"Uso de la norma ISO/IEC 27004 para Auditoría Informática" PDF

Preview

Summary

       PROYECTO FIN DE CARRERA                  PROYECTO FIN DE CARRERA    "Uso de la norma ISO/IEC 27004 para  Auditoría Informática"  INGENIERIA TECNICA DE INFORMATICA DE GESTION      Autor: AGUSTÍN LARRONDO QUIRÓS                 NIA: 100061619    Tutor: MIGUEL ÁNGEL RAMOS    Leganés oc...

Description

       PROYECTO FIN DE CARRERA         

   

    PROYECTO FIN DE CARRERA   

"Uso de la norma ISO/IEC 27004 para  Auditoría Informática"  INGENIERIA TECNICA DE INFORMATICA DE GESTION      Autor: AGUSTÍN LARRONDO QUIRÓS                 NIA: 100061619    Tutor: MIGUEL ÁNGEL RAMOS 

  Leganés octubre de 2010.   

 

 

0 

       PROYECTO FIN DE CARRERA         

   

Título: Uso de la norma ISO/IEC 27004 para Auditoría Informática.  Autor: AGUSTÍN LARRONDO QUIRÓS                   Director: MIGUEL ÁNGEL RAMOS  EL TRIBUNAL   

Presidente:  BENJAMÍN RAMOS     

  FUENSANTA MEDINA DOMÍNGUEZ 

Vocal:  

 

 

Secretario:

EDUARDO GALÁN HERRERO 

   

Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el día 14 de Octubre de 2010 en Leganés, en la Escuela Politécnica Superior de la Universidad Carlos III de Madrid, acuerda otorgarle la CALIFICACIÓN de       VOCAL          SECRETARIO 

 

 

 

 

 

 

1 

 

PRESIDENTE 

       PROYECTO FIN DE CARRERA         

 

AGRADECIMIENTOS      

A mi profesor Miguel Ángel Ramos por ayudarme a hacer este proyecto con su  indispensable apoyo, estando siempre y ayudándome a resolver las dudas que  surgían en cualquier  momento del día. Pocos profesores he conocido así.      A  todos  mis  abuelos  Agustín,  Rafael,  Orencia  y  Visitación,  los  cuales  sepan   donde  quieran  que  estén,  que  ya  tienen  a  su  primer  ingeniero  en  la  familia  y  que deseo y espero no ser el último.      A mis padres Fernando y Rosario, darles las gracias por darme la oportunidad  de permitirme estudiar una carrera, sobre todo cuando ellos no han tenido esa  oportunidad en sus vidas, así como de ofrecerme su plena confianza en mí para  conseguirla,  por  todos  los  besos  y  abrazos  que  me  dieron,  así  como  por  aguantarme en mis buenos como en mis malos momentos durante estos años  de carrera, ya que sin ellos esto no sería posible. GRACIAS.      A mis hermanos Rafael y Fernando, también conocido el primero como RAFA y  el segundo como NANETE o NANO, ambos me enseñaron a no rendirme ante la  adversidad, por sus consejos,  por apoyarme en los malos momentos, por esas  partidas  a  la  play,  por  ese  baño  en  su  piscina,  por  ese  viaje  de  sky  el  cual  necesitaba  y  por  todos  los  abrazos  que  me  dieron  durante  años.  Gracias  por  estar a mi lado.      A  mi  amigo  David  conocido  también  como  Tejero  o  Tejerito,  por  sus  “amenazas” que recibía para seguir estudiando la carrera  cada vez que le decía  que  no  sería  capaz  de  terminarla,  por  todas  esas  partidas  a  los  dardos,  por  hacerme  reír  tanto  en  los  buenos  momentos  como  en  los  malos,  y  por  esa  energía positiva que transmite a la gente que le rodea.       A mi amiga Eva o Evita, por todas esas noches cenando o de copas por Getafe o  por Madrid, en las cuales siempre “esta chiquilla” me esperaba con un abrazo,  un  beso  y  una  sonrisa  independientemente  de  cómo  se  encontraba  ella  para  animarme  y  poder  hablar  cuando  lo  necesitaba.  Tengo  que  apreciar  siempre  esos buenos detalles. 

 

2 

       PROYECTO FIN DE CARRERA         

 

    A  mis  amigos  Rubén  y  Lorenzo  conocidos  también  como  LOS  GEMELOS,  por  esas  noches  “perdidas”  entre  risas  y  chupitos  de  tequila  por  Getafe,  en  las  cuales no sabíamos dónde íbamos a terminar pero sí con quien las estábamos  pasando. Gracias por esas noches!      A  mi  amiga  Sonia,  por  esas  noches  de  terrazas  de  verano,  sus  abrazos  y  por  enseñarme  que  los  museos  no  son  tan  aburridos  después  de  todo.  “¡Debería  estar en un museo!" Sigue estudiando chiquilla, tu puedes!      A mi amigo Rubén, por todas esas palizas que recibí en la play, por aguantarme  en mis días más críticos en los cuales me volvía insoportable, por enseñarme el  camino de la palabra y lo más importante, a estar presente cuando necesitaba  hablar. Hay que saber valorar esas pequeñas cosas.      A mi amigo Juan Carlos, por todas esas noches de fiesta “…paseando por donde  los garitos...” ya sea Madrid, Getafe, Benidorm, Salou, etc. Por esas terrazas de  verano con sus múltiples conversaciones. Sin ti a la noche le falta algo y no se  puede salir de juerga. Va a ser LEGENDARIO!!      A  mi  amigo  Diego,  por  aguantarme  en  mis  días  malos,  por  sus  conocimientos  aportados en estos años de carrera, por esos largos paseos por parquesur, por  sus  comentarios  graciosos  sobre  series  de  televisión  y  videojuegos,  hacía  las  clases más llevaderas.      A  mi  amigo  Oscar,  por  sus  conocimientos  sobre  chistes,  por  apoyarme  en  los  buenos  momentos  como  en  los  malos,  por  las  múltiples  conversaciones  en  la  cafetería  de  la  universidad  tomando  café  y  por  ese  viaje  terminando  en  un  hotel perdido de la mano de Dios sacado de una película de terror.      A mi amiga Paula, por todas esas noches de bolos, maquinas de bailar, cenas,  conversaciones,  cines  y  algún  que  otro  bingo  y/o  chupito  de  piruleta  por  ahí  perdido. Habrá que repetirlo chiquilla.   

 

3 

       PROYECTO FIN DE CARRERA         

 

  Y  a  los  amigos  que  dejamos  atrás,  por  diversos  motivos,  que  aún  así  también  pusieron su granito de arena.      En resumen, a todos ellos por enseñarme a creer en mí mismo. Y por todas esas  charlas que tuvimos a lo largo de los años en cualquier momento del día y de la  noche.      Solo puedo decir, que soy la suma de todos vuestros apoyos, gracias por todo y  os deseo lo mejor en vuestras vidas.        Para  finalizar  quiero  concluir  con  una  frase  que  siempre  me  ha  gustado  escucharla y por tanto quiero añadirla.            "¿Por qué nos caemos?

Para aprender a levantarnos."

  P.D.: Esta noche invito yo!!     

 

 

4 

       PROYECTO FIN DE CARRERA         

  INDICE    1. INTRODUCCION ................................................................................................................. 9    2. SEGURIDAD INFORMATICA .............................................................................................. 12  2.1 Introducción seguridad informática ............................................................................... 12  2.1.1 Quien tiene la información controlará el mundo ¿Por qué? ......................................... 13  2.2 Seguridad ambiental ...................................................................................................... 15  2.2.1 Terremotos ................................................................................................................. 15  2.2.2 Inundaciones .............................................................................................................. 16  2.2.3 Fuegos (incendios) ...................................................................................................... 17  2.2.4 Tormentas eléctricas ................................................................................................... 19  2.2.5 Picos de tensión .......................................................................................................... 20  2.2.6 Back Up ...................................................................................................................... 20  2.3 Seguridad lógica ............................................................................................................ 21  2.3.1 Controles de acceso al sistema .................................................................................... 22  2.3.2 Niveles de seguridad informática ................................................................................ 23  2.4 Seguridad física .............................................................................................................. 25  2.4.1 Acceso físico al sistema ............................................................................................... 25  2.5 Sistemas de seguridad ................................................................................................... 29  2.5.1 Autentificación del personal ....................................................................................... 29  2.5.1.1 Por lo que se tiene ................................................................................................... 32  2.5.1.1.1 Tarjetas magnéticas .............................................................................................. 32  2.5.1.1.2 Tarjetas electrónicas (smart card) ......................................................................... 33  2.5.1.2 Por lo que se sabe .................................................................................................... 35  2.5.1.2.1 Contraseñas .......................................................................................................... 35  2.5.1.2.1.1 Consejos a la hora de elegir contraseñas ............................................................ 36  2.5.1.2.1.2 Como proteger una contraseña .......................................................................... 37  2.5.1.2.1.3 Medidas de gestión y protección de las contraseñas .......................................... 38  2.5.1.3 Por lo que es (Biometría) .......................................................................................... 39  2.6Criptografía .................................................................................................................... 42    3. AUDITORIA INFORMATICA ............................................................................................... 44  3.1 ¿Qué es una auditoria? .................................................................................................. 44  3.2 Etapas de la auditoría general ........................................................................................ 45  3.3 ¿Cuándo realizar una Auditoría y por qué? .................................................................... 48  3.4 Auditor informático ....................................................................................................... 50  3.5 Auditoria informática..................................................................................................... 53    4.¿QUÉ ES UNA ISO/IEC? ..................................................................................................... 55  4.1 Introducción .................................................................................................................. 55  4.2 IEC ................................................................................................................................. 56  4.2.1Historia ........................................................................................................................ 56  4.2.2 Visión ......................................................................................................................... 56  4.2.3 Misión ........................................................................................................................ 57  4.2.4 Importancia del mercado ............................................................................................ 57  4.2.5 El IEC como una herramienta estratégica. ................................................................... 58 

 

5 

       PROYECTO FIN DE CARRERA         

  4.2.6 Alcance mundial ......................................................................................................... 59  4.2.7 Innovacion y valor añadido ......................................................................................... 60  4.2.8 Mejora y sostenimiento .............................................................................................. 60  4.3 ISO ................................................................................................................................. 62  4.3.1 Historia ....................................................................................................................... 62  4.3.2 ¿Quién trabaja en ISO? ............................................................................................... 63  4.3.3 Plan estratégico 2005‐2010 de la ISO .......................................................................... 63  4.3.3.1Prologo ..................................................................................................................... 63  4.3.3.2Visión global de la ISO en 2010 ................................................................................. 64  4.3.3.3Objetivos de la ISO para el 2010 ................................................................................ 64  4.4 ISO/IEC JTC1 .................................................................................................................. 67  4.5 Puntos débiles de las normas ISO/IEC ............................................................................ 70  4.5.1Repercusiones de sus puntos débiles ........................................................................... 71  4.5.2 Posibles soluciones ..................................................................................................... 71  4.6 Preparacion para la implementación de las normativas en una entidad ......................... 71  4.6.1 Cultura madura ........................................................................................................... 72  4.6.2Cultura inmadura ......................................................................................................... 73  4.7 Diferencias de gerencias(repecto a la cultura inmadura y la madura) ............................. 74  4.8 Condiciones para la implementación de una normativa llege a buen puerto .................. 75  4.9 Problemas que surgen en la implantación de la normativa ............................................ 78    5.¿QUÉ ES UNA METRICA? ................................................................................................... 80  5.1 Introducción .................................................................................................................. 80  5.1.1 Conceptos básicos de métricas .................................................................................... 81  5.2  ¿Cómo nos venden la necesidad de aplicar una métrica? .............................................. 82  5.2.1 ¿Por que aumentan los ataques a las empresas? ......................................................... 83  5.3 ¿Qué son las métricas software? .................................................................................... 84  5.4 Creación de una métrica. ............................................................................................... 86  5.4.1 ¿Como conseguimos buenas métricas? ....................................................................... 89  5.5 Clasificación de métricas ................................................................................................ 89  5.5.1 Metricas externas ....................................................................................................... 90  5.5.2 Metricas internas ........................................................................................................ 91  5.5.3 Metricas de calidad ..................................................................................................... 91  5.6 ¿Por qué?  Las métricas de seguridad. ............................................................................ 92  5.6.1 Algunas características de las métricas de seguridad ................................................... 94  5.6.2 Beneficios de las métricas en seguridad. ..................................................................... 94  5.7 MEMSI (Modelo estratégico de métricas en seguridad de la información) ...................... 94  5.7.1 Características del modelo .......................................................................................... 97  5.7.2Ejemplos de métricas para la seguridad informatica .................................................... 97    6. ISO/IEC 27004 .................................................................................................................. 99  6.1INTRODUCIÓN ................................................................................................................ 99  6.2¿El por qué de la ISO 27001? ......................................................................................... 101  6.3Las mediciones ............................................................................................................. 102  6.4Modelo de las mediciones ............................................................................................ 103  6.5Método de las mediciones ............................................................................................ 104  6.6Selección y definición de las mediciones. ...................................................................... 105  6.7Plan‐Do‐Check‐Act (PDCA) ............................................................................................ 108  6.8Cuadro de mando ......................................................................................................... 112  6.8.1¿Qué es un cuadro de mando? ................................................................................... 112 

 

6 

       PROYECTO FIN DE CARRERA         

  6.8.2¿Cómo implantar un cuadro de mando correcto en nuestra entidad? ........................ 112  6.9 Dirección ..................................................................................................................... 114  6.10Explicacion detallada de la normativa ......................................................................... 115  6.10.1. Visión General de Medición de la Información de la seguridad. .............................. 115  6.10.1.1 Objetivos de la medición de la seguridad de la información. ................................ 115  6.10.1.2 Programa de la seguridad de medición de la información ..................................... 117  6.10.1.3 Factores de éxito. ................................................................................................. 118  6.10.1.4 Modelo de medición de la seguridad de la información ........................................ 119  6.10.1.4.1 Información general .......................................................................................... 119  6.10.1.4.2  Base de medida y método de medición ............................................................ 121  6.10.1.4.3 Medida derivada y función de medición ............................................................ 124  6.10.1.4.4 Indicadores y el modelo analítico ...................................................................... 126  6.10.1.4.5 Resultados de las mediciones y criterios de decisión ......................................... 128  6.10.2 Gestión responsabilidades ...................................................................................... 130  6.10.2.1 Información general ............................................................................................. 130  6.10.2.2 Gestión de los recursos ........................................................................................ 131  6.10.2.3 Medición de formación, sensibilización y competencia ........................................ 131  6.10.3 Las medidas y la medición del desarrollo ................................................................ 131  6.10.3.1 Información general ............................................................................................. 131  6.10.3.2 Definición de alcance de medición ....................................................................... 132  6.10.3.3 Identificación de la información nec...