COSO Metodología de Auditoría

COSO I

En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework” denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control interno y generando una definición común de “control interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes, reglamentos y normas que sean aplicables

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.

COSO II

En 2004, se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

1. Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los trabajadores ante los riesgos y las actividades de control de los mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos.
3. Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos.
4. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los objetivos.
5. Respuesta a los riesgos: determinación de acciones frente a los riesgos.
6. Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los riesgos.
7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.

COSO III

En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que introducirá este Marco Integrado de Gestión de Riesgos son:

• Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos
• Mayor confianza en la eliminación de riesgos y consecución de objetivos
• Mayor claridad en cuanto a la información y comunicación.

¿PARA QUÉ... ?

---

Algunos de los beneficios de utilizar el estándar COSO en las organizaciones son:

• Promueve la gestión de riesgos en todos los niveles de la organización y establece directrices para la toma de decisiones de los directivos para el control de los riesgos y la asignación de responsabilidades.
• Ayuda a la integración de los sistemas de gestión de riesgos con otros sistemas que la organización tenga implantados
• Ayuda a la optimización de recursos en términos de rentabilidad
• Mejora la comunicación en la organización
• Mejora el control interno de la organización

Cita:  (AEC: ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD, s.f.)

Entrada bibliográfica:

AEC: ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD. (s.f.). QAEC ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD . Obtenido de QAEC ASOCIACIÓN ESPAÑOLA PARA LA CALIDAD : https://www.aec.es/web/guest/centro-conocimiento/coso

Metodologías De Seguridad

Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro a nivel mundial dedicada a mejorar la seguridad de las aplicaciones y del software en general. Su misión es hacer que la seguridad dentro de las aplicaciones sea más visible para que, así, las organizaciones y los particulares puedan tomar decisiones sobre conceptos de seguridad basándose en información verídica y contrastada.

·         https://www.owasp.org/index. php/Main_Page

Manual  Open Source Security Testing Mthodology (OSSTM)

·        ·         Engloba

o   Auditoria de sistemas

o   Auditoria física

o   Ingeniería social

o   Auditoria de redes

·         Desventaja

o   Solo es un manual

o   Es antiguo

http://www.isecom.org/

Penetration Testing o Auditoria de Prueba de Penetración, la cual es una metodología pautada (PTES, por Penetration Testing Execution Standard) orientada a la auditoria técnica de la seguridad de los equipos y sistemas informáticos.

·        - Es muy utilizada

·         -Esta enfocada a los test de intrucion

·         -Se centra en todos los pasos y acciones que debemos hacer

·         -Se mete a detalle técnico 

s

OWISAM es una metodología abierta para el análisis de seguridad Wireless que busca llenar el vació actual en cuanto mejores prácticas a la hora de realizar una auditoría de una red inalámbrica. 

Bibliografía

Amor, R. V. (7 de 03 de 2016). Adictos al trabajo. Obtenido de Introducción a OWASP: https://www.adictosaltrabajo.com/2016/03/07/introduccion-a-owasp/

Lago, K. R. (12 de 12 de 2017). Likedin. Obtenido de Metodologías para la auditoria de la seguridad: https://www.linkedin.com/pulse/metodolog%C3%ADas-para-la-auditoria-de-seguridad-kevin-rodriguez-lago

Semana 2 Nociones Básicas

Ámbitos de seguridad Integral

Seguridad Integral: Esta conformado por tres tipos que la conforman 
los cuales son:

• Ámbito Físico: En el ámbito físico se tienen que identificar varios aspectos por ejemplo: la seguridad con la que cuenta  la empresa, donde se tienen instaladas la cámaras de seguridad para así poder acceder a ella, también se tiene que identificar lo que son los accesos que se tienen en las puertas si alguna es insegura o no tiene algún guardia poder acceder por allí.  
• 
• Ámbito Digital: En este ámbito de la seguridad integral se refiere a las medidas que debe tomar la empresa para que no puedan vulnerarla mediante sus sistemas que utilizan, para que no puedan ingresar a los servidores mediante las redes Wi-Fi, para ello se debbe tener una seguridad muy buena. 
• 
• Ámbito Humano: En el ámbito humano básicamente entraría lo que es la ingeniería social,  ya que se utilizan técnicas de este tipo para engañar a las personas, por ejemplo lo que son las campañas de Phishing, subir algún tipo de archivo con algún software malicioso.
  

Acciones por Ámbito

Intrusión Digital  

• Anonimización de las comunicaciones: En esta parte es básicamente que si estas haciendo una intrusión digital no se den cuenta de que eres tú es mantener el anonimato en todo momento.
• Análisis de sistemas perimetrales: Es observar o analizar los sistemas que tengan la empresa y así poder hacer la intrusión ya sean redes Wi-Fi o cámaras de vigilancia.
• Despliegue de dispositivos USB cebo: En esta parte se usan lo que son las memorias USB que contengan algún tipo de virus que vallan infectadas con un Malware.
• Acciones Vishing Personalizado: Son las llamadas telefónicas que se hacen a personas con la finalidad de obtener datos personales o cotraseñas.

Ingeniería Social

• Desarrollo de Campañas de Phishing: Son campañas que se hacen con el objetivo de dañar algún sistema ya sean correos electrónicos o paginas con un objetivo de obtener tú información.
• Envío de Spear-phishing: En esta parte es básicamente lo mismo al Phishing solo que en esta parte ya son más dirigidos los ataques ya sea organización o persona en especifico.
• Envío de Malware personalizado: El envío de malware personalizado básicamente se desarrolla para algo o alguien en especifico para obtener datos personales o  dinero relacionado para el rescate.

Intrusión Física

• Análisis perimetral de seguridad: En análisis perimetral se tiene que identificar la seguridad con la que cuenta la empresa o lugar para así poder saber donde se tienen ubicadas cámaras de vigilancia puertas de acceso etc.
• Identificación de accesos alternativos: Se tienen que identificar los lugares con los que no cuenten con un guardia de seguridad en las entradas de la empresa.
• Evasión de control RFID / NFC: Es el uso de tarjetas en las organizaciones, estas tarjetas no son muy seguras ya que se pueden clonar muy fácilmente.
• Evasión de control biométrico: Es identificar la identidad de la persona que quiere acceder y así poder acceder al control biométrico y evadirlo.
• Evaluación de sistemas embebidos: En esta parte es donde se hace la evaluación de los sistemas embebidos si se cuenta con buena seguridad en su sistema que estén empleando
• Análisis de redes Wireless: En el análisis de redes wireless es la parte de la red la seguridad con la que se cuenta la ubicación y si se usan diferentes redes para cada cosa o solo una en especifico.
• Control remoto de CCTV: Es la seguridad que tienen los sistemas de vídeo vigilancia de los circuitos cerrados de televisión

Tipos de servicios de seguridad

Ejercicios de Read Team
En este tipo de ejercicio es el que se encarga de atacar los sistemas de una organización en este tipo de ejercicio nos dice que se desconoce de quien es atacante, si es auditoría se le otorgan todos los privilegios.

Test de Intrusión 
En este tipo de servicio se hacen pruebas mediante lo que son las redes Wi-Fi que no tienen mucho alcance en la organización solo se trata de acceder su red con la autorización de la empresa.

Auditoria de Vulnerabilidades 
En este tipo de servicio solo se dan a conocer las posibles vulnerabilidades en una organización y con colaboración de ella se verifican las posibles fallas que pueda tener su red o sus sistemas pero no se explotan esas vulnerabilidades.

Auditoria de Vulnerabilidades 

• Alcance --> Su alcance se limita mucho en cuanto a las aplicaciones a auditar solo son aplicaciones especificas.
• Ámbito-->  En el ámbito es muy limitado como tal no se usan lo que son las técnicas de un verdadero atacante.
• Detalles--> En esta parte la organización conoce todos los detalles a realizar en la auditoria son instrucciones especificas que se dan y se conoce todo.
• Vectores--> En los vectores solo se analizan lo que son los sistemas manualmente o redes para comprobar si tienen vulnerabilidades, como tal no se utilizan los vectores.
• Tiempo--> En este tipo de auditoria el tiempo es muy poco son cuestiones de días 

Test de Intrusión

• Alcance--> En este tipo de auditoria ya son más las libertades que se le dan al auditor, ya sean sistemas o alguna red en la empresa.
• Ámbito--> En el ámbito solo son programas o redes que te otorgan para que audites solamente.
• Detalles--> La organización no es conocedora en su totalidad de los tipos de sistemas a auditar.
• Vectores--> En esta parte de los vectores se identifican lo que son las vulnerabilidades y se explotan con lo que es la autorización de la empresa, para hacerle saber que si se puede vulnerar.
• Tiempo--> En el tiempo depende de la empresa a auditar pueden ser semanas o días.

Ejercicio de Read Team

• Alcance--> Completo ya que se utilizan todas las técnicas que se conozcan para poder vulnerar.
• Ámbito--> En este tipo de ámbito se utilizan diferentes ya sea lo que es la ingeniería Social o diferentes técnicas para hacer la intrusión.
• Detalles--> Los detalles casi no se saben en este tipo de auditoria, para así poder acceder a la empresa.
• Vectores--> Se usan diferentes vectores de ataque con la finalidad de acceder a la empresa de cualquier forma.
• Tiempo--> Pueden ser meses

Tipos de Atacantes

- Terroristas: Tipos de ataques terroristas son dirigidos ya sean a gobiernos a personas en especifico.

- Estados: En el caso de los estados seria básicamente lo mismo que los terroristas ya que se dirigen a instituciones de gobierno.

- Criminales: En el caso de criminales no usan ataques dirigidos.

- Hacktivistas: Los Hacktivistas no se podría decir que son ataques dirigidos ya que ellos utilizan mediadas para poder ser escuchados mediante la difución en sistemas en internet.


- Script Kiddies: los Script Kiddies son personas que no tienen conocimiento que solamente descargan virus o malwares sin saber utilizarlos.

Introducción al Blog

Introducción 

¿Que es un hacker? Definición: 

Un hacker es una persona con grandes conocimientos en informática que le apasiona el conocimiento y descubrir y aprender nuevas cosas y entender el funcionamiento de estas. Tiene la capacidad de vulnerar entornos, tomar cierto privilegio por ejemplo de equipos, control de lo equipos acceso a ellos etc.

Tipos de Hackers

Sombrero blanco:

Son aquellas personas que se dedican a las cuestiones de seguridad, que se dedican a ayudar a la comunidad encuentran nuevas vulnerabilidades y las reportan, para así los sistemas estén mas seguros. 

La mayoría de estos hackers trabajan como auditores para tener una buena seguridad en una organización.

Sombrero Gris:

Los de sombrero gris son aquellos que están dentro de la legalidad e ilegalidad.

Estos también pueden trabajar como auditores ayudando a las organizaciones, pero pueden dejar ventanas abiertas para que si ellos quieren puedan acceder cuando ellos quieran.

Sombrero Negro:

Los de sombrero negro son aquellas personas que son cibercriminales que usan sus habilidades para vulnerar sistemas, vulneran los equipos de ciertas personas, por motivos personales o políticos.

El objetivo de ellos no es ayudar a las personas ni  organizaciones 

¿Que es el Hacking Ético?

El hacking ético es básicamente es lo relacionado con los hackers de sombrero blanco o gris básicamente tienen los conocimientos para vulnerar sistemas con un objetivo ético, normalmente se asocia a los hackers que se dedican a auditorias de identificación de vulnerabilidades que normalmente son los servicios que contratan las empresas, el objetivo que tienen es ayudar a las organizaciones.

Definiciones y términos básicos 

Definición y términos básicos 

• Navegación anónima: Navegación anónima es la posibilidad de acceder a sitios en Internet sin que se pueda identificar a la persona o dispositivo que está accediendo a los servicios que se conecta

• Hacktivista: Tipo de persona que utiliza las técnicas de kacking como medida de protesta, son protestas a nivel digital. 

• Script Kiddie: Es una persona no calificada que utiliza scripts o programas desarollados por otros para atacar sistemas informáticos o redes

• Sniffer:  Es una software que permite capturar tramas de la red. Generalmente es utilizado con fines maliciosos para capturar texto de emails, chats, datos personales, contraseñas, etc.

• Hash: formula una caracterización de longitud fija codificada para cualquier entrada de números y letras. Sirviendo como una verdadera herramienta para la gestión de la cadena de bloques y una serie de procedimientos de seguridad de la información es generado por un algoritmo de cifrado.
• Malware: Se le considera a cualquier tipo de software malicioso que contiene algún tipo de virus incrustado en el.
• Ingeniería Social: Es una forma a través de las cuales podemos forzar o engañar a una persona a realizar una determinada acción o comportamiento involucra lo que es phishing
   o llamadas correos maliciosos
• Intrusión Física: Consiste en acceder a instalaciones y se suele usar para acceder un dispositivo a la red.
• Seguridad Integral. Permite integrar la seguridad a nivel general esta compuesta de: 
• seguridad digital
• seguridad física 
• seguridad en las personas 
• Principios del Mínimo Privilegio: Se usa mas en organizaciones que utilizan estas medidas para que personas no accedan a todo básicamente.
• Defensa en profundidad: Se asocia mucho con los principios del mínimo privilegio ya que se utiliza mucho en las organizaciones. Consiste en implantar una serie de capas las capas se dividen en riesgos que vendrían siendo los atacantes.
• Bitcoin: Tipo de moneda o criptomoneda online que no depende de ningún país, no permite identificar a la persona que realiza la transferencia.
• Deep Web: Se refiere a la web profunda que no esta directamente accesible, se pueden utilizar otras redes por ejemplo: Thor se le conoce como la web profunda, ya que no cualquier persona no puede acceder a ella 

Semana 1 Nube de Palabras

Palabras clave de las que tratara el bloc Auditoría de Sistemas