PROYECTO FIN DE CARRERA Auditoría De Los Sistemas Y
Total Page:16
File Type:pdf, Size:1020Kb
Escuela Politécnica Superior Departamento de Informática PROYECTO FIN DE CARRERA Ingeniería Técnica en Informática de Gestión Auditoría de los sistemas y la seguridad en entornos mixtos (Linux - Windows) Autor: Roberto Garrido Pelaz Tutor: Miguel Ángel Ramos González Leganés, Noviembre de 2014 ii Título: Auditoría de los sistemas y la seguridad en entornos mixtos (Linux - Windows) Autor: Roberto Garrido Pelaz Tutor: Miguel Ángel Ramos González EL TRIBUNAL Presidente: ___________________________________ Vocal: ______________________________________ Secretario: ___________________________________ Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el día __ de ___________ de 2014 en Leganés, en la Escuela Politécnica Superior de la Universidad Carlos III de Madrid, acuerda otorgarle la CALIFICACIÓN de __________________. VOCAL SECRETARIO PRESIDENTE Agradecimientos Roberto Garrido Pelaz i A Rebeca, porque das sentido a mi vida. Gracias a Miguel y Carmen, mis padres, por vuestro trabajo de toda una vida, por haberme enseñado el valor del esfuerzo y el trabajo. También gracias a mi hermano Miguel, por servirme de inspiración para seguir mejorando. A mi tutor Miguel Ángel Ramos, por tu experiencia, por tu apoyo y paciencia. Gracias a todos los que habéis contribuido a mi crecimiento personal y profesional durante estos años. Y a la música, por acompañarme durante todos mis caminos andados. Roberto Garrido Pelaz ii Resumen Los sistemas de información son ya activos estratégicos para cualquier organización, y la ventaja actual reside en el gran número de alternativas para las organizaciones en cuanto a tecnologías de la información. Nos encontramos con entornos cada vez más heterogéneos y modelos más flexibles, con los que se intenta alcanzar una ventaja competitiva a todos los niveles, y donde es fundamental el uso de ciertos protocolos y estándares tecnológicos. Para minimizar los riesgos y amenazas asociadas al uso de las tecnologías de la información, es necesario llevar a cabo una buena gestión de la seguridad de la información, destacando el control de accesos a los recursos y la gestión de las identidades. En esta gestión eficaz es importante la revisión y evaluación periódica de la seguridad, a través de la puesta en práctica de auditorías de sistemas y de seguridad. Existen diferentes marcos de referencias y estándares, que sirven como guías para las empresas que buscan la eficacia y eficiencia en las tareas de gestión de los activos de información. Entre estos estándares destacan por su grado de aceptación a nivel internacional COBIT e ISO/IEC 27002. El presente proyecto trata de ofrecer una guía de buenas prácticas sencilla y asequible para cualquier tipo de organización, haciendo hincapié en la seguridad centrada en el control de accesos lógico y gestión de identidades. En el proceso de definición de este tipo de guías es importante hacer una revisión de las tecnologías disponibles en el entorno, que en este caso trata de aquellos donde conviven sistemas Windows y Linux. Roberto Garrido Pelaz iii Abstract Information Systems are now strategic assets to any organization, and the current advantage consists in the large number of information technologies alternatives for enterprises. We run into more and more flexible models and heterogeneous environments, in attempts to achieve a competitive advantage at all business levels, and using technology standards and protocols is a major factor. It is mandatory to reduce information technology associate risks and threats. This is achieved with information security management, where resources access control and identity management are noteworthy issues. For the efficient management it is important to develop regular checks and continuous assessments too, across of running security and system audits. There are several frameworks and standards for the previous purpose, and these standards are good for enterprises that see the efficience in information assets managment as one of their principal objectives. From among these standards we can emphasize COBIT and ISO/IEC 27002, because of their international degree of acceptance. This Project aims to provide a simple good practices guide for any kind of organization, focused on information security, with logic access control and identity management as a key factors. In this guide definition process it is important to review the technologies availables in the environment too, which in this case are limited by Windows and Linux systems Roberto Garrido Pelaz iv Índice Roberto Garrido Pelaz v Agradecimientos ...................................................................................................... i Resumen ................................................................................................................. iii Abstract .................................................................................................................. iv Índice ....................................................................................................................... v Índice de figuras ...................................................................................................... x Índice de tablas ...................................................................................................... xii 1 Introducción y Objetivos ................................................................................ 1 1.1 Problema a resolver ................................................................................ 2 1.2 Objetivos ................................................................................................. 3 1.3 Estructura del documento ....................................................................... 4 2 Estado del Arte ............................................................................................... 5 2.1 Marcos de referencia, estándares y normativas ...................................... 6 2.1.1 ISO/IEC 38500:2008 ........................................................................... 9 2.1.2 COBIT 5 ............................................................................................ 10 2.1.3 COSO ................................................................................................ 10 2.1.4 ITIL e ISO/IEC 20000:2011 ............................................................. 11 2.1.5 Serie ISO/IEC 27000 ......................................................................... 11 2.1.6 NIST serie 800 .................................................................................. 13 2.1.7 MEHARI ........................................................................................... 13 Roberto Garrido Pelaz vi 2.1.8 Estándar de Buenas Prácticas para la Seguridad de la Información . 14 2.1.9 SANS Institute................................................................................... 14 2.2 Sistemas operativos y modelos de computación ................................... 16 2.2.1 Breve historia de Windows ............................................................... 16 2.2.2 Breve historia de Linux ..................................................................... 18 2.2.3 Situación actual ................................................................................. 21 2.2.4 Computación en la nube .................................................................... 25 2.3 Seguridad y auditoría en informática .................................................... 29 2.3.1 Seguridad de la información ............................................................. 29 2.3.2 Auditoría en informática ................................................................... 30 2.3.3 Niveles de control.............................................................................. 32 3 Marcos de Referencia ................................................................................... 35 3.1 COBIT®5 ............................................................................................. 36 3.1.1 Historia y evolución de COBIT ........................................................ 37 3.1.2 Entender COBIT®5 .......................................................................... 38 3.1.3 COBIT®5, auditoría y seguridad de la información ......................... 42 3.2 ISO/IEC 27002:2013 ............................................................................ 53 3.2.1 Historia y evolución de ISO/IEC 27002 ........................................... 53 3.2.2 Entender ISO/IEC 27002 .................................................................. 54 3.2.3 Selección de controles ....................................................................... 57 3.3 Alineamiento COBIT 5 – ISO/IEC 27002:2013 ................................... 66 4 Interoperabilidad y Adopción de Estándares ............................................... 72 4.1 Servicios de empresa ............................................................................ 75 4.2 Interoperabilidad ................................................................................... 78 4.2.1 Estándares abiertos ............................................................................ 79 4.2.2 Estándares propietarios ..................................................................... 80 4.3 Protocolos y estándares en implantación de entornos mixtos ............... 82 Roberto Garrido Pelaz vii 4.3.1 LDAP ................................................................................................ 82 4.3.2 Kerberos v.5 .....................................................................................