AUDITORIA INFORMTICA

DE SEGURIDAD

Ing. Juan Carlos Nez Ugalde
UTL
AUDITORIA
INFORMTICA
INTRODUCCION
La seguridad informtica es hoy da
uno de los mayores dolores de cabeza
para las grandes organizaciones. Con
gran cantidad de dlares reportados en
prdidas econmicas, segn algunas
fuentes en Internet, la seguridad
informtica se convierte cada vez ms
en una necesidad irremediable y
urgente para todos.
OBJETIVO DE LA AUDITORIA
DE SEGURIDAD
Tiene como objetivo determinar el nivel de
seguridad de la infraestructura informtica de la
empresa, tomando como vectores de ataque
aquellos que puedan ser iniciados dentro de la
empresa.
En esta auditora se realizan ataques
controlados desde el permetro interno de la
empresa cliente, simulando el comportamiento
de un empleado con fines desleales o de algn
tercero que se encuentre dentro de la empresa y
tenga fines de espionaje corporativo o
maliciosos en general.

Abarca los conceptos de seguridad
fsica y seguridad lgica. La seguridad
fsica se refiere a la proteccin del
hardware y de los soportes de datos,
as como a la de los edificios e
instalaciones que los albergan,
contemplando las situaciones de
incendios, sabotajes, robos, catstrofes
naturales, etc.

ALCANCE DE LA AUDITORIA
INFORMTICA DE SEGURIDAD
TRATA DE VERIFICAR
Los puntos ms dbiles que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad
e integridad de la informacin de un individuo o
empresa.

IDENTIFICACIN DE
AMENAZAS
Para identificar las vulnerabilidades que pueden
afectar a una compaa, debemos responder a la
pregunta Cmo puede ocurrir una amenaza?

Para responder a esta pregunta ponemos como
objetivo la amenaza y definimos las distintas
situaciones por las que puede ocurrir la misma,
evaluando si dentro de la compaa puede darse esa
circunstancia; es decir, si el nivel de proteccin es
suficiente para evitar que se materialice la amenaza.



IDENTIFICACIN DE
AMENAZAS
Por ejemplo, si nuestra Amenaza es que nos roben datos estratgicos de la
compaa podemos establecer, como otros, los siguientes escenarios:



Escenarios Nivel de Proteccin

1. Entrada no autorizada a los datos a
travs del sistema informtico.
Existe un control de acceso a los
datos?

2. Robo de datos de los dispositivos de
almacenamiento magntico.
Estn los dispositivos de
almacenamiento protegidos y
controlados de forma adecuada?

3. Robo de datos mediante accesos no
autorizados.
Existen perfiles adecuados de acceso
a los datos?
TIPOS DE AMENAZAS

Fsicas
Naturales
De Hardware
De Software
De Almacenamiento
De Conexin
Humanas
SEGURIDAD FISICA
La Seguridad fsica se refiere a la proteccin
del Hardware y de los soportes de datos, as
como los edificios e instalaciones que los
albergan. Contempla las situaciones de
incendios, sabotajes, robos, catstrofes
naturales, etc. Igualmente, a este mbito
pertenece la poltica de Seguros.
LA SEGURIDAD FISICA
La seguridad fsica Existen tres tipos de seguridad:
Seguridad lgica.
Seguridad fsica.
Seguridad de las comunicaciones.
La seguridad fsica garantiza la integridad de los activos
humanos, lgicos y materiales Contingencia: es la proximidad
de algn dao como riesgo de fallo local o general en una
relacin con la cronolgica
MEDIDAS
Antes
Obtener y mantener un nivel
adecuado de seguridad fsica
sobre los activos
Durante
Ejecutar un plan de contingencia
adecuado
Despus
Los contratos de seguros pueden
compensar en mayor o menor
medida las prdidas, gastos o
responsabilidades que se puedan
derivar una vez detectado y
corregido el Fallo.

Antes
El nivel adecuado de seguridad fsica , o
grado de seguridad, es un conjunto de
acciones utilizadas para evitar el fallo, o
aminorar las consecuencias.
Es un concepto general , no solo informtico,
en las que las personas hagan uso particular
o profesional de los entornos fsicos.
Antes
Ubicacin del edificio
Ubicacin del CPD
Compartimentacin
Elementos de construccin
Potencia elctrica
Sistemas contra incendios
Control de accesos
Seleccin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de los medios

Durante
Desastre: es cualquier evento ,
que cuando ocurre, tiene la
capacidad de interrumpir e
normal proceso de una
empresa.
Se debe contar con los medios
para afrontarlo cuando ste
ocurra.
Los medios quedan definidos en
el Plan de recuperacin de
desastres, junto con el centro
alternativo de proceso de datos,
constituyen el Plan de
Contingencia.
Durante
Plan de contingencia inexcusablemente
debe:
Realizar un anlisis de riesgos de sistemas
crticos
Establecer un perodo crtico de recuperacin
Realizar un anlisis de las aplicaciones crticas
estableciendo prioridades de proceso.
Establecer prioridades de procesos por das del
ao de las aplicaciones y orden de los procesos
Establecer objetivos de recuperacin que
determinen el perodo de tiempo (horas, das ,
semanas) entre la declaracin del desastre y el
momento en que el centro alternativo puede
procesar las aplicaciones crticas.
Durante
Designar , entre los distintos tipos existentes, un
centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones
Asegurar la capacidad de los servicios de Back-
up
Despus
De la gama de seguros pueden darse:
Centro de proceso y equipamiento
Reconstruccin de medios de software
Gastos extra ( continuidad de las operaciones y
permite compensar la ejecucin del plan de
contingencia)
Interrupcin del negocio ( cubre prdidas de
beneficios netos causados por la caida de sistemas)
Documentos y registros valiosos
Areas de la seguridad fsica
Edificio :
Debe encargarse a peritos especializados
Las reas en que el auditor chequea
directamente :
Organigrama de la empresa
Dependencias orgnicas, funcionales y jerraquicas.
Separacin de funciones y rotacin del personal
Da la primera y ms amplia visin del Centro de
Proceso
Auditora Interna
Personal, planes de auditoria, historia de auditorias
fsicas
Areas de la seguridad fsica
Administracin de la seguridad
Director o responsable de la seguridad integral
Responsable de la seguridad informtica
Administradores de redes
Administradores de Base de datos
Responsables de la seguridad activa y pasiva del
entorno fsico
Normas, procedimientos y planes existentes
Centro de proceso de datos e instalaciones
Entorno en donde se encuentra el CPD
Sala de Host
Sala de operadores
Sala de impresoras
Cmara acorazada
Oficinas
Almacenes
Instalaciones elctricas
Aire acondicionado

reas de la seguridad fsica
Equipos y comunicaciones
Host, terminales, computadores
personales, equipos de
almacenamiento masivo de datos,
impresoras, medios y sistemas de
telecomunicaciones.
Seguridad fsica del personal
Accesos seguros
Salidas seguras
Medios y rutas de evacuacin,
extincin de incendios, sistemas de
bloqueos de puertas y ventanas
Normas y polticas emitidas y
distribuidas al personal referente al
uso de las instalaciones por el
personal
Fuentes de la auditora Fsica
Debieran estar accesibles:
Polticas , normas y planes de
seguridad
Auditoras anteriores, generales o
parciales
Contratos de seguros, de
proveedores y de mantenimiento
Actas e informes de tcnicos y
consultores
Informes de accesos y visitas
Informes sobre pruebas de
evacuacin
Polticas del personal
Inventarios de soportes ( cintoteca ,
back-up, procedimientos de archivos,
controles de salida y recuperacin de
soporte, control de copias, etc.)
Normas ISO
es un conjunto de normas sobre calidad y
gestin continua de calidad, establecidas por
la Organizacin Internacional de
Normalizacin (ISO). Se pueden aplicar en
cualquier tipo de organizacin o actividad
orientada a la produccin de bienes o
servicios. Las normas recogen tanto el
contenido mnimo como las guas y
herramientas especficas de implantacin,
como los mtodos de auditora.
Su implantacin, aunque supone un duro
trabajo, ofrece numerosas ventajas para
las empresas, entre las que se cuentan
con:

Estandarizar las actividades del personal
que trabaja dentro de la organizacin
por medio de la documentacin
Incrementar la satisfaccin del cliente
Medir y monitorizar el desempeo de los
procesos
Disminuir re-procesos
Incrementar la eficacia y/o eficiencia de
la organizacin en el logro de sus
objetivos
Mejorar continuamente en los procesos,
productos, eficacia, etc.
Reducir las incidencias de produccin o
prestacin de servicios

Tcnicas del auditor
Tcnicas:
Observacin de las instalaciones, sistemas,
cumplimiento de normas y procedimientos, etc.
( tanto de espectador como actor)
Revisin analtica de:
Documentacin sobre construccin y
preinstalaciones
Documentacin sobre seguridad fsica
Polticas y normas de actividad de sala
Normas y procedimientos sobre seguridad fsica
de los datos
Contratos de seguros y de mantenimiento
Entrevistas con directivos y personal fijo o
temporal ( no es interrogatorio)
Consultas a tcnicos y peritos que formen
parte de la plantilla o independientes
Cuaderno de campo/ grabadora de audio
Mquina fotogrfica / cmara de video
Su uso debe ser discreto y con autorizacin
Herramientas:
Fases de la auditora fsica
Fase 1 Alcance de la
Auditora
Fase 2 Adquisicin de
Informacin general
Fase 3 Administracin y
Planificacin
Fase 4 Plan de auditora
Fase 5 Resultados de las
Pruebas
Fase 6 Conclusiones y
Comentarios





Fase 7 Borrador del Informe
Fase 8 Discusin con los Responsables de
rea
Fase 9 Informe Final
Informe anexo al informe carpeta de evidencias
Fase 10 Seguimiento de las modificaciones
acordadas

SEGURIDAD LOGICA
La seguridad lgica se refiere a la
seguridad de uso del software, a la
proteccin de los datos, procesos y
programas, as como la del ordenado
y autorizado acceso de los usuarios a
la informacin.