Comentarios en: Oiga, no soy pen-tester, soy auditor de sistemas

Por: corsaria

corsaria — Sat, 14 Oct 2006 10:33:26 +0000

Buena entrada Sergio. Me la he le�do enterita y de un tir�n. Yo creo que ambos perfiles son diferentes, aunque el de auditor pueda incluir el de pen-tester no tiene porqu�. De un modo informal siempre tuve en mente que el pen-tester es m�s pr�ctico y menos burocr�tico y el auditor m�s de papeleo, normativas de seguridad, y esas cosas.

No obstante el punto #8 que mencionas es fundamental. Sin eso, el trabajo de un pen-tester se queda en nada. O bueno, en nada bueno… jeje :-)

Mencionas de refil�n el concepto de hacking �tico, quiz�s ah� si entre mejor el pen-tester, aunque es mucho m�s amplio que eso. No tengo claro si ser�a cracking porque analizar c�mo entrar no tiene porque comportar romper nada.

Saludos. :)

Por: Jos� Manuel Fern�ndez

Jos� Manuel Fern�ndez — Fri, 13 Oct 2006 19:45:47 +0000

Pues hace unos d�as se abri� las inscripci�n formal del congreso. Me enviaron un eMail directo pues dej� mis datos en verano, cuando se estaba suministrando informaci�n sobre el evento y se realizaban preinscripciones, declaraciones de intenciones de asistencia o como se llame eso. No se si existir�n plazas libres, pero os animo a ir.

Sergio, tr�ncate una plaza y nos vemos por all�. Cuesta pasta. Alrededor de unos 300 Euros m�s o menos.

El post donde dije lo del itSMF es del d�a 25 de julio y tambi�n lo vi, al margen de http://www.itsmf.es, es el blog del amigo Antonio Valle por aquellos d�as conforme digo en el post.

Enlace a la noticia en blog Jose Manuel

Enlace al site de itSMF Espa�a

Por: Sergio Hernando

Sergio Hernando — Fri, 13 Oct 2006 18:07:33 +0000

Antonio,

Solo a�adir�a una puntualizaci�n: para mi el auditor comprueba y evidencia el cumplimiento de normativas, politicas, procedimientos, procesos, etc… es decir, su trabajo es comprobar y demostrar que se hace lo que se dice que se hace, adem�s de comprobar que los controles establecidos son adecuados y suficientes y, desde una perspectiva colaborativa y proactiva, proponer mejoras en funci�n de los descubrimientos que realice y las conclusiones a las que llegue.

S�, efectivamente. La verificaci�n del cumplimiento de las obligaciones que establecen los reguladores es una misi�n claramente imputable al auditor. Es, para los distintos �mbitos existentes, un fedatario que adem�s, como bien dices, en algunas ocasiones tambi�n debe proponer mejoras :)

Javier,

� No es pasar un cuestionario!

C�mo se nota que est�s en la brega diaria del que quiere hacer las cosas bien y v� como otros se limitan a eso, a pasar checklists que de nada sirven. Vender tener el documento, documento que pasa despu�s a lo alto de un estante a coger polvo.

No sabes en cu�ntas pseudoconformidades de esas me he visto envuelto :)

El otro tema sin resolver es �qui�n es el perfil adecuado para ser auditor de sistemas de informaci�n? �Qu� requisitos debe satisfacer?

Para m� son dos requisitos: por un lado estar formado en “las artes de la auditor�a”, es decir, conocer las pr�cticas, las metodolog�as y los modos de actuar con el cliente. Por otro, debe tener especialidad en el tipo de sistemas que est� auditando. Si no has tocado un CRM, a duras penas podr�s auditarlo. Ya no te digo nada si te cae una Sybase, o un TRU64.

Requisitos generales y requisitos espec�ficos. Algo como los c�digos tipo que se idearon para los IRCA de Calidad (s�, esos que al final se han pasado por la piedra, ya que calidad audita hasta un mono con libreta �ltimamente)

EAM,

Por supuesto. La ingenier�a social es otro m�todo de extracci�n de informaci�n. Las contemplo dentro de las deficiencias, pero si no ha quedado claro te lo confirmo: es una fuente de informaci�n v�lida :)

B.sword!?,

A mandar :)

Hildebrando,

La mejor manera de entender la diferencia entre un oficial de seguridad y un auditor, es entender qu� es un auditor certificado y qu� es un gestor certificado. El oficial deber�a ser CISM, y el auditor, CISA. Por supuesto, valen las certificaciones equivalentes :)

Sobre SOX puedo contarte, y algo de experiencia me avala, que m�s que un auditor, es preciso un equipo de auditor�a. S�lo hay tres fracciones que un auditor de sistemas puede hacer en SOX: infraestructura, ciclo de vida de aplicaciones y explotaci�n. Para la parte de operativa cr�tica que no est� comprendida en estos tres dominios, y para el resto que no es operativa cr�tica, ha de contarse con auditor�a financiera INEXORABLEMENTE :)

Jose Manuel,

Quiz�s por el background en auditor�as de todo tipo, tiendo a aplicar ISO 19011 en lo que al procedimiento de auditor�a en s� respecta

Excelente marco. Hac�a falta que Q y MA se unieran en cuanto a auditor�a se refiere. Sin embargo, la veo algo coja para afrontar otro tipo de auditor�as que no est�n regladas claramente por normativa y metodolog�a. De todos modos es un texto muy sensato.

Si has hablado de itSMF p�sanos el enlace, que me ponga al d�a :P

Sobre Basilea II,

He leido algo sobre Basel II y creo que solo aplica a entidades financieras.

Has le�do bien, puedo dar f� de ello :P

Gracias a todos por los comentarios :)

Por: Jos� Manuel Fern�ndez

Jos� Manuel Fern�ndez — Fri, 13 Oct 2006 16:20:45 +0000

Basel II, entidades financieras … pues eso, casi la nueva Sarbanes-Oxley. Buen art�culo Sergio. Voy a plagi�rtelo en mi blog para poder meter algo de entrada (naturalmente citando fuentes, etc.). Al 500% entre el Proyecto Camersec y otros que han surgido de la nada ante ciertas peticiones.

Respecto de la Auditor�a de LOPD lo del cuestionario es bastante m�s habitual de lo que pudiera parecer, desgraciadamente (como indicaba Javier Cao).

Yo particularmente, cuando hacemos alguna, me la tomo como una auditor�a de un ‘mini-SGSI’ para entendernos. Quiz�s por el background en auditor�as de todo tipo, tiendo a aplicar ISO 19011 en lo que al procedimiento de auditor�a en s� respecta. Como gu�a de actuaci�n est� bastante bien. Cuando el cliente recibe el informe de auditor�a lo primero que espeta es un ‘joder, ni que fu�semos la ONU’, pero debe ser as� sin ning�n g�nero de dudas.

Respecto al Sr. Valle, al cual creo que tengo posibilidades de ver en el congreso de itSMF, al cual asistir�, pues lleva raz�n en la puntualizaci�n. B�sicamente es eso: comprobar pr�cticas, procedimientos, … En definitiva, auditar que el sistema establecido cumple con los requisitos previamente definidos.

Tiene pinta de estar bien el congreso itSMF. Por lo menos las ponencias parecen muy interesantes para captar m�s informaci�n si cabe sobre ITIL e ISO 20000.

Por: javier cao avellaneda

javier cao avellaneda — Fri, 13 Oct 2006 12:02:21 +0000

Buenas,

He leido algo sobre Basel II y creo que solo aplica a entidades financieras. Desde luego que va a cambiar las cosas pero m�s en tema de continuidad de negocio para la gesti�n del riesgo de operaci�n. Por desgracia como ya he comentado solo aplica a entidades financieras.

Ojal� en ciertos organismos e instituciones fuera obligatorio al menos un SGSI.

Por: Antonio Valle

Antonio Valle — Thu, 12 Oct 2006 23:31:23 +0000

Hola!
Solo un par de cosillas mas: a lo que dice Javier Cao sobre la LOPD, ojo, que esta en la cocina Basel II que igual acaba siendo “la SOX europea” y ya veremos como cambian las cosas!!

A lo que dice EAM sobre la ingenieria social , nosotros la incluimos en los servicios de test de intrusion como una de las vias de ataque mas.. y no veas como disfruta el que lo hace y como flipa el cliente cuando le muestras lo que has encontrado…

Antonio

Por: Hildebrando

Hildebrando — Wed, 11 Oct 2006 21:50:06 +0000

Me ha gustado el art�culo, (por cierto muy de acuerdo con Antonio valle) jjejeje, preciso — conciso en el detalle. :)
Lo �nico que sopesa tambi�n en este mundillo es el alcance en funci�n del auditor de sistemas vs un oficial de seguridad (OSI).
Que ser�a entonces el audito con respecto a �ste �ltimo, hace tiempo le�a que era una funci�n incluida en Sarbanes Oxley , dado los asuntos de seguridad ante todo.

Excelente el art�culo, muy bueno
Gracias Sergio, enhorabuena.

Por: B.sword!?

B.sword!? — Wed, 11 Oct 2006 12:52:49 +0000

Muy buen articulo, me ha gustado.

Por: EAM

EAM — Wed, 11 Oct 2006 12:52:40 +0000

Buena reflexi�n y a pesar de todo me sorprende como se pueden llegar a confundir ambos roles. Aunque personalmente considero que un test de intrusi�n debe ser considerado como el intento de acceso a un sistema a toda costa (siempre utilizando procedimientos legales, l�citos y �ticos claro ;-)) Por tanto, adem�s de explotar las vulnerabilidades a nivel t�cnico no hay que olvidar otros mecanismos para conseguir el objetivo final, por ejemplo t�cnicas de ingenier�a social (seg�n la finalidad no son demasiado �ticos pero dado que en el mundo real existen pues hay que considerarlos no ???). Aplicando el dicho aquel de que la fortaleza de una cadena reside en el eslabon m�s d�bil, es obvio, que todo “ente” que tenga algo que ver con el objetivo es un candidato m�s a ser “penetrado” :-) ;-)
PD. Por supuesto, en el alcance del test debe quedar todo ello bien delimitado.

Por: javier cao avellaneda

javier cao avellaneda — Wed, 11 Oct 2006 07:37:22 +0000

Yo tambi�n coincido con la diferenciaci�n de ambos perfiles y sus objetivos de comprobaci�n. Adem�s las empresas quiz�s no valoran la importancia que la auditor�a de sistemas de informaci�n puede tener para su negocio. Ya no se trata de probar que los sistemas no son vulnerables sino evidenciar que cumplen los objetivos por los que son adquiridos e implantados.

Semejante problem�tica se plantea entorno a la auditor�a bienal que aparece en el nivel medio del R.D. 994/1999 de la LOPD. Una auditor�a debe probar con evidencias el cumplimiento o no cumplimiento de los controles.

� No es pasar un cuestionario!

Evidentemente los controles no t�cnicos de la ley habr� que evaluarlos de diferentes maneras pero saber si los procedimientos se est�n ejecutando obliga a mirar los registros que dichos procedimientos deben generar. La idea con la que creo fue elaborado el R.D. 994/1999 es forzar a las empresas a que exista una documentaci�n m�nima sobre los sistemas de informaci�n donde se realiza el tratamiento, sus “activos de informaci�n” y una serie de procedimientos a cumplir. De esa manera, es muy facil auditar para un tercero (el inspector de la Agencia de turno) si se CUMPLE lo que el documento de seguridad pone. El control no es en s� mismo la tenencia del documento sino el cumplimiento del contenido.

Desgraciadamente muchas empresas de asesoramiento LOPD venden que el problema es la tenencia del documento, olvidando as� el verdadero objetivo de dicho documento.

Imagino que el tiempo ir� poniendo a la auditor�a de sistemas de informaci�n en su sitio, como ya ocurre con la auditor�a contable. El otro tema sin resolver es �qui�n es el perfil adecuado para ser auditor de sistemas de informaci�n? �Qu� requisitos debe satisfacer?