definición de los procesos en ITIL:

• Introducción del proceso
  • Alcance y conceptos
  • Objetivos y beneficios
• Definición del proceso
  • Relación con otros procesos
  • Actividades
  • Control del proceso
  • Funciones y roles
  • Costes y problemas

Los procesos de ITIL v2

Daremos el resumen de los procesos de ITIL v2 y daremos ejemplos de casos práticos de su aplicación ellos en futuros artículos de auditoriasistemas.com

Mejora de la calidad de los sistemas

Para conocer la calidad y el estado de madurez de los procesos de negocio de tu organización, contacta con einnova para contratar una auditoria de sistemas.

convert this post to pdf.