AUDITORIA DE LA SEGURIDAD.

INTRODUCCIN
Para muchos la seguridad sigue siendo el rea principal a auditoria, hasta el punto de que algunas identidades se crearon inicialmente la funcin de auditoria informtica para revisar la seguridad, aunque despus se hayan ido ampliados los objetivos. La nueva denominacin abarca globalmente los sistemas de informacin: desde la aplicacin, el alimento con la estrategia de las entidades, hasta los sistemas de informacin y el aprovechamiento de la tecnologa de la informacin. La expresin de seguridad informtica, que es la ms usada, puede llegar a relacionarse solo con los equipos y entornos tcnicos, como si la informacin en otros soportes y ambiente no requiera proteccin, cuando son las propias operaciones de la entidad, el negocio de la entidades con nimo de lucro, lo que requiere proteccin. Si no existen medidas y adecuada proteccin se puede perder informacin vital, o por lo menos no estar disponibles en el momento requerido, las decisiones se tomadas pueden ser errneas, o se pueden incumplir contratos a la propia legislacin, lo que puede traducirse en grandes multas o infracciones graves, o a lo que es an peor: la inmovilizacin de ficheros previstos. Debe de evaluarse en la auditoria si los modelos de seguridad estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. Los auditores somos en cierto modo los ojos y odos de la direccin que a menudo no puede, o no debe, como realizar las verificaciones o evaluaciones, el sistema de control interno ha de basarse en las polticas y se implementan con apoyo de herramientas, si bien encontramos a menudo en la auditoria que lo que existe es ms bien implementacin parcial de controles de acceso lgico a travs de paquetes o sistemas basados en el criterio de los tcnicos, pero no sus tentada con normativa, o bien habiendo partido estas de los propios tcnicos. Finalmente queremos indicar que siempre es muy importante la seguridad de todo el equipo informtico, sea o no una auditoria.

REAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD

Se incluyen las que con carcter general pueden formar partes de los objetivos de una revisin de la seguridad, si bien esta puede abarcar solo partes de ella si as se ha determinado ante mano. En una auditoria de otros aspectos y por tantos en otros captulos de esta misma obra pueden seguir revisiones solapadas con la seguridad; as, a la hora de revisar las operaciones de desarrollo, normalmente se ver si se realizan en un entorno seguro y protegido y lo mismo a la hora de revisar la exploracin, o el rea tcnica de sistemas, la informtica de usuario final, las bases de datos y en general cualquier rea. Las reas generales citadas, algunas de las cuales se aplican despus son:

Ing.: FREDY SOTA ESCOBAR

Lo que hemos denominado controles directivos, es decir los fundamentos de seguridad: polticas, planes, funcionesetc. El desarrollo de las polticas. Amenazas fsicas externas. Control de accesos adecuados tanto fsicos como los denominados lgicos. Proteccin de datos lo que fije la LORTAD y su reglamento. Comunicaciones y redes: topologas y tipos de comunicaciones, proteccin antivirus. El entorno de produccin, entendido como tal explotacin ms tcnica de sistemas y con especial nfasis en los cumplimientos de contratos. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que estos resulten auditables.

No se tratan de ares no relacionadas, sino que todas tienen puntos de en laces y por partes comunes: comunicacin control de accesos, cifrados con comunicaciones y soportes, datos con soportes y con comunicaciones, explotacin con varias de ellas, y as en otros casos.

EVALUACION DE RIESGOS
Retrata de identificar los riesgos, cuantificar su probabilidad de impacto, y analizar medidas que eliminen lo que generalmente no es posible o que disminuya la probabilidad de que o curran los hechos o que mitiguen el impacto. Para evaluar riesgos hay que considerar, entre otros factores, el tipo de informacin almacenada procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de entidad, la entidad misma y el momento. Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de proteccin se podr romper con mayor probabilidad por los eslabones ms dbiles que sern los que preferentemente intentaran usar de forma no autorizada. La proteccin no ha de basarse solo en dispositivos y medios fsicos, sino en informacin he informacin adecuada del persona, empezando por la mentalizacin de los directivos para que, en cascada afecte a todos los niveles de la pirmide organizativa. El factor humano es el principal a considerar, salvo en algunas situaciones de proteccin fsicas muy automatizadas, ya que es muy crtico: si las personas no quieren colaborar de poco sirven los medios y dispositivos aunque sean caro y sofisticados. Es necesario una separacin de funciones: es muy peligroso que una misma persona realice una transaccin, la autorice, y revise despus los resultados, porque esta persona podra planificar un fraude o cubrir cualquier anomala. EN UN PROCESO DE AUDITORIA

Ing.: FREDY SOTA ESCOBAR

Se evaluara todos estos aspectos y otros, por ejemplo si la seguridad es realmente una preocupacin corporativa no es suficiente que exista presupuestos para ello, es necesario una cultura de seguridad y as haya un comit que fije y apruebe los objetivos correspondiente y en medida se alcanzan, que modelo de seguridad quieren implementar. Si la entidad auditada est en medio de un proceso de implementacin de la seguridad, la evaluacin se centrara en los objetivos, los planes, que proyectos hay en cursos y los medios usados o previstos. La evaluacin de riesgos puede ser global: todos los sistemas de informacin centro y plataformas, que puede equivaler a un chequeo mdico en general de un individuo y que es habitual la primera vez que se realiza, a menudo en la auditoria externa se trata de saber si la entidad, a travs de funciones como administracin de la seguridad o auditoria interna u otras si no existieran las anteriores. Al hablar de seguridad siempre se habla de sus tres dimensiones clsicas y son las siguientes: La Confidencialidad: se cumple cuando solo las personas autorizadas pueden conocer los datos o la informacin correspondientes. La Integridad: consiste en que solo el usuario autorizados pueden variar los datos. Deben quedar pistas para control posterior y para auditoria. La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la informacin a la que estn autorizadas.

FASES DE LA AUDITORIA DE SEGURIDAD

Con carcter general pueden ser:

Concrecin de los objetivos y de limitacin del alcance y profundidad de la auditoria, as como el periodo cubierto en su caso. Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos en casos necesarios, as como en la comunicacin en la entidad. Adaptacin de cuestionarios, y a veces consideracin de herramientas o perfiles de especialistas necesarios, sobretodo en la auditoria externa. Realizacin de entrevistas y pruebas. Anlisis de resultados y valoracin de riesgos. Presentacin y discusiones del informe provisional. Informe definitivo.

Ing.: FREDY SOTA ESCOBAR

AUDITORIA DE LA SEGURIDAD FSICA

Se evaluaran las protecciones fsicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habr que considerar a las personas, que estn protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as como que no estn expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.

AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.

PROTECCIONES FSICAS ALGUNOS ASPECTOS A CONSIDERAR:

Ubicacin del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger. Estructura, diseo, construccin y distribucin de los edificios y de sus platas. Riesgos a los accesos fsicos no controlados. Amenaza de fuego, problemas en el suministro elctrico. Evitar sustituciones o sustraccin documentacin u otros activos. de quipos, componentes, soportes magnticos,

AUDITORIA DE LA SEGURIDAD LOGICA

Es necesario verificar que cada usuario solo pude acceder a los recursos que se le autorice el propietario, aunque sea de forma genrica, segn su funcin, y con las posibilidades que el propietario haya fijado: lectura, modificacin, borrado, ejecucin, traslado a los sistemas lo que representaramos en una matriz de accesos. En cuanto a autenticacin, hasta tanto no se abaraten ms y generalicen los sistemas basados en la biomtrica, el mtodo ms usado es la contrasea, Cuyas caractersticas sern acordes con las normas y estndares de la entidad, que podran contemplar diferencias para segn qu sistemas en funcin de la criticidad de los recursos accedidos. Aspectos a evaluar respecto a las contraseas pueden ser: Quien asigna la contrasea inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo.

Ing.: FREDY SOTA ESCOBAR

Control para no asignar las x ultimas. Numero de intentos que se permiten al usuario. Controles existentes para evitar y detectar caballos de Troya.

AUDITORIA DE APLICACIONES

LA

SEGURIDAD

EL

DESARROLLO

DE

Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia del desarrollo a abordar, incluso autorizados por un comit si los costes o los riesgos superan unos umbrales.

REVISION DE PROGRAMAS
Por parte de tcnicos independientes, o bien por auditores, preparados, a fin de determinar la ausencia de caballos de Troya, bombas lgicas y similares adems de la calidad.

PROTECCION DE LOS PROGRAMAS

A menos desde dos perspectivas, de los programas que sean propiedad de la entidad, realizados por el personal propio o contratado de su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso.

AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION

Las entidades han de cuidar especialmente las medidas de proteccin en el caso de contratacin de servicios: desde el posible marcado de datos, proceso, impresin de etiquetas, distribucin, acciones comerciales, gestin de cobros, hasta el outsourcing ms completo, sin descartar que en el contrato se provea la revisin por los auditores, internos o externos, de las instalaciones de la entidad que provee el servicio. Tambin debe realizarse la proteccin de utilidades o programas especialmente peligrosos, as como el control de generacin y cambios posteriores de todo el software de sistemas, y de forma especial el de control de accesos.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS

La proteccin de los datos puede tener varios enfoques respecto a las caractersticas citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos crticos en cuanto a su confidencialidad, como datos mdicos u otros especialmente sensibles para la LORTAD(sobre religin, sexo, raza) otros datos cuya criticidad viene dada por la disponibilidad: si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves y, en los casos ms extremos poner en peligro la comunidad de la entidad y finalmente otros datos crticos atendiendo a su integridad, especialmente cuando su perdida no puede detectarse fcilmente o una vez detectada no es fcil reconstruirlos.

Ing.: FREDY SOTA ESCOBAR

Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por empleados, o bien ser captado por otra forma, y debe revisarse como se verifican los errores. Proceso de los datos: controles de validacin, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: controles en transmisiones, en impresin, en distribucin. Retencin de la informacin y proteccin en funciona de su clasificacin: destruccin de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien des magnetizacin. Designacin de propietarios: clasificacin de los datos, restriccin de su uso para pruebas, inclusin de muescas para poder detectar usos no autorizados. Clasificacin de los datos e informacin: debe revisarse quien la ha realizado y segn qu criterios y estndares; no suele ser prctico que haya ms de cuatro o cinco niveles. Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces en plataformas heterogneas, con niveles y caractersticas de seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captacin y exportacin de datos que pueden perder sus protecciones al pasar de una plataforma a otra.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

En las polticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si all se ha especificado y ms bien para comunicaciones con voz. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y solo podrn variar las configuraciones y componentes los tcnicos autorizados. Se revisaran especialmente las redes cuando existan repercusiones econmicas por que se trate de transferencia de fondos o comercio electrnico. Puntos a revisar:

Tipos de redes y conexiones Tipos de transacciones. Tipos de terminales y protecciones: fsicas, lgicas, llamadas de retorno. Transferencia de ficheros y controles existentes. Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y en caminadores (routers).

Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos(firewall), y no solo en relacin con la seguridad sino por acceso no

Ing.: FREDY SOTA ESCOBAR

justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad. Correo electrnico: tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares. Proteccin de programas: y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso. Control sobre las pginas Web: quien puede modificarlo y desde donde, finalmente preocupan tambin los riesgos que pueden existir en el comercio electrnico.

AUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONES.

Es uno de los puntos que nunca se deberan pasar por alto en una auditoria de seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo ttulo sea plan de contingencia o denominacin similar, sino que es imprescindible conocer si funcionaria con las garantas necesarias y cubrir los requerimientos en un tiempo inferior al fijado y con una duracin suficiente. En una auditoria de seguridad, las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo ttulo sea plan de contingencia o denominacin similar, sino que es imprescindible conocer si funcionaria con las garantas necesarias y cubrira los requerimientos en un tiempo inferior al fijado y con una duracin suficiente.

PLAN DE CONTINGENCIA O PLAN DE CONTINUIDAD

Frente a otras denominaciones que en principio descartamos como Recuperacin de Desastres o Plan de Desastres (si nos parece adecuado Plan de Recuperacin ante desastres, pero las incidencias a prever son tambin de otros niveles). En la auditoria es necesario revisar si existe tal plan, completo y actualizado, si cubre los diferentes procesos, reas y plataformas, si existen planes diferentes segn entornos, evaluar en todo caso su idoneidad, los resultados de las pruebas que se hayan realizado, y si permiten garantizar razonablemente que en caso necesario y a travs de los medios alternativos, propios o contratados, podra permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a veces son tambin los propietarios de las mismas pero podran no serlo. Si las revisiones no nos aportan garantas suficientes debemos sugerir pruebas complementarias o hacerlo constar en el informe, incluso indicarlo en el apartado de limitaciones. Es necesario verificar que la solucin adoptada es adecuada; centro propio, ajeno compartido o no..y que existe el oportuno contrato si hay participacin de otras entidades aunque sean del mismo grupo o sector. NO est de ms revisar si en el caso de una incidencia que afectara a varias entidades geogrficamente prximas la solucin prevista dara el servicio previsto a la auditada.

Ing.: FREDY SOTA ESCOBAR

Un punto fundamental en la revisin es la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas tanto fsicas como de proteccin en cuanto a accesos; entre dichos recursos estarn: bases de datos y ficheros, programas (mejor si existen tambin en versin fuente), JCL (Job Control lenguaje) o el equivalente en cada sistema, la documentacin necesaria, formularios crticos y consumibles o garantas de que se serviran a tiempo, documentacin, manuales tcnicos, direcciones y telfonos, los recursos de comunicaciones necesarios; datos y voz cualesquiera otros requeridos para funcionar con garantas. Otros aspectos que hemos encontrado como debilidades a veces debilidades a veces son: que exista copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar determinado software en un equipo alternativo, con identificacin especifica diferente de la del equipo que es el inicialmente autorizado; y que se tenga copia accesible del contrato, tanto para demostrar algo al proveedor como para verificar los trminos pactados. Es necesario en la auditoria conocer las caractersticas del centro o sistema alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de almacenamiento del sistema alternativo son suficientes, as como las medidas de proteccin. Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que se trata de una contingencia y de qu tipo.

CONCLUSIONES.
Aunque las implantaciones de la seguridad van siendo ms sofisticados y llegando a reas o aspectos casi desconocidos hace aos, esto no implica que estn plenamente resueltos lo ms bsicos: encontramos bastantes deficiencias en controles fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden encontrar. La auditora en sistemas de informacin no est suficientemente implantada en la mayora de las entidades espaolas, si bien supondra una mayor garanta de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos. Como funcin aporta al auditor un conocimiento privilegiado del rea de Sistemas de Informacin con una perspectiva muy amplia. La forma de realizar el trabajo va variando y se est llegando a aplicar el control por excepcin y la tele auditora. En cuanto a nuevas reas, surge el auge del comercio electrnico, el control de pginas WEB: la revisin de quien autoriza, vara y controla los contenidos: en las entidades por seguridad y productividad, y en los hogares, aunque esto se sale de la auditoria y queda en el control para evitar que los menores accedan a contenidos con violencia o pornografa.

Ing.: FREDY SOTA ESCOBAR

Ing.: FREDY SOTA ESCOBAR