ACA Auditoria de Sistemas

The speaker, Michel Pérez Mosquera, discusses a practical case of a company requesting an audit of its computer systems. The weaknesses identified include weak passwords, lack of activity logging, and outdated software. To address these weaknesses, the speaker suggests creating strong passwords, using password managers, implementing two-factor authentication, regularly changing passwords, and educating users. They also emphasize the importance of activity logging for security and compliance purposes. Additionally, they recommend keeping software updated to prevent data breaches and service interruptions. Overall, implementing these measures is crucial for protecting company data and closing security vulnerabilities. Hola a todos, queridos Podcast Escuchas, mi nombre es Michel Pérez Mosquera, soy estudiante universitario de la Corporación Unificada Nacional de Educación, de la Facultad de Ingeniería de Sistemas. En este espacio vamos a hablar de un caso práctico de una empresa la cual solicita una auditoría en sus sistemas informáticos. Esta empresa es de servicios financieros y ha solicitado a una auditoría para evaluar la seguridad y el cumplimiento en su infraestructura tecnológica, ya que esta empresa maneja datos sensibles de clientes incluyendo su información financiera y personal. En esta auditoría, Podcast Escuchas, se encontraron algunas debilidades, para este caso práctico son tres y se las mencionaré en este momento. Una de esas debilidades identificadas son las contraseñas débiles. Las contraseñas débiles se descubren ya que no cumplen con los requisitos estándar de seguridad recomendados. Muchos empleados reciclan las contraseñas y son muy fáciles de avinar. Esto aumenta el riesgo de los accesos no autorizados al sistema. Bueno, para esta debilidad identificada primeramente en la auditoría, para mitigar o corregir esta debilidad, pues como primera medida propondría crear contraseñas fuertes. Estas contraseñas fuertes deben tener ciertas características como por ejemplo la longitud, la variedad de caracteres, evitar la información personal o las frases en contraseñas. Todo este conjunto de actividades post auditoria permiten robustizar el acceso a los sistemas de información. Adicional, se puede utilizar como segunda medida un gestor de contraseñas. En internet hay variedad de recursos los cuales nos permiten hacer este tipo de implementación como lo es DATPLUS, UNPASSWORD o BITWARDEN. Estos tipos de herramientas nos permiten generar y almacenar las contraseñas de una forma segura. También nos permiten la opción de autorrecordar las contraseñas, facilitando el uso de contraseñas complejas en cada tipo de cuenta o acceso a los sistemas. Otra medida importante y de gran valor puede ser la autenticación en dos factores, es decir una doble capa de seguridad. Para habilitar esta función siempre y cuando sea posible puede hacerse de dos formas, una mediante una aplicación de un tercero, Google Authenticator o Microsoft Authenticator o en su efecto con un mensaje de texto a la línea móvil del usuario. También podemos indicar que para este ejemplo una medida para satisfacer la necesidad de las contraseñas débiles es cambiar las contraseñas con regularidad. La rotación de las contraseñas es de vital importancia ya que como es una empresa que maneja datos sensibles y financieros de sus clientes y de sus empleados, es necesario que las contraseñas se restablezcan de forma periódica. Adicional a esto, es de mucha importancia hacer monitoreos constantes para identificar donde hay una brecha de seguridad que permita cambiar las contraseñas de forma inmediata. Si alguna contraseña se vio vulnerada en algún sitio o comprometida, esta sería una muy buena herramienta para implementarla. Algo muy importante es utilizar herramientas de seguridad, software o actualizaciones de software que permitan robustecer el tema de las contraseñas. Algo muy importante es la educación y la concientización de los usuarios finales, ya que son ellos donde está el eslabón más débil en la cadena de protección de datos, y entonces es importante aquí indicar que hay que enseñarlos a identificar y evitar sitios web que posiblemente puedan ser difíciles o que intenten robarle las contraseñas. Esto se hace más orientado al tema de la prevención. En el segundo caso de ejemplo, hablamos de la falta de registro de actividades, es decir, no hay un sistema adecuado para registrar y monitorear las actividades de los usuarios en los sistemas de la empresa. Para este ítem, lo que planteamos, continuando con nuestro ejemplo práctico, encontramos dentro de la auditoría los registros de actividades de los usuarios. ¿Sí? ¿Por qué es importante tener un registro de actividades de los usuarios? Esto nos permite, como primera medida, tener una mayor seguridad y una prevención de posibles filtraciones de datos. Con la extensión de las actividades de los usuarios, cuando están los registros, esto nos puede ayudar a nosotros como auditores de sistemas a identificar si existe algún comportamiento inusual, sospechoso o indebido de un usuario que podría indicar básicamente un intento de intrusión o un asesino autorizado hacia algún sitio o dependencia. Este tema también nos abre una puerta a hacer un seguimiento a los incidentes. Un incidente de seguridad puede ser determinar o rastrear si hubo un acceso no autorizado de un usuario de un área que no corresponde a otra o de una instancia dentro de una plataforma a un usuario que no le corresponde. Para esto, nos podemos apoyar en un cumplimiento normativo, ya que contamos con regulaciones y estándares que muchas industrias están sujetas a ello y requieren la conservación de estos registros. En algunas compañías es importante tener a detalle toda la actividad relacionada a un usuario. La responsabilidad y la transparencia, en esto hay que ser muy claro y es que al tener un registro detallado de todas las actividades de los usuarios, esto promueve un uso de las buenas prácticas y de la corresponsabilidad que se le da al usuario directamente para que pueda ejecutar sus tareas. Es una relación más de dependencia, entonces es más orientado a que la gente no se sienta vigilada, pero sí es importante tener en cuenta que en un sistema siempre debe haber un detalle de todas las interacciones que pueda tener un usuario. En cuestión, básicamente al haber un registro de actividades es una herramienta que nos va a permitir, uno, mantener la seguridad y cumplir las normativas legales. Esto va a mejorar la gestión y la operación de los sistemas y adicional puede ser de algún apoyo para el personal técnico, ya que a su vez los logs, a pesar de que puede mostrar una instrucción de un servicio o una área a otra, también nos puede brindar la capacidad para resolver algún problema de tema técnico y a su vez para implementarlo en cualquier sistema informático. Encontrar brechas de seguridad en un sistema, sí, es una brecha de seguridad muy alta para una organización. En este caso, al hablar del ítem número tres, que es la actualización de software cuando hay obsolescencia, entonces, a pesar de que es un riesgo no menor, sí es importante atacarlo, debido a que normalmente las aplicaciones y todo sistema regularmente debe tener parches y actualizaciones de forma periódica, esto con el fin de evitar vulnerabilidades ya conocidas. Muchos atacantes pueden hacer ataques de fuerza bruta, enviar código malicioso o robar datos. Entonces es importante siempre el software que esté con los parches actualizados y adicional con todos los temas de seguridad. ¿Por qué es importante tener el software actualizado? Uno, pues para mitigar una posible pérdida de datos, porque a la falta de parches de seguridad, esto le puede llevar a la organización a que puedan existir filtraciones de datos y esto pondría en riesgo la información sensible y confidencial. Entonces es importante siempre tener los parches actualizados. Otra de las ventajas de tener el software actualizado es que no se va a presentar una interrupción del servicio. Al estar el software actualizado, las vulnerabilidades pueden ser protegidas en una menor medida o en su efecto al no estar actualizado puede ocasionar un tema de posibles denegaciones de servicio, afectando la disponibilidad de algún sitio o servicio que sea crítico para alguna organización. Para esto, para mitigar este software en obsolescencia, crearía un proceso de automatización y utilizaría herramientas de gestión de parches que cada cierto tiempo crea una tarea para que el software de la organización o de los usuarios o de las áreas sea ejecutado de forma automática. Adicional a esto, implementaría un inventario del software para identificar en qué versión y fecha de lanzamiento fue publicado alguno y evaluar cuáles son los puntos más críticos dentro de la organización. Esto ¿con qué se hace? Para previsar las actualizaciones más críticas. ¿Qué quiere decir esto? Si hay equipos dentro de la organización que los parches de seguridad tengan uno o dos meses atrás, esos son los primeros que hay que intervenir. ¿Para qué? Para que no haya una diferencia mayor entre un sistema y otro a nivel de la misma organización. Igual también es un proceso de educación, explicarles o darles las herramientas a los usuarios para que tengan en cuenta lo importante que es mantener todos los sistemas actualizados. En conclusión, actualizar el software de las compañías y aplicar los parches de seguridad disponibles es fundamental y es importante para proteger los datos de la empresa. Esto va a cerrar la brecha en la vulnerabilidad y es importante que estos procesos se establezcan como una política para la gestión de actualizaciones del software. Esto claramente con herramientas que puedan ayudar a mantener la seguridad, la eficiencia y la operatividad de la organización. Espero podcast cuchas que este espacio haya sido de su agrado y que la información aquí tratada puedan asimilarla de la mejor forma. Un saludo, muchas gracias, hasta pronto.