Ingeniero en Informática
Seguridad de la información
INDICE
17.1.- AUDITORIA DE LA SEGURIDAD.
17.2.- AREAS QUE PUEDE CUBRIR LA AUDITORIA DE LA SEGURIDAD
17.3.- EVALUACION DE RIESGOS.
17.4.- FASES DE LA AUDITORIA DE SEGURIDAD
17.5.- AUDITORIA DE LA SEGURIDAD FÍSICA.
17.6.- AUDITORIA DE LA SEGURIDAD LOGICA.
17.7.- AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES.
17.8.- AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION.
17.9.- AUDITORIA DE LA SEGURIDAD DE LOS DATOS.
17.10.- AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES.
17.11.- AUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONES.
17.12.- FUENTES DE LA AUDITORIA.
17.13.- EL PERFIL DEL AUDITOR.
17.14.- TECNICAS, METODOS Y HERRAMIENTAS
17.15.- CONSIDERACIONES RESPECTO AL INFORME.
17.16.- CONTRATACION DE AUDITORIA EXTERNA
17.17.- RELACION DE AUDITORIA CON ADMINISTRACION DE SEGURIDAD.
17.18.- CONCLUSIONES.
17.1 AUDITORIA DE LA SEGURIDAD INFORMÁTICA
Introducción
Para muchos la seguridad sigue siendo el área principal a auditoria, hasta el punto de que algunas identidades se creo inicialmente la función de auditoria informática para revisar la seguridad, aunque después se hayan ido ampliado los objetivos.
La nueva denominación abarca globalmente los sistemas de información: desde la aplicación, el alimento con la estrategia de las entidades, hasta los sistemas de información y el aprovechamiento de la tecnología de la información.
La expresión de seguridad informática, que es la mas usada, puede llegar a relacionarse solo con los equipos y entornos técnicos, como si la información en otros soportes y ambiente no requiera protección, cuando son las propias operaciones de la entidad, el negocio de la entidades con animo de lucro, lo que requiere protección.
Sino existen medidas y adecuada protección se puede perder información vital, o por lo menos no estar disponibles en el momento requerido, las decisiones se tomadas pueden ser erróneas, o se pueden incumplir contratos ala propia legislación, lo que puede traducirse en grandes multas o infracciones graves, o alo que es aun peor: la inmovilización de ficheros previstos.
Debe de evaluarse en la auditoria si los modelos de seguridad están en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones.
Los auditores somos en cierto modo los “ojos y oídos de la dirección” que a menudo no puede, o no debe, como realizar las verificaciones o evaluaciones, el sistema de control interno ha de basarse en las políticas y se implementan con apoyo de herramientas, si bien encontramos a menudo en la auditoria que lo que existe es mas bien implementación parcial de controles de acceso lógico a través de paquetes o sistemas basados en el criterio de los técnicos, pero no sus tentada con normativa, o bien habiendo partido estas de los propios técnicos.
Finalmente queremos indicar que siempre es muy importante la seguridad de todo el equipo informático, sea o no una auditoria….
17.2 ÁREAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD
Se incluyen las que con carácter general pueden formar partes de los objetivos de una revisión de la seguridad, si bien esta puede abarcar solo partes de ella si así se ha determinado ante mano.
En una auditoria de otros aspectos- y por tantos en otros capítulos de esta misma obra- pueden seguir revisiones solapadas con la seguridad; así, ala hora de revisar las operaciones de desarrollo, normalmente se vera si se realizan en un entorno seguro y protegido y lo mismo ala hora de revisar la exploración, o el área técnica de sistemas, la informática de usuario final, las bases de datos… y en general cualquier área.
Las áreas generales citadas, algunas de las cuales se aplican des pues son:
-
Lo que hemos denominado controles directivos, es decir los fundamentos de seguridad: políticas, planes, funciones…etc.
-
El desarrollo de las políticas.
-
Amenazas físicas externas.
-
Control de accesos adecuados tanto físicos como los denominados lógicos.
-
Protección de datos lo que fije la LORTAD y su reglamento.
-
Comunicaciones y redes: topologías y tipos de comunicaciones, protección antivirus.
-
El entorno de producción, entendido como tal explotación mas técnica de sistemas y con especial énfasis en el cumplimientos de contratos.
-
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que estos resulten auditables.
No se tratan de ares no relacionadas, sino que todas tienen puntos de en laces y por partes comunes: comunicación control de accesos, cifrados con comunicaciones y soportes, datos con soportes y con comunicaciones, explotación con varias de ellas, y así en otros casos.
17.3 EVALUACION DE DE RIESGOS
Retrata de identificar los riesgos, cuantificar su probabilidad de impacto, y analizar medidas que eliminen lo que generalmente no es posible o que desminuya la probabilidad de que o curran los hechos o que mitiguen el impacto.
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de información almacenada procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, el marco legal aplicable, el sector de entidad, la entidad misma y el momento.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de protección se podrá romper con mayor probabilidad por los eslabones mas débiles que serán los que preferentemente intentaran usar de forma no autorizada.
La protección no ha de basarse solo en dispositivos y medios físicos, sino en información he información adecuada del persona, empezando por la mentalización de los directivos para que, en cascada afecte a todos los niveles de la pirámide organizativa.
El factor humano es el principal a considerar, salvo en algunas situaciones de protección físicas muy automatizadas, ya que es muy critico: si las personas no quieren colaborar de poco sirven los medios y dispositivos aunque sean caro y sofisticados.
Es necesario una separación de funciones: es muy peligroso que una misma persona realice una transacción, la autorice, y revise después los resultados, por que esta persona podría planificar un fraude o cubrir cualquier anomalía.
En un proceso de auditoria
Se evaluara todos estos aspectos y otros, por ejemplo si la seguridad es realmente una preocupación corporativa no es suficiente que exista presupuestos para ello, es necesario una cultura de seguridad y así haya un comité que fije y apruebe los objetivos correspondiente y en medida se alcanzan, que modelo de seguridad quieren implementar.
Si la entidad auditada esta en medio de un proceso de implementación de la seguridad, la evaluación se centrara en los objetivos, los planes, que proyectos hay en cursos y los medios usados o previstos.
La evaluación de riesgos puede ser global: todos los sistemas de información centro y plataformas, que puede equivaler a un chequeo medico en generadle un individuo y que es habitual la primera vez que se realiza, amenud en la auditoria externa se trata de saber si la entidad, atraves de funciones como administración de la seguridad o auditoria interna u otras si no exitieranlas anteriores.
Al hablar de seguridad siempre se habla de sus tres dimensiones clásicas y son las siguientes:
La Confidencialidad: se cumple cuando solo las personas autorizadas pueden conocer los datos o la información correspondientes.
La Integridad: consiste en que solo el usuario autorizados pueden variar los datos. Deben quedar pistas para control posterior y para auditoria.
La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.
17.4. FASES DE LA AUDITORIA DE SEGURIDAD
Con carácter general pueden ser:
-
Concreción de los objetivos y de limitación del alcance y profundidad de la auditoria, así como el periodo cubierto en su caso.
-
Análisis de posibles fuentes y recopilación de información: en el caso de los internos este proceso puede no existir.
-
Determinación del plan de trabajo y de los recursos y plazos en casos necesarios, así como en la comunicación en la entidad.
-
Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobretodo en la auditoria externa.
-
Realización de entrevistas y pruebas.
-
Análisis de resultados y valoración de riesgos.
-
Presentación y discusiones del informe provisional.
-
Informe definitivo.
17.5.- AUDITORIA DE LA SEGURIDAD FÍSICA
Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.
AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.
PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:
ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger.
Estructura, diseño, construcción y distribución de los edificios y de sus platas.
Riesgos a los accesos físicos no controlados.
Amenaza de fuego, problemas en el suministro eléctrico.
Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos, documentación u otros activos.
17.6.- AUDITORIA DE LA SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pude acceder a los recursos que sele autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución, traslado a los sistemas lo que representaríamos en una matriz de accesos.
En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas basados en la biométrica, el método más usado es la contraseña,
Cuyas características serán acordes con las normas y estándares de la entidad, que podrían contemplar diferencias para según que sistemas en función de la criticidad de los recursos accedidos.
Aspectos a evaluar respecto a las contraseñas pueden ser:
Quien asigna la contraseña inicial y sucesivas.
Longitud mínima y composición de caracteres.
Vigencia, incluso puede haberlas de un solo uso o dependientes de una función tiempo.
Control para no asignar las “x” ultimas.
Numero de intentos que se permiten al usuario.
Controles existentes para evitar y detectar caballos de Troya.
17.7.- AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES
Todos los desarrollos deben estar autorizados a distinto nivel según la importancia del desarrollo a abordar, incluso autorizados por un comité si los costes o los riesgos superan unos umbrales.
REVISION DE PROGRAMAS
Por parte de técnicos independientes, o bien por auditores, preparados, a fin de determinar la ausencia de “caballos de Troya”, bombas lógicas y similares además de la calidad.
PROTECCION DE LOS PROGRAMAS
A menos desde dos perspectivas, de los programas que sean propiedad de la entidad, realizados por e personal propio o contratado d e su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso.
17.8.- AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION
Las entidades han de cuidar especialmente las medidas de protección en el caso de contratación de servicios: desde el posible marcado de datos, proceso, impresión de etiquetas, distribución, acciones comerciales, gestión de cobros, hasta el outsourcing mas completo, sin descartar que en el contrato se provea la revisión por los auditores, internos o externos, de las instalaciones de la entidad que provee el servicio.
También debe realizarse la protección de utilidades o programas especialmente peligrosos, así como el control de generación y cambios posteriores de todo el software de sistemas, y de forma especial el de control de accesos.
17.9.- AUDITORIA DE LA SEGURIDAD DE LOS DATOS
La protección de los datos puede tener varios enfoques respecto a las características citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la LORTAD(sobre religión, sexo, raza) otros datos cuya criticidad viene dada por la disponibilidad: si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves y, en los casos mas extremos poner en peligro la comunidad de la entidad y finalmente otros datos críticos atendiendo a su integridad, especialmente cuando su perdida no puede detectarse fácilmente o una vez detectada no es fácil reconstruirlos.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparación, autorización, incorporación al sistema: por el cliente, por empleados, o bien ser captado por otra forma, y debe revisarse como se verifican los errores.
Proceso de los datos: controles de validación, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresión, en distribución.
Retención de la información y protección en funciona de su clasificación: destrucción de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien desmagnetización.
Designación de propietarios: clasificación de los datos, restricción de su uso para pruebas, inclusión de muescas para poder detectar usos no autorizados.
Clasificación de los datos e información: debe revisarse quien la ha realizado y según que criterios y estándares; no suele ser práctico que haya mas de cuatro o cinco niveles.
Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces en plataformas heterogéneas, con niveles y características de seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captación y exportación de datos que pueden perder sus protecciones al pasar de una plataforma a otra.
17.10.- AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES
En las políticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, talvez salvo emergencias concretas si allí se ha especificado y mas bien para comunicaciones con voz.
Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los programas autorizados, y solo podrán variar las configuraciones y componentes los técnicos autorizados.
Se revisaran especialmente las redes cuando existan repercusiones económicas por que se trate de transferencia de fondos o comercio electrónico. Puntos a revisar:
-
Tipos de redes y conexiones
-
Tipos de transacciones.
-
Tipos de terminales y protecciones: físicas, lógicas, llamadas de retorno.
-
Transferencia de ficheros y controles existentes.
-
Consideración especial respecto a las conexiones externas a través de pasarelas (gateway)y encaminadotes(routers).
Internet e Intranet: separación de dominios e implantación de medidas especiales, como normas y cortafuegos(firewall), y no solo en relación con la seguridad sino por acceso no justificados por la función desempeñada, como a paginas de ocio o eróticas, por lo que pueden suponer para la productividad.
Correo electrónico: tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido ala propia función, y no utilizado para fines particulares.
Protección de programas: y tanto la prevención del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso.
Control sobre las paginas Web: quien puede modificarlo y desde donde, finalmente preocupan también los riesgos que pueden existir en el comercio electrónico.
17.11.- AUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONES.
Es uno de los puntos que nunca se deberían pasar por alto en una auditoria de seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo titulo sea plan de contingencia o denominación similar, sino que es imprescindible conocer si funcionaria con las garantías necesarias y cubrirá los requerimientos en un tiempo inferior al fijado y con una duración suficiente.
En una auditoria de seguridad, las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo titulo sea plan de contingencia o denominación similar, sino que es imprescindible conocer si funcionaria con las garantías necesarias y cubriría los requerimientos en un tiempo inferior al fijado y con una duración suficiente.
PLAN DE CONTINGENCIA O PLAN DE CONTINUIDAD
Frente a otras denominaciones que en principio descartamos como Recuperación de Desastres o Plan de Desastres ( si nos parece adecuada Plan de Recuperación ante desastres , pero las incidencias a prever son también de otros niveles).
En la auditoria es necesario revisar si existe tal plan, completo y actualizado, si cubre los diferentes procesos, áreas y plataformas, si existen planes diferentes según entornos, evaluar en todo caso su idoneidad, los resultados de las pruebas que se hayan realizado, y si permiten garantizar razonablemente que en caso necesario y a través de los medios alternativos, propios o contratados, podría permitir la reanudación de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a veces son también los propietarios de las mismas pero podrían no serlo.
Si las revisiones no nos aportan garantías suficientes debemos sugerir pruebas complementarias o hacerlo constar en el informe, incluso indicarlo en el apartado de limitaciones.
Es necesario verificar que la solución adoptada es adecuada; centro propio, ajeno compartido o no…..y que existe el oportuno contrato si hay participación de otras entidades aunque sean del mismo grupo o sector. NO esta de mas revisar si en el caso de una incidencia que afectara a varias entidades geográficamente próximas la solución prevista daría el servicio previsto a la auditada.
Un punto fundamental en la revisión es la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas tanto físicas como de protección en cuanto a accesos; entre dichos recursos estarán: bases de datos y ficheros, programas (mejor si existen también en versión fuente), JCL (Job Control lenguaje) o el equivalente en cada sistema, la documentación necesaria, formularios críticos y consumibles o garantías de que se servirían a tiempo, documentación, manuales técnicos, direcciones y teléfonos, los recursos de comunicaciones necesarios; datos y voz cualesquiera otros requeridos para funcionar con garantías.
Otros aspectos que hemos encontrado como debilidades a veces debilidades a veces son: que exista copia del propio plan fuera de las instalaciones primarias, que esté previsto ejecutar determinado software en un equipo alternativo, con identificación especifica diferente de la del equipo que es el inicialmente autorizado; y que se tenga copia accesible del contrato, tanto para demostrar algo al proveedor como para verificar los términos pactados.
Es necesario en la auditoria conocer las características del centro o sistema alternativo, y debe revisarse si la capacidad de proceso, la de comunicación y la de almacenamiento del sistema alternativo son suficientes, así como las medidas de protección.
Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a que nivel se puede decidir que se trata de una contingencia y de que tipo.
17.12.- FUENTES DE LA AUDITORIA.
Las fuentes estarán relacionadas con los objetivos, y entre ellas pueden estar:
-
Políticas, estándares, normas y procedimientos.
-
Planes de seguridad.
-
Contratos, pólizas de seguros.
-
Organigrama y descripción de funciones.
-
Documentación de aplicaciones.
-
Descripción de dispositivos relacionados con la seguridad.
-
Manuales técnicos de sistemas operativos o de herramientas.
-
Inventarios: de soportes, de aplicaciones.
-
Topologías de redes.
-
Planos de instalaciones.
-
Registros: de problemas, de cambios, de vistas, de accesos lógicos producidos.
-
Entrevistas a diferentes niveles.
-
Ficheros.
-
Programas.
-
La observación no figura en los manuales para la consideramos importante.
-
Actas de reuniones relacionadas.
-
Documentación de planes de continuidad y sus pruebas.
-
Informes de suministradores o consumidores.
17.13.- EL PERFIL DEL AUDITOR.
El perfil que se requiere para llevar a cabo auditorias de sistemas de información no esta regulado, pero es evidente que son necesarias una formación y sobre todo una experiencia acordes con la función, e incluso con las áreas a auditar seguridad física, sistemas operativos concretos, determinamos gestores de bases de datos o plataformas, e incluso lenguajes si hubiera que llegar a revisar programas, además de ser imprescindibles en el perfil otras características o circunstancias comunes, como independencia respecto a los auditados, madurez, capacidad de análisis y de síntesis, e intereses no meramente económico.
En el seno de la citada ISACA existe un certificado relacionado: CISA (Certified Information Systems Auditor).
A la hora de crear la función de auditoria interna de sistemas de información se suele plantear si se forma a auditores ya expertos en otras áreas: auditoria de cuentas normalmente, o si se forma a técnicos del área de informática, o si se contrata a auditores de otra entidad, ya experimentados; cada opción tiene sus ventajas e inconvenientes, entre los que se pueden estar:
-
Los auditores de otras áreas serán expertos en técnicas generales como entrevistas, y en redactar informes, pero desconocerán las particularidades y riesgos de las tecnologías de la información.
-
Los informáticos y expertos en áreas relacionadas, no serán expertos en técnicas generales y en control (salvo que provengan de administración de seguridad), puede ser mas fácil aprendan estos aspectos que enseñar, y especialmente mantener al día a un auditor general respecto a novedades tecnológicas.
-
Quien venga de otra entidad puede no tener ni unos inconvenientes ni otros, e incluso puede conocer el sector, y hay una ventaja mas: no conoce a las personas que tendrá que entrevistar, lo cual es positivo, pero no siempre se quieren incorporar recursos externos.
QUÉ PUEDEN/DEBEN HACER LOS AUDITORES | QUÉ NO DEBEN HACER LOS AUDITORES |
Ser independientes y objetivos. | Actuar en beneficio propio por encima del interés del cliente. |
Recomendar. | Obligar, forzar, amenazar. |
Ser competentes en la materia (seguridad). | Asumir encargos para los que no estén preparados. |
Basar sus informes en verificaciones y evidencias. | Basarlos en suposiciones. |
Verificar que se evalúan periódicamente riesgos o bien evaluarlos. | Revisar la seguridad “día a día” o administrarla (son funciones de otros). |
Conocer perfiles de usuarios. | Realizar gestión perfiles de usuarios. |
Conocer criterios y prácticas sobre contraseñas. | Gestión/asignación contraseñas o conocerlas. |
Verificar que las aplicaciones se desarrollan y mantienen según normas y se incorporan controles. | Realizar funciones de análisis o gestionar proyectos. |
Revisar modificación de programas (seguridad y calidad) y las pruebas realizadas, o bien probarlos. | Codificar programas. |
Verificar que siguen los procedimientos. | Escribir procedimientos. |
Responsabilizarse del contenido de sus informes. | Aceptar presiones de sus jefes o clientes y que el informe no sea veraz. |
Evaluar riesgos e informes. | Garantizar que no se puedan realizar/haber realizado delitos, fraudes o errores. |
Sustentar riesgos e informes. | Enzarzarse en discusiones de diferencias de opiniones. |
Estar al día en cuanto a avances, riesgos, metodologías. | Auditar con técnicas, métodos o recomendaciones obsoletos. |
17.14.- TECNICAS, METODOS Y HERRAMIENTAS
En cada proceso de auditoria se fijan los objetivos, ámbito y profundidad, lo que sirve para la planificación y para la consideración de las fuentes, según los objetivos, así como de las técnicas, métodos y herramientas mas adecuados.
El factor sorpresa puede llegar a ser necesario en las revisiones, según lo que se quiera verificar.
Como métodos y técnicas podemos considerar los cuestionarios, las entrevistas, la observación, los muestreos, las CAAT (Computer Aided Auditing Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la simulación en paralelo con datos reales y programas de auditor o la revisión de programas.
17.15.- CONSIDERACIONES RESPECTO AL INFORME.
En el se harán constar los antecedentes y los objetivos, para que quienes lean el informe puedan verificar que ha habido una comunicaron adecuada, así como que metodología de evaluación de riesgos y estándares se ha utilizado, y una breve descripción de los entornos revisados para que se pueda verificar que se han revisado todas las plataformas y sistemas objeto de la auditoria.
Debe de incluirse un Resumen para la Dirección en términos no técnicos.
Dependiendo de los casos será preferible agrupar aspectos similares; seguridad física, seguridad lógica….o bien clasificar los puntos por centros o redes, especialmente en entidades grandes si existen responsables diferentes: en caso de duda será un punto a comentar previamente con quienes van a recibir el informe, ya que con frecuencia prefieren entregar a cada uno la parte que mas le afecte, así como planificar y controlar área por área o por departamentos la implantación de medidas.
Cada punto que se incluya debe explicarse porque es un incumplimiento o una debilidad, así como alguna recomendación, a veces abarcando varios puntos.
El informe ha de ser necesariamente revisado por los auditados, así como discutido si es necesario antes de emitir el definitivo.
En muchos casos, bien en el propio informe o en otro documento, se recogen las respuestas de los auditados, sobre todo cuando la auditoria es interna.
La entidad decide que acciones tomar a partir del informe, y en el caso de los auditadotes internos estos suelen hacer también un seguimiento de las implantaciones.
Los auditados siempre buscan un informe lo mas benigno posible, mientras que los auditadotes nos proponemos llegar a un informe veraz y útil; estos diferentes puntos de vista a veces crean conflictos en el proceso de auditoria y en la discusión del informe.
En algunos casos los informes se han usado para comparar la seguridad de diferentes delegaciones, sucursales, o empresas de un mismo grupo, o bien filiales de una multinacional, pero si los entornos no son homogéneos las comparaciones pueden no ser muy útiles y llegar a distorsionar.
17.16.- CONTRATACION DE AUDITORIA EXTERNA
Algunas consideraciones pueden ser:
-
La entidad auditora ha de ser independiente de la auditada en el caso de una auditoria externa: si esta ofreciendo otros servicios a la vez, o piensa ofrecerlos en el futuro, o incluso a veces si ha sido proveedora en el pasado, a menudo puede encontrar dificultades internas para entregar un informe veraz y completo.
En ocasiones los propios auditores lo han llegado a comunicar, por ética.
-
Las personas que vayan a realizar un trabajo han de ser independientes y competentes, según el objetivo: sistemas operativos o plataformas concretas, por lo que no esta de mas examinar sus perfiles e incluso mantener alguna entrevista, sin descartar preguntar por sorpresa en una reunión que aspectos revisarían y que técnicas usarían en el entorno que se les describa.
-
No es tan común pedir referencias de otros trabajos similares como en el caso de consultoría pero se puede hacer, aunque para ello los auditores debieran pedir permiso previo a sus clientes.
-
La auditoria ha de encargarse a un nivel suficiente, normalmente Dirección General o Consejero Delegado, y a este nivel recibir los informes, porque si no a veces no se cuenta con el respaldo suficiente en las revisiones, y se ha perdido el dinero y a veces la oportunidad.
-
Finalmente, a titulo de curiosidad, en una ocasión se nos pidió que no figurara la palabra auditoria en el informe final, porque había aversión por el término, por asociarse en la entidad a los auditores con los verdugos: no es un caso aislado y es impropio.
-
Recordemos que puede ser necesario dar a mostrar a los auditores todo lo que necesiten para realizar su trabajo, pero nada mas, e incluso lo que se les muestre o a lo que se les permita acceder puede ser con restricciones: solo parte de una base de datos, epígrafes de algunas actas, o simplemente mostrarles documentación, que no pueden copiar o no pueden sacar de las instalaciones del cliente: se puede exigir una cláusula de confidencialidad, y raramente se les deben mostrar datos reales confidenciales de clientes, proveedores, empleado u otros, aunque se haga en la práctica con frecuencia.
En caso de duda o de conflicto puede decidir un comité de auditoría o el propio de Dirección.
17.17.- RELACION DE AUDITORIA CON ADMINISTRACION DE SEGURIDAD.
Hemos encontrado en mas de una ocasión que la misma persona tenia las funciones de administración de seguridad y auditoria (informática) interna, lo cual puede parecer bien a efectos de productividad, pero no es admisible respecto a segregación de funciones, siendo preferible, si la entidad no justifica que dos personas cumplan en exclusiva ambas funciones, que se cubra solo una, o bien que la persona realice otras funciones complementarias pero compatibles, como ser algunas relacionadas con calidad.
En entidades grandes la función consta además de corresponsales funcionales o autonómicos.
FUNCION DE ADMINISTRACION DE SEGURIDAD
Será interlocutora en los procesos de auditoria de seguridad, si bien los auditores no podemos perder muestra necesaria independencia, ya que debemos evaluar el desempeño de la función de administración de seguridad, desde si sus funciones son adecuadas y están respaldadas por algún documento aprobado a un nivel suficiente, hasta el cumplimiento de esas funciones y si no hay conflicto con otras.
La función de auditoria de sistemas de información y la de administración de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor protección, y resultan como anillos protectores, como se muestra en la figura.
Ambas funciones han de mantener contactos periódicos y prestarse cierta asistencia técnica.
Normalmente Administración de seguridad habrá de implantar las recomendaciones de los auditores una vez fijadas las prioridades por la Dirección de la entidad.
Administración de Seguridad puede depender del área de Sistemas de Información, sobre todo si existe Auditoria de S.I. interna, pero si puede estar en peligro su desempeño quizá sea preferible que tenga otra dependencia superior, o al menos una dependencia funcional de áreas usuarias como puede ser de dirección de Operaciones o similar; la existencia de un comité de Seguridad de la Información, o bien de una función de Seguridad Corporativa puede resultar útil.
En ocasiones los administradores de seguridad tienen casi exclusivamente una función importante pero que solo forma una parte de su cometido: la administración del paquete de control de accesos: RACF, Top SEcret, u otros, con frecuencia por haber sido técnicos de sistemas, y en ocasiones porque siguen siéndolo, lo que representa una gran vulnerabilidad y no siempre bien aceptada cuando la hemos recogido en los informes de auditoria.
17.18.- CONCLUSIONES.
Aunque las implantaciones de la seguridad van siendo más sofisticados y llegando a áreas o aspectos casi desconocidos hace años, esto no implica que estén plenamente resueltos lo mas básicos: encontramos bastantes deficiencias en controles físicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden encontrar.
La auditoria en sistemas de información no esta suficientemente implantada en la mayoría de las entidades españolas, si bien supondría una mayor garantía de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos.
Como función aporta al auditor un conocimiento privilegiado del área de Sistemas de Información con una perspectiva muy amplia.
La forma de realizar el trabajo va variando y se esta llegando a aplicar el control por excepción y la teleauditoría.
En cuanto a nuevas áreas, surge el auge del comercio electrónico, el control de paginas WEB: la revisión de quien autoriza, varía y controla los contenidos: en las entidades por seguridad y productividad, y en los hogares, aunque esto se sale de la auditoria y queda en el control para evitar que los menores accedan a contenidos con violencia o pornografía.
BIBLIOGRAFÍA:
Auditoria en informática un enfoque practico.
Mario G. piattini, Emilio del peso
Edit. Computec.
ENTORNO
PROTEGIDO
Descargar
Enviado por: | David Ovando Pimentel |
Idioma: | castellano |
País: | México |