Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN
Para muchos la seguridad sigue siendo el rea principal a auditoria, hasta el punto de que algunas identidades se crearon inicialmente la funcin de auditoria informtica para revisar la seguridad, aunque despus se hayan ido ampliados los objetivos. La nueva denominacin abarca globalmente los sistemas de informacin: desde la aplicacin, el alimento con la estrategia de las entidades, hasta los sistemas de informacin y el aprovechamiento de la tecnologa de la informacin. La expresin de seguridad informtica, que es la ms usada, puede llegar a relacionarse solo con los equipos y entornos tcnicos, como si la informacin en otros soportes y ambiente no requiera proteccin, cuando son las propias operaciones de la entidad, el negocio de la entidades con nimo de lucro, lo que requiere proteccin. Si no existen medidas y adecuada proteccin se puede perder informacin vital, o por lo menos no estar disponibles en el momento requerido, las decisiones se tomadas pueden ser errneas, o se pueden incumplir contratos a la propia legislacin, lo que puede traducirse en grandes multas o infracciones graves, o a lo que es an peor: la inmovilizacin de ficheros previstos. Debe de evaluarse en la auditoria si los modelos de seguridad estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. Los auditores somos en cierto modo los ojos y odos de la direccin que a menudo no puede, o no debe, como realizar las verificaciones o evaluaciones, el sistema de control interno ha de basarse en las polticas y se implementan con apoyo de herramientas, si bien encontramos a menudo en la auditoria que lo que existe es ms bien implementacin parcial de controles de acceso lgico a travs de paquetes o sistemas basados en el criterio de los tcnicos, pero no sus tentada con normativa, o bien habiendo partido estas de los propios tcnicos. Finalmente queremos indicar que siempre es muy importante la seguridad de todo el equipo informtico, sea o no una auditoria.
Lo que hemos denominado controles directivos, es decir los fundamentos de seguridad: polticas, planes, funcionesetc. El desarrollo de las polticas. Amenazas fsicas externas. Control de accesos adecuados tanto fsicos como los denominados lgicos. Proteccin de datos lo que fije la LORTAD y su reglamento. Comunicaciones y redes: topologas y tipos de comunicaciones, proteccin antivirus. El entorno de produccin, entendido como tal explotacin ms tcnica de sistemas y con especial nfasis en los cumplimientos de contratos. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que estos resulten auditables.
No se tratan de ares no relacionadas, sino que todas tienen puntos de en laces y por partes comunes: comunicacin control de accesos, cifrados con comunicaciones y soportes, datos con soportes y con comunicaciones, explotacin con varias de ellas, y as en otros casos.
EVALUACION DE RIESGOS
Retrata de identificar los riesgos, cuantificar su probabilidad de impacto, y analizar medidas que eliminen lo que generalmente no es posible o que disminuya la probabilidad de que o curran los hechos o que mitiguen el impacto. Para evaluar riesgos hay que considerar, entre otros factores, el tipo de informacin almacenada procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de entidad, la entidad misma y el momento. Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de proteccin se podr romper con mayor probabilidad por los eslabones ms dbiles que sern los que preferentemente intentaran usar de forma no autorizada. La proteccin no ha de basarse solo en dispositivos y medios fsicos, sino en informacin he informacin adecuada del persona, empezando por la mentalizacin de los directivos para que, en cascada afecte a todos los niveles de la pirmide organizativa. El factor humano es el principal a considerar, salvo en algunas situaciones de proteccin fsicas muy automatizadas, ya que es muy crtico: si las personas no quieren colaborar de poco sirven los medios y dispositivos aunque sean caro y sofisticados. Es necesario una separacin de funciones: es muy peligroso que una misma persona realice una transaccin, la autorice, y revise despus los resultados, porque esta persona podra planificar un fraude o cubrir cualquier anomala. EN UN PROCESO DE AUDITORIA
Se evaluara todos estos aspectos y otros, por ejemplo si la seguridad es realmente una preocupacin corporativa no es suficiente que exista presupuestos para ello, es necesario una cultura de seguridad y as haya un comit que fije y apruebe los objetivos correspondiente y en medida se alcanzan, que modelo de seguridad quieren implementar. Si la entidad auditada est en medio de un proceso de implementacin de la seguridad, la evaluacin se centrara en los objetivos, los planes, que proyectos hay en cursos y los medios usados o previstos. La evaluacin de riesgos puede ser global: todos los sistemas de informacin centro y plataformas, que puede equivaler a un chequeo mdico en general de un individuo y que es habitual la primera vez que se realiza, a menudo en la auditoria externa se trata de saber si la entidad, a travs de funciones como administracin de la seguridad o auditoria interna u otras si no existieran las anteriores. Al hablar de seguridad siempre se habla de sus tres dimensiones clsicas y son las siguientes: La Confidencialidad: se cumple cuando solo las personas autorizadas pueden conocer los datos o la informacin correspondientes. La Integridad: consiste en que solo el usuario autorizados pueden variar los datos. Deben quedar pistas para control posterior y para auditoria. La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la informacin a la que estn autorizadas.
Concrecin de los objetivos y de limitacin del alcance y profundidad de la auditoria, as como el periodo cubierto en su caso. Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos en casos necesarios, as como en la comunicacin en la entidad. Adaptacin de cuestionarios, y a veces consideracin de herramientas o perfiles de especialistas necesarios, sobretodo en la auditoria externa. Realizacin de entrevistas y pruebas. Anlisis de resultados y valoracin de riesgos. Presentacin y discusiones del informe provisional. Informe definitivo.
AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.
Control para no asignar las x ultimas. Numero de intentos que se permiten al usuario. Controles existentes para evitar y detectar caballos de Troya.
AUDITORIA DE APLICACIONES
LA
SEGURIDAD
EL
DESARROLLO
DE
Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia del desarrollo a abordar, incluso autorizados por un comit si los costes o los riesgos superan unos umbrales.
REVISION DE PROGRAMAS
Por parte de tcnicos independientes, o bien por auditores, preparados, a fin de determinar la ausencia de caballos de Troya, bombas lgicas y similares adems de la calidad.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por empleados, o bien ser captado por otra forma, y debe revisarse como se verifican los errores. Proceso de los datos: controles de validacin, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: controles en transmisiones, en impresin, en distribucin. Retencin de la informacin y proteccin en funciona de su clasificacin: destruccin de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien des magnetizacin. Designacin de propietarios: clasificacin de los datos, restriccin de su uso para pruebas, inclusin de muescas para poder detectar usos no autorizados. Clasificacin de los datos e informacin: debe revisarse quien la ha realizado y segn qu criterios y estndares; no suele ser prctico que haya ms de cuatro o cinco niveles. Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces en plataformas heterogneas, con niveles y caractersticas de seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captacin y exportacin de datos que pueden perder sus protecciones al pasar de una plataforma a otra.
Tipos de redes y conexiones Tipos de transacciones. Tipos de terminales y protecciones: fsicas, lgicas, llamadas de retorno. Transferencia de ficheros y controles existentes. Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y en caminadores (routers).
Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos(firewall), y no solo en relacin con la seguridad sino por acceso no
justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad. Correo electrnico: tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares. Proteccin de programas: y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso. Control sobre las pginas Web: quien puede modificarlo y desde donde, finalmente preocupan tambin los riesgos que pueden existir en el comercio electrnico.
Un punto fundamental en la revisin es la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas tanto fsicas como de proteccin en cuanto a accesos; entre dichos recursos estarn: bases de datos y ficheros, programas (mejor si existen tambin en versin fuente), JCL (Job Control lenguaje) o el equivalente en cada sistema, la documentacin necesaria, formularios crticos y consumibles o garantas de que se serviran a tiempo, documentacin, manuales tcnicos, direcciones y telfonos, los recursos de comunicaciones necesarios; datos y voz cualesquiera otros requeridos para funcionar con garantas. Otros aspectos que hemos encontrado como debilidades a veces debilidades a veces son: que exista copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar determinado software en un equipo alternativo, con identificacin especifica diferente de la del equipo que es el inicialmente autorizado; y que se tenga copia accesible del contrato, tanto para demostrar algo al proveedor como para verificar los trminos pactados. Es necesario en la auditoria conocer las caractersticas del centro o sistema alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de almacenamiento del sistema alternativo son suficientes, as como las medidas de proteccin. Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que se trata de una contingencia y de qu tipo.
CONCLUSIONES.
Aunque las implantaciones de la seguridad van siendo ms sofisticados y llegando a reas o aspectos casi desconocidos hace aos, esto no implica que estn plenamente resueltos lo ms bsicos: encontramos bastantes deficiencias en controles fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden encontrar. La auditora en sistemas de informacin no est suficientemente implantada en la mayora de las entidades espaolas, si bien supondra una mayor garanta de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos. Como funcin aporta al auditor un conocimiento privilegiado del rea de Sistemas de Informacin con una perspectiva muy amplia. La forma de realizar el trabajo va variando y se est llegando a aplicar el control por excepcin y la tele auditora. En cuanto a nuevas reas, surge el auge del comercio electrnico, el control de pginas WEB: la revisin de quien autoriza, vara y controla los contenidos: en las entidades por seguridad y productividad, y en los hogares, aunque esto se sale de la auditoria y queda en el control para evitar que los menores accedan a contenidos con violencia o pornografa.