Diapositiva 1

AUDITORIA DE LA SEGURIDAD

Seguridad y auditoria

Con que tipo de controles puedo contar?Controles Directivos: Establecen polticas, creacin comits

Controles Preventivos: antes del hecho, identificacin de visitas(seguridad fsica) o las contraseas(seguridad lgica)

Controles de deteccin: Revisin de accesos producidos o la deteccin de incendios

Controles Recuperacin : Son los que facilitan la vuelta a la normalidad despus de accidentes o contingenciasreas que pueden cubrir la Auditoria de la SeguridadSe incluye las que con carcter general pueden formar parte de los objetivos de una revisin de seguridad.

Se verificara si se desarrollan en un entorno seguro y protegido el rea de tcnica de sistemas, las redes, las base de datos y en general cualquier rea, salvo que expresamente se quiera pasar por alto la seguridad y concentrarse en otros aspectos como pueden ser la gestin, costes, nivel de servicios, cumplimiento de procedimientos generalesEvaluacin de riesgosSe trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen lo que generalmente no es posible o que disminuya la probabilidad de que ocurra los hechos o mitiguen el impacto.

Desde la perspectiva de la auditoria de la seguridad es necesario si se han considerado las amenazas ya sea por errores y negligencias en general o bien fraudes o delitos y que puedan traducirse en daos.

Es necesario evaluar las vulnerabilidades que existen, ya que la cadena de proteccin se podr romper con mayor probabilidad por los eslabones mas dbiles y es as como intentaran acceder de forma no autorizada

RiesgosLa proteccin no ha de basarse solo en dispositivos y medios fsicos, si no en formacin e informacin adecuada al personal , empezando por la mentalizacin a los directivos para que, en cascada, afecte a todos los niveles de la pirmide organizativa.

Es necesario una separacin de funciones: Es peligroso que una misma persona realice una transaccin, la autorice, y de despus revise los resultados, esto podra llevar a un fraude o encubrir cualquier anomala.

Una vez identificados los riesgos lo mejor seria poder eliminarlos , pero ya hemos indicado que normalmente lo mas que conseguimos es disminuir la probabilidad de que algo se produzca.

Al hablar de seguridad siempre se habla de sus tres dimensiones clsicas:La confidencialidad: Se cumple cuando solo las personas autorizadas pueden conocer los datos o informacin correspondiente.La integridad: Consiste en que solo el usuario autorizado pueda variar los datos. (modificar o borrar) , debe quedar pistas para el controles posteriores.La disponibilidad: Se alcanza si la persona autorizada puede acceder a tiempo a la informacin a la que estn autorizadas.Fases de la AuditoriaDeterminacin de los objetivos y delimitacin del alcance y profundidad de la auditoria, as como el periodo cubierto en su caso.

Anlisis de posibles fuentes y recopilacin de informacin

Adaptacin de cuestionarios

Realizacin de entrevistas y pruebas.

Anlisis de resultados y valoracin de riesgos.

Presentacin y discusiones del informe provisional.

Informe definitivo.Auditoria de la Seguridad FsicaSe evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soporte.

Desde la perspectiva de las protecciones fsicas algunos aspectos a considerar son:Ubicacin del centro de procesos de los servidores Diseo, construccin y distribucin de los edificios y de sus plantasAmenazas de fuego, riesgos por agua, etcProteccin de los soportes magnticos en cuanto a accesos, almacenamiento y posible transporte, adems de proteccin de documentacin impresa y de cualquier tipo de documentacinAuditoria de la Seguridad lgicaEs necesario verificar que cada usuario solo pueda acceder a los recursos a los que este autorizado segn su funcin y a lo que se le permita ya sea: Lectura, modificacin, borrado etc.

Desde el punto de vista de la auditoria es necesario revisar la autentificacin de los usuarios, como han sido autorizado y por quien y que ocurre cuando ocurren transgresiones. Quien se entera y cuando y que se hace.

En cuanto a autenticacin el mtodo mas usado es la contrasea, algunos aspectos a considerar:- Quien asigna la contrasea- Longitud mnima y composicin de caracteres.- Vigencia- Numero de intentos que se permiten al usuario e investigacin posterior de los fallidos: pueden ser errores del usuario o intentos de suplantacinAuditoria del Desarrollo de AplicacionesTodos los desarrollos deben estar autorizados a distinto nivel segn la importancia del desarrollo a abordar, incluso para evitar problemas debe ser autorizados por un comit si los costos o riesgos superan los limites.

Se debe de realizar revisiones de programas a fin de determinar la ausencia de caballos de Troya, bombas lgicas y similares.

Auditoria de la Seguridad en Comunicaciones y Redes Deben de existir protecciones de distintos tipo, tanto preventivas como de deteccin, ante posibles accesos sobre todo externos.Los usuarios tendr restriccin de accesos segn dominios, nicamente los programas autorizados.

Puntos a revisar:Tipos de redes y conexinInformacin y programas transmitidos y el uso de cifradoTipo de transaccionesTipos de terminales y protecciones: fsicas, lgicasTransferencia de archivos y controles existentesConsideraciones especial respecto a las conexiones externasAuditoria de la Seguridad de los DatosLa proteccin de los datos puede tener varios enfoques respecto a las caractersticas citadas:Confidencialidad, Disponibilidad e integridad Ciclo de vida de los DatosExisten controles en los diferentes puntos del ciclo de vida de los datos, que es lo que ha de revisar en la auditoria.Desde el origen del dato puede incluir preparacin, autorizacin, incorporacin al sistema.

Proceso de los datos: controles de validacin, almacenamiento, que existan copias suficientes.

Salida de resultados: controles en transmisin, en impresin, distribucin, servicios contratados de manipulacin y en el envi.

Retencin de la informacin y proteccin en funcin de su clasificacin:

Auditoria de la Continuidad de las OperacionesEs uno de los puntos que nunca se deberan pasar por alto en una auditoria de seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad.

En la auditoria es necesario revisar si existe un plan, si es completo y actualizado o bien si existen planes diferentes segn entornos.

Debe de existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidenciasFuentes de la AuditoriaLas fuentes estarn relacionados con los objetivos, y entreellas pueden estar:Polticas, normas y procedimientosPlanes de seguridad y continuidadOrganigrama y manual de funcionesInventariosPlanes de instalacionesDocumentacin de planes de continuidad y sus pruebasPerfil de un Auditor