Auditoría De Seguridad Informática. Mf0487. E-Book

Auditoría de seguridad informática. MF0487.

Autora: Beatriz Coronado García.

© EDITORIAL TUTOR FORMACIÓN

C/ San Millán, 7, bajo 10

26004 Logroño (La Rioja)

Tlf. 610687276

Email: [email protected]

Web: https://tutorformacion.es   o  https://editorial.tutorformacion.es

Edición: noviembre 2024

ISBN: 979-13-87566-07-4

Depósito legal: LR 1529-2024

Reservados todos los derechos de publicación en cualquier idioma.

Según el código penal vigente ninguna parte de este o cualquier otro libro puede ser reproducida, grabada en alguno de los sistemas de almacenamiento existentes o transmitida por cualquier procedimiento, ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro, sin autorización previa y por escrito de D. Miguel Ángel Ladrón Jiménez; su contenido está protegido por la ley vigente que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

Foto de portada diseñada por FreePik.

Contenido

Introducción

Criterios generales comúnmente aceptados sobre auditoría informática

1.Código deontológico de la función de auditoría.

2.Relación de los distintos tipos de auditoría en el marco de los sistemas de información.

3.Criterios a seguir para la composición del equipo auditor.

4.Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento.

5.Tipos de muestreo a aplicar durante el proceso de auditoría.

6.Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools).

7.Explicación de los requerimientos que deben cumplir los hallazgos de auditoría.

8.Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades.

9.Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas.

10.Prueba de autoevaluación.

Aplicación de la normativa de protección de datos de carácter personal

1.Principios generales de protección de datos de carácter personal.

2.Normativa europea recogida en el RGPD (Reglamento General de Protección de Datos, Reglamento UE 2016/679) (sustituye a la Directiva 95/46/CE).

3.Normativa nacional recogida en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD, Ley Orgánica 3/2018) (sustituye a la LORTAD y a la LOPD, y actualiza el Reglamento de Desarrollo RD 1720/2007).

4.Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización.

5.Explicación de las medidas de seguridad para la protección de los datos de carácter personal según el RGPD y la LOPDGDD (sustituye a RD 1720/2007).

6.Guía para la realización de la auditoría de protección de datos conforme a los requisitos del RGPD y la LOPDGDD (actualización de la bienal obligatoria de la ley orgánica 15/1999).

7.Prueba de autoevaluación.

Análisis de riesgos de los sistemas de información

1.Introducción al análisis de riesgos.

2.Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura.

3.Particularidades de los distintos tipos de código malicioso.

4.Principales elementos del análisis de riesgos y sus modelos de relaciones.

5.Metodologías cualitativas y cuantitativas de análisis de riesgos.

6.Identificación de los activos involucrados en el análisis de riesgos y su valoración.

7.Identificación de las amenazas que pueden afectar a los activos identificados previamente.

8.Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo el análisis local, análisis remoto de caja blanca y de caja negra.

9.Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría.

10.Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas.

11.Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse.

12.Determinación de la probabilidad e impacto de materialización de los escenarios.

13.Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza.

14.Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no.

15.Relación de las distintas alternativas de gestión de riesgos.

16.Guía para la elaboración del plan de gestión de riesgos.

17.Exposición de la metodología NIST SP 800-30.

18.Exposición de la metodología Magerit versión 3 (sustituye a Magerit versión 2, última versión más adecuada para los requisitos actuales).

19.Prueba de autoevaluación.

Uso de herramientas para la auditoría de sistemas

1.Herramientas del sistema operativo tipo Ping, Traceroute, etc.

2.Herramientas de análisis de red, puertos y servicios, incluyendo Nmap, Netcat, y herramientas actualizadas como Masscan (actualización para añadir Masscan como una herramienta moderna).

3.Herramientas de análisis de vulnerabilidades tipo Nessus.

4.Analizadores de protocolos, incluyendo WireShark y alternativas actuales en la nube y análisis remoto (ampliación para reflejar el uso de servicios de análisis en entornos en la nube y SaaS).

5.Analizadores de páginas web como Burp Suite, OWASP ZAP y Dirb (sustituye herramientas desactualizadas como Parosproxy por Burp Suite y OWASP ZAP, más usadas en auditorías actuales).

6.Herramientas de fuerza bruta y descifrado de contraseñas como Hashcat y John the Ripper (sustitución de Brutus por Hashcat, más actual y con soporte activo).

7.Prueba de autoevaluación.

Descripción de los aspectos sobre cortafuegos en auditorías de Sistemas Informáticos

1.Principios generales de cortafuegos.

2.Componentes de un cortafuegos de red.

3.Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad

4.Arquitecturas de cortafuegos de red.

5.Otras arquitecturas de cortafuegos de red.

6.Prueba de autoevaluación.

Guías para la ejecución de las distintas fases de la auditoría de sistemas de información

1.Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada.

2.Guía para la elaboración del plan de auditoría.

3.Guía para las pruebas de auditoría,

4.Guía para la elaboración del informe de auditoría.

5.Prueba de autoevaluación.

Resumen

Prueba de evaluación final

Introducción

Este manual ofrece una visión integral sobre la auditoría de seguridad informática en los sistemas de información, cubriendo tanto principios generales como prácticas específicas para evaluar y mejorar la seguridad en entornos empresariales. Su contenido se orienta a aquellos que buscan adquirir conocimientos sólidos sobre cómo llevar a cabo auditorías efectivas en el contexto de la seguridad informática y la protección de datos.

En los primeros capítulos, se describen los criterios generales comúnmente aceptados en auditoría informática, incluyendo el código deontológico, los diferentes tipos de auditoría en sistemas de información, y las competencias necesarias para componer un equipo auditor eficaz. Asimismo, se detallan las pruebas de auditoría más utilizadas, las técnicas de muestreo aplicables y el uso de herramientas CAAT (Computer Assisted Audit Tools), esenciales para realizar un análisis profundo y preciso.

A continuación, se explora la normativa vigente en protección de datos, con especial énfasis en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), fundamentales para cumplir con los requerimientos legales y proteger los datos personales manejados en la organización. Se incluye también una guía para la auditoría de protección de datos, orientando a los auditores en la evaluación del cumplimiento normativo.

Otra sección clave aborda el análisis de riesgos de los sistemas de información, incluyendo la identificación y valoración de activos, amenazas y vulnerabilidades, así como el uso de metodologías cualitativas y cuantitativas. Se destacan metodologías ampliamente aceptadas, como el NIST SP 800-30 y Magerit versión 3, para gestionar los riesgos de seguridad en sistemas de información de manera estructurada. El análisis se complementa con una explicación sobre la creación de escenarios de riesgo, la determinación de su impacto y probabilidad, y las medidas de salvaguarda que pueden implementarse para mitigarlos.

En el siguiente apartado, se revisa el uso de herramientas de auditoría. Aquí se incluyen herramientas específicas para el análisis de red y de vulnerabilidades, así como analizadores de protocolos y herramientas avanzadas para pruebas de fuerza bruta, entre otras. Esta sección proporciona una base práctica para la selección y aplicación de herramientas que permitan realizar auditorías efectivas y detalladas.

Finalmente, se dedica un capítulo a los aspectos específicos de los cortafuegos en auditorías de sistemas informáticos, donde se abordan los principios y componentes de los cortafuegos de red, así como las arquitecturas más comunes, incluyendo cortafuegos de nueva generación (NGFW) y entornos de nube híbrida.

Con este manual, los lectores podrán adquirir una formación exhaustiva y práctica en auditoría de seguridad informática, desarrollando habilidades esenciales para proteger los sistemas de información y los datos críticos en sus organizaciones. A lo largo del documento, se incluyen secciones de autoevaluación que permitirán al lector medir su comprensión y dominio de los conceptos tratados.

A continuación, se presentará un glosario de términos clave relacionados con auditoría de gestión informática:

Acceso condicional: Método que ajusta permisos de acceso según el contexto o ubicación del usuario.Activo crítico: Recurso que, en caso de ser afectado, podría impactar significativamente a la organización.Activo: Cualquier recurso valioso para una organización, como datos, hardware o software.Actualización automática: Configuración que permite aplicar parches de seguridad automáticamente.Administrador de contraseñas: Herramienta que almacena y gestiona contraseñas de forma segura.Algoritmo de cifrado: Método matemático utilizado para cifrar y descifrar información.Algoritmo hash: Función que convierte datos en un valor de longitud fija para verificar integridad.Amenaza interna: Riesgo de seguridad proveniente de empleados o socios con acceso a la organización.Amenaza persistente avanzada (APT): Amenaza compleja y continua que busca acceso prolongado a un sistema.Amenaza: Potencial de causar daños a un sistema o activo mediante el acceso no autorizado, destrucción o alteración de datos.Análisis de caja blanca: Evaluación de seguridad en la que el auditor tiene acceso completo al sistema.Análisis de caja negra: Prueba en la que el auditor desconoce la arquitectura interna del sistema.Análisis de logs: Proceso de revisar registros de actividad para detectar anomalías o incidentes.Análisis de riesgos: Proceso de identificación, evaluación y priorización de riesgos asociados a un sistema.Antimalware: Software que identifica, previene y elimina software malicioso.Ataque de fuerza bruta: Método de prueba y error para descifrar contraseñas o claves.Auditoría continua: Proceso de auditoría en tiempo real para detectar y gestionar problemas de inmediato.Auditoría de aplicaciones: Evaluación de la seguridad y control de aplicaciones específicas.Auditoría de cumplimiento: Evaluación para verificar que se cumplen las normativas, políticas y estándares.Auditoría de red: Proceso de revisión de la seguridad y configuración de la infraestructura de red.Auditoría externa: Evaluación realizada por una entidad independiente para verificar la seguridad.Auditoría informática: Proceso sistemático de evaluación de sistemas de información para verificar su seguridad, integridad y eficiencia.Auditoría interna: Evaluación llevada a cabo por el equipo de la organización para verificar el cumplimiento.Autenticación basada en riesgo: Ajusta los requisitos de autenticación en función de la actividad del usuario y el contexto.Autenticación multifactor (MFA): Requiere múltiples verificaciones de identidad para acceder a un sistema.Autenticación sin contraseña (passwordless): Método de autenticación que no requiere contraseñas tradicionales.Backdoor: Método no autorizado que permite el acceso remoto a un sistema.Backup incremental: Copia de seguridad que solo guarda los cambios desde el último backup.CAAT (Computer Assisted Audit Tools): Herramientas informáticas que facilitan la ejecución de auditorías.Ciberinteligencia: Recolección y análisis de información para anticipar y mitigar amenazas.Cifrado de extremo a extremo: Cifrado que asegura la comunicación entre dos partes sin que terceros puedan acceder.Cifrado: Proceso de transformar información legible en un formato inaccesible sin una clave específica.COBIT: Marco de referencia para la gestión y auditoría de TI.Código deontológico: Conjunto de principios éticos que guían la función de la auditoría.Compilación de evidencias: Recolección de datos y pruebas que respalden los hallazgos de una auditoría.Compromiso de datos: Pérdida, acceso no autorizado o divulgación de información sensible.Confidencialidad: Garantía de que la información solo es accesible a personas autorizadas.Consistencia de datos: Garantía de que los datos permanecen coherentes y sin errores en todo el sistema.Contingencia: Preparación para eventos inesperados que pueden interrumpir las operaciones.Control administrativo: Políticas, procedimientos y normas destinadas a proteger la información.Control de acceso basado en atributos (ABAC): Restricción de acceso según los atributos del usuario y el contexto.Control de acceso basado en roles (RBAC): Permite el acceso a información en función del rol del usuario.Control de acceso: Restricciones establecidas para asegurar que solo personas autorizadas accedan a la información.Control de cambios: Proceso de administración y registro de modificaciones en sistemas de TI.Control de cuentas privilegiadas (PAM): Administración de cuentas con altos niveles de acceso para evitar abusos.Control físico: Medidas de seguridad físicas como cámaras y acceso restringido para proteger activos.Control técnico: Medidas de seguridad implementadas en sistemas y redes para proteger los datos.Controles de seguridad: Medidas aplicadas para proteger sistemas y datos contra amenazas y reducir riesgos.Correo electrónico seguro (S/MIME): Protocolo para firmar y cifrar correos electrónicos.Cortafuegos de aplicaciones web (WAF): Protección específica para aplicaciones web contra ataques como inyecciones SQL.Criptografía: Técnica de protección de la información mediante cifrado para evitar el acceso no autorizado.Data Loss Prevention (DLP): Estrategias y herramientas para prevenir la pérdida de datos.Depuración remota: Práctica de realizar un análisis y resolución de problemas desde un lugar remoto.Desencriptación: Proceso de convertir información cifrada en su formato original legible.Despliegue seguro: Proceso de configuración y lanzamiento de sistemas con medidas de seguridad preestablecidas.Desvío de seguridad: Comportamiento o situación que se aleja de las políticas y estándares de seguridad.Disponibilidad: Capacidad de un sistema de estar operativo y accesible cuando se necesite.Doble autenticación (2FA): Método de seguridad que requiere dos factores de verificación.Escalabilidad: Capacidad de un sistema para crecer y adaptarse al aumento de demanda sin comprometer la seguridad.Escaneo de vulnerabilidades: Proceso de identificar posibles debilidades en un sistema.Evaluación de conformidad: Proceso de verificación del cumplimiento de normas y estándares de seguridad.Evaluación de impacto de privacidad (EIP): Análisis de los efectos de una actividad en la privacidad de los datos personales.Evaluación de impacto: Proceso para determinar el posible efecto de un incidente en el negocio o los sistemas.Evaluación de madurez: Medición del nivel de desarrollo y control de los procesos de seguridad de TI.Evaluación de proveedores: Revisión de los controles de seguridad de los proveedores externos.Evento de seguridad: Cualquier actividad que podría indicar un riesgo de seguridad.Filtrado de contenido: Control que limita el acceso a ciertos tipos de contenido en una red.Firewall (cortafuegos): Dispositivo o software que filtra el tráfico de red para bloquear accesos no autorizados.Firma digital: Verificación de la autenticidad y la integridad de documentos digitales.Forense digital: Proceso de recopilación y análisis de pruebas digitales para investigar incidentes de seguridad.GDPR/RGPD: Reglamento General de Protección de Datos, normativa europea para proteger los datos personales.Gestión de certificados: Proceso para emitir, renovar y revocar certificados de seguridad digitales.Gestión de identidades (IAM): Sistema para controlar y gestionar las identidades digitales y sus accesos.Gestión de parches: Proceso de monitoreo y aplicación de actualizaciones de software y seguridad.Hallazgo de auditoría: Resultado o evidencia obtenida en una auditoría, que puede ser una observación o no conformidad.Hardening: Proceso de reforzar la seguridad de un sistema mediante la reducción de vulnerabilidades.Huella digital: Registro o rastro que deja un usuario al interactuar con un sistema.Identificación biométrica: Uso de características físicas, como huellas digitales, para verificar identidad.IDS (Intrusion Detection System): Sistema que detecta y notifica actividades sospechosas en la red o sistema.Impacto: Consecuencia que un incidente de seguridad puede tener sobre los activos y la organización.Informe de auditoría: Documento que recoge los hallazgos, observaciones y conclusiones de la auditoría.Ingeniería social: Técnica de manipulación psicológica para obtener información confidencial.Inmunidad: Capacidad de un sistema para resistir intentos de vulneración sin comprometerse.Integridad: Propiedad que asegura que la información se mantiene inalterada, precisa y completa.IPS (Intrusion Prevention System): Sistema que detecta e impide actividades maliciosas en la red o sistema.Limitación de privilegios: Restricción de permisos para reducir el riesgo de acceso no autorizado.Lista blanca: Conjunto de entidades aprobadas que pueden acceder a un sistema o red.Lista negra: Conjunto de entidades bloqueadas o prohibidas de acceder a un sistema o red.LOPDGDD: Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales en España.Magerit: Metodología española para el análisis y gestión de riesgos en tecnologías de la información.Metodología cualitativa: Técnica de análisis de riesgos que usa criterios subjetivos, como probabilidades generales.Metodología cuantitativa: Técnica de análisis de riesgos que emplea métricas y valores numéricos para evaluar riesgos.Mitigación de amenazas: Estrategias y acciones para reducir la probabilidad o el impacto de una amenaza.Modelo de referencia: Marco conceptual que define un conjunto de prácticas y procedimientos.Muestreo: Técnica de selección de una parte representativa de datos para su análisis.NIST SP 800-30: Guía de NIST para realizar análisis de riesgos en sistemas de información.No conformidad: Situación que representa un incumplimiento de las políticas, normativas o procedimientos.Normativa ISO/IEC 22301: Estándar para la gestión de continuidad del negocio.Normativa ISO/IEC 27001: Estándar internacional para la gestión de la seguridad de la información.Normativa ISO/IEC 27005: Estándar para la gestión del riesgo en sistemas de información.Normativa PCI-DSS: Estándar de seguridad de datos para proteger la información de tarjetas de pago.Normativa SOX (Sarbanes-Oxley): Regulación que obliga a las empresas a proteger sus datos financieros.Observación: Comentario o nota que describe aspectos que requieren atención, sin ser necesariamente una falla.OWASP: Proyecto que define buenas prácticas de seguridad para aplicaciones web.Parche de seguridad: Actualización de software que corrige vulnerabilidades o errores.Penetration testing: Pruebas de intrusión para evaluar la seguridad de un sistema simulando ataques.Phishing: Técnica de ingeniería social que busca engañar a usuarios para obtener datos confidenciales.Plan de contingencia: Procedimiento para mantener la operatividad durante eventos de interrupción.Plan de gestión de riesgos: Estrategia para identificar, mitigar y monitorear riesgos en una organización.Política de control de versiones: Normativa para gestionar y rastrear cambios en el software o datos.Política de copias de seguridad: Normas y frecuencia para realizar y almacenar copias de seguridad.Política de retención de datos: Normas para el almacenamiento y eliminación de datos en un sistema.Política de seguridad: Documento que define las reglas y procedimientos para proteger los sistemas y datos de una organización.Política de uso aceptable (PUA): Normas sobre cómo deben usarse los sistemas y recursos de una organización.Privacidad de los datos: Derecho y práctica de proteger la información personal de los individuos.Protección contra amenazas avanzadas (ATP): Herramientas diseñadas para detectar y mitigar amenazas avanzadas.Protección perimetral: Medidas de seguridad establecidas en el límite de una red para prevenir accesos no autorizados.Protocolo de seguridad: Reglas y procedimientos para asegurar la comunicación y el intercambio de datos.Protocolo HTTPS: Versión segura de HTTP que cifra la comunicación en la web.Pruebas de cumplimiento: Pruebas que verifican que las operaciones se realizan conforme a políticas y normativas.Pruebas de estrés: Evaluaciones para medir la capacidad de un sistema bajo una carga elevada.Pruebas de penetración en aplicaciones móviles: Evaluación de la seguridad en aplicaciones móviles.Pruebas sustantivas: Pruebas que buscan verificar la integridad de los datos y procesos en una auditoría.Ransomware: Malware que bloquea el acceso a un sistema y solicita un rescate para liberarlo.Red privada virtual en sitio (VPN site-to-site): Conexión segura entre dos redes separadas.Redundancia: Estrategia para duplicar sistemas o datos para garantizar disponibilidad en caso de fallos.Refuerzo de contraseña: Prácticas para establecer y mantener contraseñas fuertes y seguras.Registro de acceso: Listado de todos los accesos a un sistema, incluyendo usuario y hora.Registro de actividad: Archivo que recoge todas las operaciones realizadas en un sistema.Registro de auditoría: Archivo que documenta las actividades realizadas durante una auditoría.Resiliencia: Capacidad de un sistema para recuperarse y mantener la operación después de un incidente.Respuesta a incidentes: Proceso de manejo de eventos de seguridad que afectan sistemas de información.Riesgo: Probabilidad de que una amenaza explote una vulnerabilidad y cause un impacto negativo.Segmentación de datos: Técnica para dividir datos en secciones manejables para su control y seguridad.Segmentación de red: División de una red en segmentos aislados para limitar el acceso y contener incidentes.