Auditoría de “control de acceso” con Caseware IDEA

1. Introducción

El “control de acceso” es una de las contramedidas más utilizadas por las organizaciones para proteger la “información” más crítica y sensible. Si bien, no podemos afirmar que los controles son infalibles o cien por ciento seguros, sí podemos trabajar en mitigar los riesgos asociados, a través de la revisión, monitoreo, supervisión y evaluación constante de los controles, por lo tanto, es recomendable que estos sean auditados de manera periódica con la finalidad de establecer si brindan un nivel de confianza acorde a las necesidades de negocio.

La auditoría de “control de acceso” a los sistemas, es uno de los procedimientos más utilizados para verificar que los “tesoros” se encuentren protegidos, a buen recaudo y disponibles únicamente a entidades autorizadas.

2. Objetivo

Asegurar que los sistemas de información permitan el acceso solo a usuarios autorizados, a través de la revisión y evaluación de la efectividad del control de acceso implementado en los diferentes activos de información, considerando el proceso de inicio a fin, es decir, desde la autenticación hasta la autorización; así como, el monitoreo de las actividades realizadas luego de otorgado el acceso.

3. Puntos de interés

• Políticas de control de acceso: evaluación de la existencia y aplicabilidad de políticas de acceso que regulen quién puede acceder a la información, según las necesidades de negocio y considerando los criterios de “menor privilegio” y “necesidad de conocimiento”.

• Gestión de cuentas: revisión del procedimiento establecido para para la gestión de cuentas, que al menos incluya el análisis de la creación, modificación y eliminación de cuentas de usuario con la finalidad de verificar si el procedimiento se realiza de manera controlada y autorizada.

• Supervisión de actividades: analizar los registros de actividades (log) para detectar patrones inusuales o accesos no autorizados a la información.

4. Auditando con Caseware IDEA

Realizar una auditoría de “control de acceso” de manera manual es poco eficiente, debido a la gran cantidad de datos e información que los sistemas generan, con Caseware IDEA este proceso se puede simplificar e incluso automatizar conforme a las necesidades del negocio. A continuación se presentan algunos aspectos importantes a tener en cuenta al realizar este tipo de auditoría o evaluación.

4.1. Importación de archivos de registro (logs)

Con las capacidades de importación de Caseware IDEA, importe el archivo de registros de control de acceso desde el “registro de Windows”.

4.2. Análisis de datos

Con la información de los eventos de Windows importados en Caseware IDEA, revise los datos usando las siguientes opciones de IDEA:

1. Resumen: resuma todos los registros del archivo por su ID, esto le permitirá tener una tabla resumida por ID y con la cantidad de veces que ha ocurrido cada evento.
2. Filtro de registros: con el uso de criterios, filtre la información para visualizar solo aquellos eventos relacionados con el acceso, entre los eventos más importantes se tienen:
   • Event ID 4624: Este evento se registra cuando se inicia sesión correctamente un usuario en el sistema.
   • Event ID 4625: Indica intentos fallidos de inicio de sesión, lo que podría ser un indicativo de intentos de acceso no autorizados.
   • Event ID 4648: Se registra cuando se utiliza una credencial para iniciar sesión mediante métodos distintos a la interacción de usuario, como mediante ejecución de programas.
   • Event ID 4768: Este evento se genera cada vez que se crea un ticket de autenticación (TGT) que solicita un ticket de servicio (TGS).
   • Event ID 4776: Se registra cuando se autentica un intento de inicio de sesión mediante credenciales Kerberos.
3. Campos de acción: con el uso de los campos de acción creados al momento de usar la función de resumen, es posible acceder y visualizar el detalle de cada evento.
4. Guardar nueva base de datos: cuando hemos identificado los eventos que pueden significar una actividad de acceso sospechosa, podemos guardar como una base de datos independiente para analizarla
5. Exportación de resultados e informes: luego de analizados los datos y obtenido resultados de la auditoría de los registros de acceso, con Caseware IDEA puede generar tableros (dashboards) con los resultados obtenidos, además, puede exportar los resultados a una hoja de cálculo y compartirlo con el equipo.

4.3 Resultados

Al finalizar la auditoría, se espera tener una visión clara de la efectividad de los controles de acceso. Esto incluye identificar posibles brechas de seguridad, áreas de riesgo y recomendaciones para mejorar la gestión de accesos.

4. Servicios

Si desea asesoría para optimizar el uso de Caseware IDEA en sus auditorías, ¡no dude en contactarnos Somos especialistas en diseñar, implementar, operar y mejorar programas de auditoría continua para todo tipo de organizaciones.

5. Bibliografía

• Guía completa para auditar con herramientas de análisis de datos – Caseware IDEA
• ISO/IEC 27001: Sistema de Gestión de Seguridad de la Información, International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC), 2013
• https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor
• https://learn.microsoft.com/es-es/windows/security/threat-protection/auditing/basic-audit-system-events