RIESGOS INFORMATICOS

DOMINIOS COBIT

CUBO COBIT

 Dado que la nueva versión de COBIT 5 oficial publicada por ISACA el 10/Abril, posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, junto con un resumen a criterio personal de las diferencias principales entre COBIT 5  y la versión de COBIT 4.1, principalmente orientado a la comunidad de habla hispana (desde ya cualquier corrección es bienvenida).

https://francoitgrc.files.wordpress.com/2011/12/cobit-5-mapa-mental-por-francoit_grc.jpg

La nueva versión de COBIT incluye los siguientes cambios principales respecto a la versión anterior 4.1:

Procesos y Dominios:   

A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:

• Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4.
• La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”).
• Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:
• PO10 – Administrar los proyectos, pasó al Dominio BAI.
• AI5 – Procurar recursos de IT, pasó al Dominio APO.
• DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO.
• DS2 – Administrar los servicios de Terceros, pasó al Dominio APO.
• DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI.
• DS6 – Identificar y asignar costos, pasó al Dominio APO.
• DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO.
• En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.
• El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad
• Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose:
• EDM1 – Definir el Framework para el Governance
• APO1 – Definir el Framework para el Management
• APO4 – Gestionar Innovación
• APO13 – Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los Servicios de Seguridad)
• BAI8 – Gestión del Conocimiento

http://www.isaca.org/Groups/Professional-English/cobit-5-use-it-effectively/Pages/ViewDiscussion.aspx?PostID=18

HISTORIA DE COBIT

  ¿QUÉ ES EL COBIT?

El COBIT, es una herramienta de gobierno de las Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho el trabajo de los profesionales de TI. La ISACF, organización creadora de esta norma COBIT (Information Systems Audit and Control Foundation) así como sus patrocinadores, han diseñado este producto principalmente como una fuente de instrucción para los profesionales dedicados a las actividades de control. La defnición que nos ofrece el sumario ejecutivo del COBIT (Control OBjetives for Information and related Tecnology , Gobierno, Control y Revisión de la Información y Tecnologías Relacionadas) es la siguiente:

La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar las brechas existentes entre los riesgos de negocio, necesidades de control y aspectos técnicos. Además, proporciona "prácticas sanas" a través de un Marco Referencial (Framework) de dominios y procesos, y presenta actividades en una estructura manejable y lógica. Las “prácticas sanas” del COBIT representan el consenso de los expertos (ayudarán a los profesionales a optimizar la inversión en información, pero aún más importante, representan aquello sobre lo que serán juzgados si las cosas salen mal).

HISTORIA DE COBIT

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el mundo.

La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición.

La tercera edición en 2000 (la edición on-line estuvo disponible en 2003).

La cuarta edición en Diciembre de 2005.

La versión 4.1 está disponible desde Mayo de 2007.

La versión COBIT 5 Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas. (ISACA, 2013)

 

¿QUE ES ISACA?

JOHN MARIO RUBIANO RAMÍREZ

YONAIRO CALLEVELAZCO

¿QUÉ ES ISACA?

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones, se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo.

En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Conocida previamente como la Information Systems Audit and Control Association (Asociación de Auditoría y Control en Sistemas de Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de profesionales en gobierno de TI a los que sirve.

Hoy, los integrantes de ISACA (más de 115,000 en todo el mundo) se caracterizan por su diversidad. Los integrantes viven y trabajan en más de 180 países y cubren una variedad de puestos profesionales relacionados con TI – sólo por nombrar algunos ejemplos, auditor de SI, consultor, profesional de la educación, profesional de seguridad de SI, regulador, director ejecutivo de información (CIO) y auditor interno. Algunos son nuevos en el campo, otros están en niveles medios de la gerencia y algunos otros están en los rangos más elevados.

Trabajan en casi todas las categorías de industrias, incluyendo finanzas y banca, contabilidad pública, gobierno y sector público, servicios y manufactura. Esta diversidad permite que los miembros aprendan unos de otros, e intercambien puntos de vista muy diferentes sobre una variedad de tópicos profesionales. Esta ha sido considerada durante mucho tiempo como una de las fortalezas de ISACA.

IPCOP

¿Que es IPCop?

IPCop es un proyecto GNU/GPL. Se trata de un firewall basado en Linux que nos brinda una interesante gama de posibilidades a la hora de conectar una red local a Internet. La última versión

al momento de escribir estas líneas es la 1.4.18. Su interfase de usuario es totalmente web (aunque permite también acceso por SSH) y esta disponible en 32 idiomas.

Requiere de un hardware dedicado y permite gestionar el acceso a Internet, la seguridad y la interacción de hasta cuatro redes distintas que, en la jerga del IPCop, se denominan GREEN, BLUE, ORANGE y RED. Las mismas tienen las siguientes características:

GREEN: Esta es la interfase de red de nuestra LAN o red de área local. Aquí es donde conectaremos todos nuestros equipos que necesiten mayor protección, como servidores que no tengan que tener presencia en Internet y puestos de trabajo. Los dispositivos que se encuentren conectados a esta interfase tendrán acceso irrestricto a las interfases RED, BLUE y ORANGE, o sea que podrán salir a Internet (y conectarse a los equipos que se encuentren en cualquiera de estas otras tres redes) por cualquier puerto, pero a su vez los equipos de

la interfase RED (equipos en Internet) no pueden iniciar conexiones a ningún equipo que se encuentre en las interfases GREEN, BLUE y ORANGE. En otras palabras, estarán protegidos del exterior, en el sentido que no son accesibles desde Internet.

BLUE: Es la interfase que se asigna normalmente para conectar un access point de modo que se puedan conectar dispositivos inalámbricos. De todas maneras sirve para conectar cualquier otra red que se necesite sea esta inalámbrica o no. Los dispositivos que se encuentren en esta red, no podrán iniciar una conexión a los dispositivos que se encuentren en la interfase GREEN, pero salvo esta excepción, contarán con el mismo nivel de acceso y protección que cuentan los dispositivos conectados a la interfase GREEN. No es necesario activar esta interfase en una instalación de IPCop si no se cuenta con más de una red, o no se va a utilizar un router inalámbrico(*).

ORANGE: Esta es la interfase que se utilizará para montar una DMZ o zona desmilitarizada. Principalmente se utiliza para montar servidores web, de correo, de ftp, etc. que deban tener presencia en Internet; o sea que sean accesibles desde Internet, pero que en el caso que se produzca alguna intrusión a algún equipo de esta red, eso no comprometa la seguridad de nuestra red interna (GREEN). Los equipos que formen parte de la red ORANGE no podrán

iniciar conexiones a ninguno de los dispositivos que se encuentren en las interfases GREEN y BLUE. No es necesario activar esta interfase en una instalación de IPCop si no se piensa utilizar una DMZ.

RED: Es la interfase de red que nos conectará directamente a nuestro proveedor de Internet. Puede ser una conexión ADSL, cablemodem, una línea dedicada o hasta inclusive un modem telefónico común. Obviamente que por razones de ancho de banda esta última opción es desaconsejable, pero es perfectamente factible tenerla configurada para una contingencia en la cual nuestro proveedor de Internet tenga inconvenientes para brindarnos nuestro vínculo habitual, pero si este operativo el acceso dialup. Cualquier instalación de IPCop contará con esta interfase habilitada. (Soporta tanto dispositivos ethernet como USB) Como aclaración cabe destacar que los equipos que están en la misma red, ya sea esta GREEN, BLUE u ORANGE, tienen la posibilidad de iniciar conexiones entre ellos.

(*) En el caso de contar con un router wifi, si bien es conveniente, no es obligatorio que este conectado a la interfase blue, ya que se podrá conectar sin problemas a la interfase GREEN.

Las características antes mencionadas de cada interfase son las políticas de seguridad que IPCop implementa por defecto, pero existe la posibilidad de realizar modificaciones a estas políticas para adaptarlas a las necesidades que tengamos mediante las opciones de Port Forwarding y DMZ Pinholes.

Estas cuatro posibles redes no son más que cuatro placas de red en la misma PC. No es necesario utilizar las cuatro, sino que se puede configurar de diferentes maneras dependiendo de las necesidades que tengamos.

En la interfase RED estará conectado nuestro router o modem de acceso a Internet (ADSL, cablemodem, etc.), y en las otras tres interfases puede montarse un switch si hace falta conectar más de un equipo en alguna de ellas.

Funcionalidades

IPCop brinda una amplia gama de funcionalidades que van más allá de las que ofrecen algunos firewalls comerciales. Sin pretender explicar cada una de ellas y solo a modo de numeración, tenemos:

•       Acceso seguro por SSL a la interfase d »» e administración web
•       DHCP cliente / servidor
•       DNS dinámico
•       Lista de hosts seteable desde la interfase web
•       HTTP / FTP proxy (squid)
•       IDS (snort) en todas las interfases
•       Log local o remoto
•       NTP cliente / servidor
•       servidor SSH (PSK o con password)
•       Traffic shaping (en la interfase RED)
•       “Statefull” Firewall
•       Módulos “nat helper” para h323, irc, mms, pptp, proto-gre, quake3
•       Port forwarding (redireccionamiento de puertos)
•       DMZ pin holes
•       Activar o desactivar ping en todas las interfases
•       VPN (IPSEC)
•       Gráficos de monitoreo de CPU, RAM, swap, HD, tráfico de RED, etc.

Hardware Soportado

Las características generales en cuanto al hardware soportado son las siguientes:

•     Arquitecturas: i386 y Alpha (PPC y Sparc están planeadas para versiones futuras)
•       Memoria: de 12MB a 4GBDiscos: IDE, SCSI y SATA, soporta configuraciones con RAID.
•       También soporta dispositivos flash.
•       Placas de red: ISA/PCI (las soportadas por el kernel de Linux 2.4)
•       CPU: Disponibilidad de kernel SMP para CPUs multicore
•       Dándole nuevas funciones a IPCop: Los Addons

Dándole nuevas funciones a IPCop: Los Addons

Existen varios desarrolladores (sin vinculación con el equipo de desarrollo de IPCop) que han desarrollado paquetes con funcionalidad adicional, que se denominan addons, Estos permiten una amplia gama de funcionalidades no incluidas originalmente en el producto. De la gran variedad de addons disponibles vamos a ver a modo de ejemplo las siguientes:

Copfilter:

Se trata de un excelente addon que en términos generales podemos decir que permite integrar a IPCop funciones de antivirus y antispam. Para ello se vale de paquetes de software antivirus como ClamAV (se le puede agregar también F-Prot y AVG), y SpamAssasin para el caso del antispam. Integra también numeros.

 

Zerina:

Si bien IPCop nos permite trabajar con una VPN por medio de IPSEC, este excelente addon nos da la posibilidad de agregar además OpenVPN. De esta manera es posible tener un excelente y robusto entorno de trabajo remoto accediendo por cualquiera de estas dos alternativas de VPNs, que permiten que trabajemos en cualquiera de los equipos internos de nuestra red tal como si estuviéramos dentro de nuestra red GREEN, pero trabajando tanto desde la red BLUE como la RED.

 

Adán Server:

Finalmente este addon es en realidad un servidor de addons que permite instalar en forma simple y desde la interfase de administración web una variada lista de addons de diverso tipo para controlar el acceso desde la red GREEN hacia las oras tres, control horario de acceso a Internet, control de tráfico de cada red, mayor nivel de filtrado del tráfico, y un largo etcétera.

 

Actualizaciones:

Otro punto importante es la facilidad de actualización que nos brinda, por la cual el propio IPCop nos avisará en la pantalla principal de su interfase web, si hay actualizaciones disponibles,las cuales bastará con descargar a una PC y luego hacer el correspondiente upload de

la misma para que se instale.

 

Cabe destacar que debido a que los addons no están oficialmente soportados, no es inusual que una actualización haga desaparecer algún Addon o algún punto de menú del mismo, por lo que debemos prestar especial atención a las actualizaciones si es que hemos instalado algún addon a nuestro IPCop.

Instalación.

Respecto al hardware necesario para su instalación, se podría decir que corre en casi cualquier equipo que hoy tengamos disponible, ya que un Pentium con 32MB de RAM y unos cuantos cientos de MB en disco son más que suficientes para correr IPCop sin problemas.(En realidad también puede correr con un hardware inferior).

De todas formas si queremos instalar algún addon, sería mejor que utilicemos hardware más moderno, cuanto más potente mejor sobre todo para que pueda correr sin problemas un addon como Copfilter que consume bastantes recursos de memoria y CPU. No vamos a ver en detalle el proceso de instalación ya que esta claramente explicada en las instrucciones que se brindan en la documentación de IPCop, pero a modo de introducción el proceso es básicamente el siguiente:

Luego de bootear con el CD de instalación, deberemos seleccionar un lenguaje, elegir el medio de instalación que utilizaremos (por.ej. CD) y seleccionar los drivers de las placas de red que obviamente ya deberemos tener instaladas en el equipo antes de comenzar.

Para esto tenemos la opción de “probe” que intentará seleccionar el driver adecuado para nuestras placas de red. Luego deberemos ingresar los datos de nuestra red GREEN (dirección IP y máscara de red).

Después de esto, IPCop dará formato al disco rígido y se instalará. Finalizado este paso, nos pedirá que reiniciemos el equipo para luego proceder a hacer el setup inicial, donde deberemos seleccionar tipo de teclado, zona horaria, el nombre de host y el del dominio.

Luego deberemos elegir la configuración de la red, esto implica elegir (en base a las placas de red que ya tengamos instaladas) la combinación de GREEN, BLUE, ORANGE y RED que necesitemos.

Configuraremos entonces las redes faltantes (recordemos que ya hemos configurado la GREEN) comenzando por la RED, donde seleccionaremos el tipo de conexión a Internet que tenemos.(estático, DHCP, PPPoE o PPTP) y algunos detalles más que dependen del mismo.

Ahora nos solicitará el password inicial para el usuario admin., que es el usuario que utilizaremos para administrar el IPCop por medio de la interfase web, y también la clave del usuario root que usaremos si nos conectamos por ssh.

Luego deberemos reiniciar nuevamente y ya estaremos en condiciones de acceder desde un navegador web desde cualquier PC de la red GREEN. Solo tenemos que colocar la dirección IP que le hayamos asignado (la IP que le asignamos a la red GREEN) en la barra de direcciones del navegador, y a partir de ahí solo tendremos que configurar nuestra conexión a Internet y voila!, ya estará listo para funcionar.

Cuando intentemos esto último, primero solicitará que nos identifiquemos, por lo que deberemos acceder con el usuario admin y su correspondiente clave a la opción Dialup del menú Network. SMP para CPUs multicore

Link de procedimiento de instalacion y configuración: 

Instalación y configuración

Administración y configuración

FIREWALL

Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.

En la siguiente ilustración se muestra el funcionamiento de un firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría una pared de ladrillos.

Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall como un programa antivirus y antimalware.

ANTECEDENTES:

Primera generación – cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet.

El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos...); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar.

Segundageneración–cortafuegosdeestado

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo.

Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.

Tercera generación - cortafuegos de aplicación

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. 

OBJETIVO DE UN FIREWALL

• El objetivo principal de un firewall, es proteger una red privada de una red externa, ejemplo (internet - red publica)