ECP0487_3: Auditar redes de comunicación y sistemas informáticos

ECP0487_3: Auditar redes de comunicación y sistemas informáticos
Familia profesional: Informática y Comunicaciones
Nivel: 3

ECP0487_3

EC1 Comprobar la seguridad de los sistemas informáticos, revisando el bastionado de las instalaciones, equipos y «software», para verificar la integridad, confidencialidad, disponibilidad, trazabilidad y no repudio de la información gestionada, según indicacio nes del plan de seguridad de la organización auditada.

• IC1.1 El inventariado de activos se revisa, verificando los equipos existentes y sus características, comprobando las versiones de los programas que se ejecutan, para confirmar que está actualizado y no hay equipos ni programas que no aparezcan en el mismo.
• IC1.2 La instalación y configuración de los sistemas operativos se revisa, confirmando que el «software» instalado es legítimo, está actualizado y tanto los usuarios como las aplicaciones cuentan con los permisos de «mínimo privilegio» para desempeñar sus funcio nes en el sistema.
• IC1.3 La instalación y configuración de «software» de seguridad contra programas maliciosos tales como antivirus/»antimalware», EPP («Endpoint Protection Platform») y EDR («Endpoint Detection and Response»), entre otros, se comprueba, verificando que dicho «soft ware» es legítimo, está actualizado y tiene activas las funciones que indique el responsable de seguridad.
• IC1.4 Las aplicaciones empleadas en la organización se revisan, comprobando licencias y versiones para confirmar que son legítimas, están actualizadas y que únicamente pueden ser accedidas por el personal autorizado, y que ese acceso tenga las limitaciones que indique el responsable Informe: Incual -Intranet de seguridad, basadas en el principio de «mínimo privilegio» y «mínimo conocimiento» o «necesidad de saber» («need -to-know»).
• IC1.5 Las cuentas de usuario de la organización se comprueban que son individuales, cuentan con una política de contraseñas robusta y han sido elaboradas bajo el principio de «mínimo privilegio» y segregación de funciones, modificando aquellas que no cumplen los criterios y eliminando las cuentas obsoletas o que no pertenecen a personas autorizadas.
• IC1.6 Las instalaciones se comprueban de manera presencial para asegurarse de que los equipos y la información están protegidos contra accesos físicos no autorizados, usando elementos al efecto de manera separada o combinada tales como mecanismos de apertura por usuario y contraseña, llave física, detectores biométricos entre otros, aplicando un sistema de aviso previo y bloqueando sesiones por inactividad y usando políticas de «mesas limpias».
• IC1.7 Las instalaciones se comprueban, verificando las condiciones ambientales de temperatura y humedad requeridas por el fabricante para su funcionamiento y la protección frente a desastres naturales que pueden afectar físicamente en el emplazamiento y previnie ndo posibles alteraciones del entorno tales como picos de electricidad o ruido eléctrico, entre otros.
• IC1.8 Las pruebas realizadas durante la auditoría se documentan, incluyendo referencias a los activos del sistema, los parches y actualizaciones instalados en los sistemas operativos y aplicaciones, las configuraciones implementadas, y las vulnerabilidades y no conformidades detectadas junto con su criticidad, así como, las contramedidas aplicadas para dichas vulnerabilidades.

EC2 Comprobar la seguridad de la red de la organización auditada, verificando los elementos relativos indicados en el plan de seguridad, para prevenir posibles intrusiones, ataques y fugas de información.

• IC2.1 El diseño de arquitectura de la red se revisa, mediante auditoría de caja blanca, comprobando que la red está configurada de forma que se minimice el impacto de posibles ataques del exterior: utilizando VLAN («Virtual Local Área Networks»), cortafuegos, sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS), «routers» y otros dispositivo de red e instalado todos los recursos de la empresa que deben ser accesibles desde Internet tales como páginas web y correo electróni co, en una zona aislada o desmilitarizada (DMZ).
• IC2.2 Los dispositivos que controlan y gestionan el tráfico de la red tales como «router», «switch», «hub», cortafuegos, IDS, IPS, SIEM («Security Information and Event Management»), entre otros, se revisan, usando técnicas de caja blanca: de manera física y com probando su configuración para verificar que únicamente aceptan el tráfico permitido y están actualizados. Informe: Incual -Intranet
• IC2.3 Los mensajes de error generados por los dispositivos de red, «routers», «switch», «hub» cortafuegos, IDS, IPS, SIEM y cualquier otro, se revisan en forma de auditoría de caja blanca para asegurar que, de forma interna, registran cualquier anomalía para fac ilitar la gestión de incidentes y, de forma externa en modo auditoría de caja negra, para confirmar que no aportan información que permita a un posible atacante remoto obtener información de los puertos abiertos en el sistema.
• IC2.4 Los elementos de la red se comprueban que únicamente son accedidos de forma remota por personal y bajo las condiciones de tiempo y lugar de origen, previamente autorizados en la política de seguridad y sólo a través de las VPN (Redes privadas Virtuales).
• IC2.5 El uso de programas o herramientas en la nube se revisa, verificando que se lleva a cabo de la forma acordada con el proveedor del servicio y permitida dentro de la política de seguridad de la organización.
• IC2.6 Las redes Wifi se comprueban, verificando que utilizan protocolos seguros de cifrado y que únicamente acceden a ellas las personas autorizadas en la política de seguridad.
• IC2.7 La conexión a Internet por parte de los usuarios de la organización se comprueba, verificando que únicamente pueden acceder a los servicios y contenidos previamente autorizados en la política de seguridad.
• IC2.8 Los sistemas anti DDoS (Denegación de servicio) de la organización se verifica que están habilitados y funcionales, comprobando si se han configurado sistemas al efecto tales como reglas de cortafuegos, sistemas de monitorización y/o servicios externos de protección, entre otros.
• IC2.9 Las pruebas realizadas durante la auditoría se documentan, incluyendo referencias a los activos inspeccionados, las configuraciones implementadas, y las vulnerabilidades y no conformidades detectadas junto con su criticidad, así como, las contramedidas apl icadas para dichas vulnerabilidades.

EC3 Comprobar la seguridad del sitio web, realizando pruebas de simulación de ataques para detectar posibles fallos de seguridad.

• IC3.1 La instalación y configuración de los sistemas de gestión de contenidos (CMS) y servidores web se verifica, comprobando que están instaladas las últimas versiones estables y que únicamente tienen instalados los módulos imprescindibles para su funcionamient o, revisando la documentación asociada.
• IC3.2 Las cuentas de usuario del sitio web se comprueban, verificando que son generadas bajo el principio de «mínimo privilegio» y cuentan con una política de acceso segura.
• IC3.3 La información generada de forma pública por el servidor web y/o el sistema de gestión de contenidos (CMS) se verifica, comprobando que no muestre ninguna información que Informe: Incual -Intranet permita obtener fácilmente información relacionada con la configuración del sistema tal como tipo de programa empleado, versión, entre otros.
• IC3.4 La gestión de sesiones en el sistema se comprueba, verificando que tanto las «cookies» como los «tokens» de sesión se generan de forma segura y no predecible, tal como evitando la numeración secuencial para la identificación de usuarios, para impedir que un atacante externo pueda aprovecharse de ellas para acceder al sistema de forma no autorizada.
• IC3.5 Los formularios y puntos de acceso de información por parte del usuario se comprueban, verificando que cuentan con mecanismos que impidan la entrada de caracteres que provoquen un comportamiento no deseado del sistema como la introducción de código (por inyección de SQL o XSS – «Cross-site scripting» -, entre otros) o la generación de errores en el sistema tales como desbordamiento de «buffer» por introducción de cadenas largas.
• IC3.6 La gestión de errores y excepciones del sistema se comprueba, verificando que éstos son registrados y la información mostrada en el lado del cliente no revela información que pueda permitir a los usuarios una posterior explotación del fallo.
• IC3.7 La información entre el cliente y el servidor se comprueba que se envía de forma segura, verificando que se realiza a través de protocolos tales como HTTPS y TLS, que la información enviada se cifra, siguiendo estándares actualizados.
• IC3.8 Las pruebas realizadas durante la auditoría se documentan, incluyendo referencias a los activos inspeccionados, las configuraciones implementadas, y las vulnerabilidades y no conformidades detectadas junto con su criticidad, así como, las contramedidas apl icadas para dichas vulnerabilidades.

EC4 Comprobar la seguridad de la información tratada por la organización auditada, verificando y asegurando los elementos relativos indicados en el plan de seguridad, para garantizar la integridad, disponibilidad, confidencialidad, autenticidad y el «no repudi o» y el cumplimiento de la normativa aplicable de protección de datos.

• IC4.1 La asignación de los roles del personal responsable de la gestión, tratamiento y almacenamiento de los datos se comprueba, verificando que se accede a la información requerida en cada caso y su alineación con el principio de «mínimo privilegio» y «necesida d de saber».
• IC4.2 Las medidas de seguridad físicas y lógicas implantadas para la recogida, gestión, tratamiento, almacenamiento, intercambio y borrado de los datos se comprueban, verificando que se cumple con los principios de confidencialidad, integridad, disponibilidad, a utenticidad, trazabilidad y no repudio.
• IC4.3 El intercambio de información se comprueba, verificando que se realiza únicamente a través de los canales autorizados, de la forma convenida y por las personas definidas en la normativa de la organización. Informe: Incual -Intranet
• IC4.4 El registro de actividades del tratamiento de los datos se revisa, verificando que está completo y actualizado, comprobando que el tratamiento únicamente se efectúa por personas autorizadas en la normativa de seguridad de la organización.
• IC4.5 Los protocolos de eliminación de información se revisan, confirmando que garantizan el borrado seguro de la información, destruyendo el papel en máquinas y contenedores específicos que no permitan la recuperación de la información y, en caso de cesión de dispositivos digitales a terceros, que no se pueda acceder a la información contenida previamente en él.
• IC4.6 La realización de copias de seguridad se verifica, comprobando que está alineado con la política de seguridad de la organización de forma que, ante una eliminación de datos por un desastre natural, o por personas de modo accidental o intencionado, es posib le recuperar la información en los plazos de tiempo convenidos.
• IC4.7 La aplicación de la normativa de seguridad por parte de los usuarios se revisa, verificando que saben cómo y dónde reportar los incidentes informáticos, no hacen uso de dispositivos no autorizados o de origen desconocido, aplican la política de «mesas limpias», bloquean el equipo si van a estar ausentes y no divulgan información asociada con su trabajo.
• IC4.8 El informe de la auditoría se elabora, incluyendo el alcance de la misma, la documentación revisada, las pruebas y entrevistas realizadas, los posibles obstáculos encontrados y las evidencias obtenidas, presentando especial atención a los hallazgos clasificados y no conformidades de las que también se indicará su criticidad, detallando el grado de cumplimiento legal y las medidas de mejora convenientes.

Medios de producción
Equipos informáticos tales como ordenadores de sobremesa, portátiles y servidores. Redes Wifi. Navegadores. Buscadores. Aplicaciones ofimáticas. Analizadores de vulnerabilidades. Herramientas de prueba de penetración. «Software» de auditorías de PC. Progra mas de análisis de contraseñas. Informe: Incual -Intranet

Información utilizada o generada
Normas externas de trabajo (normativa aplicable de propiedad intelectual e industrial; normativa aplicable de protección de datos y seguridad informática; normativa aplicable sobre prevención de riesgos laborales – ergonomía -). Normas internas de trabajo (plan de seguridad, metodologías de análisis de seguridad, histórico de incidencias, registro de ficheros de datos de carácter personal, informes de análisis de vulnerabilidades, relación de contraseñas débiles, informe de auditoría de servicios y puntos de acceso al sistema informático). Documentación técnica (boletines de seguridad externos, documentación técnica del fabricante de los equipos, sistemas y «software» utilizado, documentación técnica de la red, bibliografía especializada, tutoriales y cursos ).