Tema 8

LOGOwww.themegallery.com
Auditoria de la Seguridad, Metodologías
y Modelos
Auditoria Informática
Tema 8
Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com

AUDITORÍA DE LA SEGURIDAD
ÍNDICE
1. INTRODUCCIÓN
2. AREAS QUE PUEDE CUBRIR LA AUDITORIA DE LA SEGURIDAD
3. FASES DE LA AUDITORIA DE SEGURIDAD
4. AUDITORIA DE LA SEGURIDAD FÍSICA.
5. AUDITORIA DE LA SEGURIDAD LOGICA
6. AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES.
7. AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION.
8. AUDITORIA DE LA SEGURIDAD DE LOS DATOS.
9. AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES.
10. NORMATIVA DE CONTROL
11. EVALUACION DE RIESGOS.
12. PLAN DE CONTINGENCIAS
13. TECNICAS, METODOS Y HERRAMIENTAS
14. RELACION DE AUDITORIA CON ADMINISTRACION DE SEGURIDAD.
15. CONCLUSIONES.

INTRODUCCION
Para muchos la seguridad sigue siendo el área principal a auditoria, hasta el
punto de que algunas identidades, inicialmente la función de auditoria
informática se creo para revisar la seguridad, aunque después se hayan
ido ampliado los objetivos.
La nueva denominación abarca globalmente los sistemas de
información: desde la aplicación, la estrategia de las entidades, hasta los
sistemas de información y el aprovechamiento de la tecnología de la
información.

La expresión de seguridad informática, que es la mas usada, puede llegar a
relacionarse solo con los equipos y entornos técnicos, como si la información
en otros soportes y ambiente no requiera protección, cuando son las propias
operaciones de la entidad, el negocio de la entidades con animo de lucro, lo
que requiere protección.
Si no existen medidas y adecuada protección se puede perder información
vital, o por lo menos no estar disponibles en el momento requerido, las decisiones
se tomadas pueden ser erróneas, o se pueden incumplir contratos a la propia
legislación, lo que puede traducirse en grandes multas o infracciones graves,
o lo que es aun peor: la inmovilización de ficheros previstos.
Debe de evaluarse en la auditoria si los modelos de seguridad están en
consonancia con las nuevas arquitecturas, las distintas plataformas y las
posibilidades de las comunicaciones.
INTRODUCCION

Los auditores somos en cierto modo los “ojos y oídos de la dirección”
que a menudo no puede, o no sabe, como realizar las verificaciones o
evaluaciones, el sistema de control interno ha de basarse en las políticas y se
implementan con apoyo de herramientas, si bien encontramos a menudo en
la auditoria que lo que existe es mas bien implementación parcial de controles
de acceso lógico a través de paquetes o sistemas basados en el criterio de
los técnicos, pero no sustentada con normativa, o bien habiendo partido estas
de los propios técnicos.
Finalmente queremos indicar que siempre es muy importante la seguridad
de todo el equipo informático, sea o no una auditoria….
INTRODUCCION

Se incluyen las que con carácter general pueden formar partes de los
objetivos de una revisión de la seguridad, si bien esta puede abarcar solo
partes de ella si así se ha determinado ante mano.
En una auditoria de otros aspectos, pueden seguir revisiones solapadas con
la seguridad; así, a la hora de revisar las operaciones de desarrollo,
normalmente se vera si se realizan en un entorno seguro y protegido y lo
mismo a la hora de revisar la exploración, o el área técnica de sistemas, la
informática de usuario final, las bases de datos… y en general cualquier
área.
ÁREAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA
SEGURIDAD

Algunas de las áreas generales donde se aplica la Auditoria de la seguridad son:
Lo que hemos denominado controles directivos, es decir los fundamentos de
seguridad: políticas, planes, funciones…etc.
El desarrollo de las políticas.
Amenazas físicas externas.
Control de accesos adecuados tanto físicos como los denominados lógicos.
Protección de datos y su reglamento.
Comunicaciones y redes: topologías y tipos de comunicaciones, protección
antivirus.
El entorno de producción, entendido como tal explotación mas técnica de
sistemas y con especial énfasis en el cumplimientos de contratos.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que estos resulten auditables.
ÁREAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA
SEGURIDAD

FASES DE LA AUDITORIA DE SEGURIDAD
Con carácter general pueden ser:
1. Concreción de los objetivos y de limitación del alcance y profundidad de
la auditoria, así como el periodo cubierto en su caso.
2. Análisis de posibles fuentes y recopilación de información: en el caso de
los internos este proceso puede no existir.
3. Determinación del plan de trabajo y de los recursos y plazos en casos
necesarios, así como en la comunicación en la entidad.
4. Adaptación de cuestionarios, y a veces consideración de herramientas o
perfiles de especialistas necesarios, sobretodo en la auditoria externa.
5. Realización de entrevistas y pruebas.
6. Análisis de resultados y valoración de riesgos.
7. Presentación y discusiones del informe provisional.
8. Informe definitivo.

AUDITORIA DE LA SEGURIDAD FÍSICA
Se evaluaran las protecciones físicas de datos, programas instalaciones,
equipos redes y soportes, y por supuesto habrá que considerar a las personas,
que estén protegidas y existan medidas de evacuación, alarmas, salidas
alternativas, así como que no estén expuestas a riesgos superiores a los
considerados admisibles en la entidad e incluso en el sector.
Se deben considerar las:
1. Amenazas
2. Protección Física

AUDITORIA DE LA SEGURIDAD FÍSICA
AMENAZAS: Pueden ser muy diversas: sabotaje, vandalismo, terrorismo
accidentes de distinto tipo, incendios, inundaciones, averías importantes,
derrumbamientos, explosiones, así como otros que afectan a las personas y
pueden impactar el funcionamiento de los centros, tales como errores,
negligencias, huelgas, epidemias o intoxicaciones.
PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:
Ubicación del centro de procesos, de los servidores locales, y en general de
cualquier elemento a proteger.
Estructura, diseño, construcción y distribución de los edificios y de sus platas.
Riesgos a los accesos físicos no controlados.
Amenaza de fuego, problemas en el suministro eléctrico.
Evitar sustituciones o sustracción de quipos, componentes, soportes
magnéticos, documentación u otros activos.

AUDITORIA DE LA SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pueda acceder a los recursos que
se le autorice el propietario, aunque sea de forma genérica, según su función, y
con las posibilidades que el propietario haya fijado: lectura, modificación,
borrado, ejecución, traslado a los sistemas, lo que representaríamos en una
matriz de accesos.
En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los
sistemas basados en la biométrica, el método más usado es la contraseña,
cuyas características serán acordes con las normas y estándares de la
entidad, que podrían contemplar diferencias en función de la criticidad de los
recursos accedidos.

AUDITORIA DE LA SEGURIDAD LOGICA
Aspectos a evaluar respecto a las contraseñas pueden ser:
 Quien asigna la contraseña inicial y sucesivas.
 Longitud mínima y composición de caracteres.
 Vigencia, incluso puede haberlas de un solo uso o dependientes de
una función tiempo.
 Control para no asignar las “x” ultimas.
 Numero de intentos que se permiten al usuario.
 Controles existentes para evitar y detectar caballos de Troya.

AUDITORIA DE LA SEGURIDAD Y EL
DESARROLLO DE APLICACIONES
Todos los desarrollos deben estar autorizados a distinto nivel según la
importancia del desarrollo a abordar, incluso autorizados por un comité si los
costes o los riesgos superan unos umbrales.
REVISION DE PROGRAMAS
Por parte de técnicos independientes, o bien por auditores, preparados, a fin de
determinar la ausencia de “caballos de Troya”, bombas lógicas y similares,
además de la calidad.
PROTECCION DE LOS PROGRAMAS
Desde dos perspectivas, de los programas que sean propiedad de la entidad,
realizados por el personal propio o contratado de su desarrollo a terceros,
como el uso adecuado de aquellos programas de los que se tenga licencia
de uso.

AUDITORIA DE SEGURIDAD EN EL AREA DE
PRODUCCION
Las entidades han de cuidar especialmente las medidas de protección en el
caso de contratación de servicios: desde el posible marcado de datos, proceso,
impresión de etiquetas, distribución, acciones comerciales, gestión de cobros,
hasta el outsourcing mas completo, sin descartar que en el contrato se provea la
revisión por los auditores, internos o externos, de las instalaciones de la entidad
que provee el servicio.
También debe realizarse la protección de utilidades o programas
especialmente peligrosos, así como el control de generación y cambios
posteriores de todo el software de sistemas, y de forma especial el de control
de accesos.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS
La protección de los datos puede tener varios enfoques respecto a las
características citadas: la confidencialidad, disponibilidad e integridad. Puede
haber datos críticos en cuanto a su confidencialidad, como datos médicos u
otros especialmente sensibles (sobre religión, sexo, raza) otros datos cuya
criticidad viene dada por la disponibilidad: si se pierden o se pueden utilizar a
tiempo pueden causar perjuicios graves y, en los casos mas extremos poner en
peligro la comunidad de la entidad y finalmente otros datos críticos atendiendo a su
integridad, especialmente cuando su perdida no puede detectarse fácilmente o una
vez detectada no es fácil reconstruirlos.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede
incluir preparación, autorización, incorporación al sistema: por el cliente, por
empleados, o bien ser captado por otra forma, y debe revisarse como se verifican
los errores.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS
Proceso de los datos: controles de validación, integridad, almacenamiento: que existan
copias suficientes, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresión, en distribución.
Retención de la información y protección en funciona de su clasificación: destrucción
de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien
desmagnetización.
Designación de propietarios: clasificación de los datos, restricción de su uso para
pruebas, inclusión de muescas para poder detectar usos no autorizados.
Clasificación de los datos e información: debe revisarse quien la ha realizado y
según que criterios y estándares; no suele ser práctico que haya mas de cuatro o cinco
niveles.
Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en
uno central como en otros sistemas, y a veces en plataformas heterogéneas, con niveles
y características de seguridad muy diferentes, y con posibilidad de transferencia de
ficheros o de captación y exportación de datos que pueden perder sus protecciones al
pasar de una plataforma a otra.

AUDITORIA DE LA SEGURIDAD EN
COMUNICACIONES Y REDES
En las políticas de entidad debe reconocerse que los sistemas, redes y
mensajes transmitidos y procesados son propiedad de la entidad y no
deben usarse para otros fines no autorizados, por seguridad y por
productividad, tal vez salvo, emergencias concretas.
Los usuarios tendrán restricción de accesos según dominios, únicamente
podrán cargar los programas autorizados, y solo podrán variar las
configuraciones y componentes los técnicos autorizados.

Se revisaran especialmente las redes cuando existan repercusiones
económicas por que se trate de transferencia de fondos o comercio electrónico.
Puntos a revisar:
 Tipos de redes y conexiones
 Tipos de transacciones.
 Tipos de terminales y protecciones: físicas, lógicas, llamadas de
retorno.
 Transferencia de ficheros y controles existentes.
 Consideración especial respecto a las conexiones externas a través
de pasarelas (gateway) y encaminadotes (routers).

Internet e Intranet: separación de dominios e implantación de medidas
especiales, como normas y cortafuegos(firewall), y no solo en relación con la
seguridad sino por acceso no justificados por la función desempeñada, como a
paginas de ocio o eróticas, por lo que pueden suponer para la productividad.
Correo electrónico: tanto por privacidad y para evitar virus como para que el
uso del correo sea adecuado y referido ala propia función, y no utilizado para
fines particulares.
Protección de programas: y tanto la prevención del uso no autorizado de
programas propiedad de la entidad o de los que tengan licencia de uso.
Control sobre las paginas Web: quien puede modificarlo y desde donde,
finalmente preocupan también los riesgos que pueden existir en el comercio
electrónico.

NORMATIVA DE CONTROL
PANORÁMICA GENERAL SOBRE NORMAS DE
SEGURIDAD DE TI
(Amutio, 2007)
Necesidad/obligación de demostrar que se realiza una gestión
competente, efectiva y continua de la seguridad en el marco de los
riesgos detectados y de que se han adoptado aquellas medidas
adecuadas y proporcionadas a los riesgos a los que está expuesta la
organización
Conjunto articulado, sistemático, estructurado, coherente y lo
más completo posible de normas

ORGANISMOS DE NORNALIZACIÓN
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR

Amutio (2007)
ISO/IEC JTC1/SC27
La identificación de requisitos genéricos, incluyendo requisitos
metodológicos de los servicios de seguridad para los sistemas de TSI.
El desarrollo de técnicas y mecanismos de seguridad, incluyendo los
procedimientos de registro y las relaciones de los componentes de
seguridad.
El desarrollo de guías de seguridad y documentos interpretativos.
El desarrollo del soporte a la gestión, documentación y normas,
incluyendo por ejemplo, terminología y criterios de evaluación.
La normalización de algoritmos criptográficos para los servicios de
integridad, autenticación y no repudio; así como la normalización de
algoritmos criptográficos de los servicios de confidencialidad para ser
utilizados conforme a las políticas internacionalmente aceptadas.

Amutio (2007)
ISO/IEC JTC1/SC27
GT1: requisitos, servicios de seguridad y guías. Identificación
de los requisitos de los componentes de aplicaciones y sistemas; de
desarrollar normas para los servicios de seguridad; de desarrollar
soporte interpretativo y, en general, de los aspectos relacionados
con los sistemas de gestión de seguridad de la información.
GT2: mecanismos y técnicas de seguridad. Mecanismos
relacionados con la autenticación, el control de acceso, la
confidencialidad, el no repudio, la gestión de claves y la integridad
de los datos; así como de técnicas criptográficas o no criptográficas.
GT3: criterios de evaluación de la seguridad. Evaluación de la
seguridad de los productos y sistemas de tecnologías de la
información. Se distinguen fundamentalmente los criterios de
evaluación de la seguridad y la metodología para la aplicación de los
citados criterios.

Amutio (2007)
ISO/IEC JTC1/SC27
GT4: Servicios y controles de seguridad. Normas y
recomendaciones para servicios y aplicaciones sobre los que se
implantan controles y se logran los objetivos definidos por las
especificaciones del sistema de gestión de seguridad de la
información; también se ocupa de la identificación de requisitos
para la elaboración de normas sobre continuidad de negocio,
cyber-seguridad y subcontratación.
GT5: Gestión de identidad y privacidad. Gestión de la
identidad de las personas, protección de datos personales y
técnicas biométricas aplicadas a este ámbito. Además, se ocupa
de identificar requisitos para el desarrollo de normas en materia
de control de acceso.

Amutio (2007)
Normativa de control

ORGANISMOS DE NORNALIZACIÓN
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
Normativa de control

NORMAS MÁS RELEVANTES
• UNE 71501 (IS 13335), guías para la gestión de la seguridad de
las TI
• IS 15408, criterios comunes para la evaluación de la seguridad de
las TI
• Serie 27000
• ISO/IEC 21827: 2002 Systems Security Engineering Capability
Maturity Model (SSE-CMM®)

UNE 71501, guías para la gestión de la seguridad de las
TI
• UNE 71501 -1 (TR 13335-1): Visión básica de conceptos y
modelos usados para describir la gestión de la seguridad de TI dirigida
a los responsables de seg.
• UNE 71501 -2 (TR 13335-2): Planificación y gestión de la
seguridad de TI para directivos responsables de desarrollo y uso de SI
• UNE 71501 -3 (TR 13335-3): Técnicas de seguridad para
implicados en actividades de gestión durante CV
• UNE 71501 -4 (TR 13335-4): Selección de salvaguardas técnicas y
organizativas en entorno no abierto
• UNE 71501 -5 (TR 13335-5): Selección de salvaguardas en
entorno abierto a redes externas

IS 15408: criterios comunes para la evaluación de la
seguridad de las TI
Bañon (2003)
Regula la evaluación objetiva, repetible y comparable de las
propiedades de seguridad de productos y sistemas de información.
Supone:
• Un acuerdo internacional sobre los requisitos exigibles al
método de desarrollo y sobre siete niveles discretos de
esfuerzo en el desarrollo, que incluye la especificación del
trabajo de los evaluadores en cada nivel
• Un catálogo coherente y relacionado de funciones de
seguridad que permiten establecer un lenguaje común para la
expresión de la seguridad de los productos

IS 15408
•15408 -1: Define conceptos, procesos y paradigmas utilizados
•15408-2: Define el catálogo funcional con notas aclaratorias a su
aplicación
•15408-3: Define el modelo de desarrollo seguro, los siete niveles
de esfuerzo y las acciones de evaluación correspondientes

Criterios comunes y su certificación
Jiménez (2003)
- Son de aplicación a las medidas de seguridad de TI
implementadas en Hw, Fw o Sw.
- Son ajenos a su finalidad:
- Medidas de seguridad de tipo administrativo
- Control de radiaciones electromagnéticas
- La metodología de evaluación y el marco administrativo y
legal bajo el cual se pueden aplicar
- Los procedimientos para el uso de los resultados de la
evaluación en la acreditación
- Criterios para la valoración de las cualidades inherentes de los
algoritmos criptográficos

Numeración Estado de situación
27000 En proyecto: Information security management fundamentals and vocabulary.
27001 ISO/IECIS27001:2005 Informationtechnology Security techniques - Information security
management systems. Norma disponible desde el 14 de octubre de 2005.
27002 ISO/IECIS17799:2005 Informationtechnology – Security techniques – Code of practice for
information security management.
Norma disponible desde el 10 de junio de 2005. La numeración '27002' entra en vigor en abril de
2007.
27003 En proyecto: Information security management systemimplementation guidance.
27004 En proyecto: Information technology Security techniques - Information security management
measurements.
27005 En proyecto: Information Security Risk Management.
27006 En proyecto: Requirements for the accreditation of bodies providing certification of information
security management systems.
27007 En reserva.
27008 En reserva.
27009 En reserva.

Áreas Proyectos, normas e informes técnicos
Riesgos 27005
Política 27000, 27001, 17799
Organización de la seguridad de la información 27001, 17799
Gestión de activos 27005, 15816
Recursos humanos -
Entorno físico -
Communicaciones ygestión de explotación 18028-1, 18028-2, 18028-3, 18028-4, 18028-5
Control de acceso 14516, 15816, 15945
Adquisición ymantenimiento 15945
Gestión de incidents 15947, 18043, 18044
Gestión de la continuidad 24762
Conformidad 13335-2

ISO 27001
(García, 2007)
“Sistemas de Gestión de la Seguridad de la Información”
Ante el mercado:
•Favorece su desarrollo
•Afianza la posición de la organización
•Potencia la imagen de marca
•Constituye un factor competitivo respecto a la competencia
•Permite superar barreras técnicas

ISO 27001
(García, 2007)
Ante los clientes:
•Fidelización y captación de nuevos clientes gracias a la garantía que se
ofrece en la prestación de servicios
•Se mejora la comunicación con el cliente
•Mayor confianza al cliente (empresas, particulares, etc)
•Aumento de la satisfacción del cliente (empresas, particulares, etc)
Ante la gestión de la organización:
•Conocimiento y depuración de los procesos internos
•Mejora de los procesos y de los servicios prestados
•Ahorro de tiempo y de recursos necesarios
•Mejor gestión de los recursos
•Estímulo para entrar en un proceso de mejora continua

“Esta norma internacional especifica los requisitos para
establecer, implantar, poner en funcionamiento,
controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de
negocio de la organización. Especifica los requisitos para la
implantación de los controles de seguridad hechos a medida
de las necesidades de organizaciones individuales o partes de
las mismas”

Establecimiento y gestión del SGSI
- definir el alcance del sistema de gestión,
- definir la política del SGSI
- definir la metodología para la valoración del riesgo
- identificar los riesgos
- elaborar un análisis y evaluación de dichos riesgos
- identificar los diferentes tratamientos del riesgo
- seleccionar los controles y objetivos de los mismos que
posibilitarán dicho tratamiento.

Implantación y puesta en marcha del SGSI
- preparar un plan de tratamiento del riesgo
- implantar los controles que se hayan seleccionado
- medir la eficacia de dichos controles
- crear programas de formación y concienciación

Control y evaluación del SGSI
- implantar una serie de procedimientos para el control y la
revisión
- puesta en marcha de una serie de revisiones regulares sobre la
eficacia del SGSI, a partir de los resultados de las auditorías de
seguridad y de las mediciones
- tomar las medidas correctivas y preventivas

ISO 27004
(Llaneza, 2007)
• El Proyecto de Norma 27004 contiene técnicas para medir el
comportamiento de los controles implantados en atención a un análisis de
riesgos previo
• Objetivos del proceso de medida:
• Evaluar la eficacia de la implantación de los controles de seguridad.
• Evaluar la eficacia del sistema de gestión de seguridad de la
información incluyendo la mejora continua.
• Proporcionar un estado de seguridad para dirigir la revisión de la
gestión, facilitar las mejoras de la seguridad y contribuir a auditorías
de seguridad.
• Comunicar el valor de la seguridad a la organización.
• Servir como aportación al plan de tratamiento de riesgos y de
evaluación de riesgos.

Implementación
SGSI
Efectividad
Control
Entidad
atributo
atributo
atributo
Resultado
Criterio de Decisión
Indicador
Modelo Analítico
Medida Derivada
Función de Medición
Medida Base
Método de
Medida
Objetivo de
Control

Partes Interesadas Partes Interesadas
Prepararse para las medidas
- Requisitos de negocio
- Política de Seguridad
- Gestión de Riesgo
- Selección de Control
Mejoras
- Identificar mejoras
- Redefinir controles
- Actualizar medidas
Definir Medidas
- Identificar los requisitos de negocio
para medir e informar
- Determinar las medidas de
efectividad requeridas para los
controles elegidos
Recoger y analizar datos
- Medidas de control
- Conciencia
Evaluar e informar de los resultados
- Supervisar
- Auditar
- Medir
Información de
Requisitos de
Seguridad y
Expectativas
Información de
Seguridad
Gestionada
Establecer SGSI
Monitorizar y Revisar el
SGSI
Implementar y
Manejar el SGSI
Mantener y
Mejorar el SGSI
Plan
Do
Check
Act

Desarrollo de una medida
Identificar los controles y objetivos de control que fueron seleccionados
como resultado del análisis de riesgos, como se describe en la ISO/IEC
27001.
Establecer prioridades entre controles y objetivos de control seleccionados
con base en los siguientes criterios:
• Los requisitos de los stakeholders.
• La política de seguridad de la información de la organización.
• La información necesaria para satisfacer los requisitos legales,
regulatorios y contractuales.
• La relación coste-beneficio del rendimiento de cada control
individual u objetivo de control.
Seleccionar los controles y objetivos de control específicos a incluir en el
programa de medición según las prioridades identificadas.

Métodos de medición
• Auditorías internas o externas.
• Evaluación de riesgos y análisis de riesgos.
• Cuestionarios y preguntas.
• Utilización del registro de acontecimientos.
• Producción de registros, informes y pistas de auditoría.
• Informes de incidentes
• Muestras estadísticas.
• Pruebas.

Participantes o “stakeholders” involucrados en cada medida,
• El propietario de la información y medida
• El cliente
• El recolector
• El comunicador
• El revisor

Criterios para medidas válidas
- Estratégica
- Cuantitativa
- Razonable
- Interpretativa
- Verificable
- Evolutiva
- Útil
- Indivisible y bien definida
- Repetible

ISO 17799/27002
(Prats, 2007)
• La norma ISO 17799 es un conjunto de recomendaciones sobre qué
medidas tomar en la empresa para asegurar los Sistemas de
Información.
• Los objetivos de seguridad recogen aquellos aspectos fundamentales
que se deben analizar para conseguir un sistema seguro en cada una de
las áreas que los agrupa. Para conseguir cada uno de estos objetivos la
norma propone una serie de medidas o recomendaciones (controles)
que son los que en definitiva aplicaremos para la gestión del riesgo
analizado.

ANÁLISIS DE RIESGO
El análisis de riesgo implica cubrir los siguientes elementos:
 Declaración de propósito y alcance.
 Un análisis de los activos que son de valor.
 Un análisis de amenazas cuya ocurrencia puede
producir pérdidas.
 Un análisis de vulnerabilidades en los controles de
seguridad y en los sistemas.
 Un análisis de los riesgos que mide posibles pérdidas para la
organización.
 Un análisis de las medidas de seguridad que actuarían como una
protección.

ANÁLISIS DE RIESGO
Objetivo del análisis de riesgo
Tener la capacidad de:
1. Identificar, evaluar y manejar los riesgos de seguridad.
2. Estimar la exposición de un recurso a una amenaza
determinada.
3. Determinar cual combinación de medidas de seguridad
proporcionará un nivel de seguridad razonable a un
costo aceptable.
4. Tomar mejores decisiones en seguridad informática.
5. Enfocar recursos y esfuerzos en la protección de los
activos.

ANÁLISIS DE RIESGO
Fases del análisis de riesgo

ANÁLISIS DE RIESGO
Beneficios del análisis de riesgo
1. Costos de seguridad justificados.
2. Análisis desde el interior (self-analysis).
3. Permite que la seguridad se convierta en parte de la cultura de la
organización.
4. Apoya la comunicación y facilita la toma de decisiones.
5. Certeza económica/financiera.
6. Permite determinar las necesidades de acción correctivas.
7. Incrementa la conciencia de seguridad en todos los niveles.
8. Brinda criterios para el diseño y evaluación de planes de contingencia.
9. Los resultados del Análisis de Riesgos proveen información que facilita y
justifica la toma de decisiones en relación a la seguridad informática.

ANÁLISIS DE RIESGO

EVALUACION DE RIESGOS
Trata de identificar los riesgos, cuantificar su probabilidad de impacto, y
analizar medidas que lo eliminen lo que generalmente no es posible o que
disminuya la probabilidad de que ocurran los hechos o que mitiguen el
impacto.
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
información almacenada procesada y transmitida, la criticidad de las
aplicaciones, la tecnología usada, el marco legal aplicable, el sector de
entidad, la entidad misma y el momento.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la
cadena de protección se podrá romper con mayor probabilidad por los
eslabones mas débiles que serán los que preferentemente intentaran usar de
forma no autorizada.

La protección no ha de basarse solo en dispositivos y medios físicos,
sino en información e información adecuada del personal, empezando por
la mentalización de los directivos para que, en cascada afecte a todos los
niveles de la pirámide organizativa.
El factor humano es el principal a considerar, salvo en algunas situaciones
de protección físicas muy automatizadas, ya que es muy critico: si las
personas no quieren colaborar de poco sirven los medios y dispositivos
aunque sean caro y sofisticados.
Es necesario una separación de funciones: es muy peligroso que una
misma persona realice una transacción, la autorice, y revise después los
resultados, por que esta persona podría planificar un fraude o cubrir
cualquier anomalía.

En un proceso de auditoria
Se evaluara todos estos aspectos y otros, por ejemplo si la seguridad es
realmente una preocupación corporativa no es suficiente que exista
presupuestos para ello, es necesario una cultura de seguridad y un comité
que fije y apruebe los objetivos correspondientes a medida que éstos se
alcancen, que modelo de seguridad quieren implementar.
Si la entidad auditada esta en medio de un proceso de implementación de la
seguridad, la evaluación se centrara en los objetivos, los planes, que
proyectos hay en cursos y los medios usados o previstos.

En un proceso de auditoria
La evaluación de riesgos puede ser global: todos los sistemas de
información y plataformas, que puede equivaler a un chequeo medico en
general de un individuo y que es habitual la primera vez que se realiza.
Al hablar de seguridad siempre se habla de sus tres dimensiones clásicas y
son las siguientes:
1. La Confidencialidad: se cumple cuando, solo las personas autorizadas
pueden conocer los datos o la información correspondientes.
2. La Integridad: consiste en que solo los usuarios autorizados pueden
variar los datos. Deben quedar pistas para control posterior y para
auditoria
3. La disponibilidad: se alcanza, si las personas autorizadas pueden
acceder a tiempo a la información a la que estén autorizadas.

Realizar un Análisis de Riesgos formal en la organización.
 Realizar el Análisis de Riesgos en base a una metodología documentada y
aprobada formalmente.
 El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las
amenazas, los impactos y la evaluación del riesgo.
 Incluir en el análisis de riesgos todos los activos incluidos en el alcance del
SGSI y considerar las relaciones externas.
 Aprobar por la dirección los riesgos residuales.
 Establecer criterios formales para clasificar el riesgo.
 Establecer una clasificación de riesgos y aprobar por la dirección las
decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir).
 Los riesgos deben quedar a un nivel aceptado por la dirección.
 Tener en cuenta principios de proporcionalidad en la selección de controles
considerando todos los costes asociados.
 Cada control debe tener asociada una forma objetiva de verificar su eficacia.

PLAN DE CONTINGENCIAS
Es uno de los puntos que nunca se deberían pasar por alto en una auditoria
de seguridad, por las consecuencias que puede tener el no haberlo revisado o
haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo
titulo sea plan de contingencia o denominación similar, sino que es
imprescindible conocer si funcionaria con las garantías necesarias y
cubrirá los requerimientos en un tiempo inferior al fijado y con una
duración suficiente
También denominado PLAN DE CONTINUIDAD…
Frente a otras denominaciones que en principio descartamos como
Recuperación de Desastres o Plan de Desastres ( si nos parece adecuada
Plan de Recuperación ante desastres, pero las incidencias a preveer son también
de otros niveles).

En la auditoria es necesario revisar si existe tal plan, completo y actualizado,
si cubre los diferentes procesos, áreas y plataformas, si existen planes
diferentes según entornos, evaluar en todo caso su idoneidad, los resultados de
las pruebas que se hayan realizado, y si permiten garantizar razonablemente
que en caso necesario y a través de los medios alternativos, propios o
contratados, podría permitir la reanudación de las operaciones en un tiempo
inferior al fijado por los responsables del uso de las aplicaciones, que a veces
son también los propietarios de las mismas pero podrían no serlo.
Si las revisiones no nos aportan garantías suficientes debemos sugerir
pruebas complementarias o hacerlo constar en el informe, incluso indicarlo
en el apartado de limitaciones.

Es necesario verificar que la solución adoptada es adecuada; centro propio,
ajeno compartido o no…..y que existe el oportuno contrato si hay participación
de otras entidades aunque sean del mismo grupo o sector. NO esta de mas revisar
si en el caso de una incidencia que afectara a varias entidades geográficamente
próximas la solución prevista daría el servicio previsto a la auditada.
Un punto fundamental en la revisión es la existencia de copias actualizadas de
los recursos vitales en un lugar distante y en condiciones adecuadas tanto
físicas como de protección en cuanto a accesos; entre dichos recursos estarán:
bases de datos y ficheros, programas (mejor si existen también en versión fuente),
JCL (Job Control lenguaje) o el equivalente en cada sistema, la documentación
necesaria, formularios críticos y consumibles o garantías de que se servirían a
tiempo, documentación, manuales técnicos, direcciones y teléfonos, los recursos de
comunicaciones necesarios; datos y voz cualesquiera otros requeridos para funcionar
con garantías.

Otros aspectos que hemos encontrado como debilidades a veces son: que exista
copia del propio plan fuera de las instalaciones primarias, que esté previsto
ejecutar determinado software en un equipo alternativo, con identificación especifica
diferente de la del equipo que es el inicialmente autorizado; y que se tenga copia
accesible del contrato, tanto para demostrar algo al proveedor como para verificar
los términos pactados.
Es necesario en la auditoria conocer las características del centro o sistema
alternativo, y debe revisarse si la capacidad de proceso, la de comunicación y la de
almacenamiento del sistema alternativo son suficientes, así como las medidas de
protección.
Debe existir un manual completo y exhaustivo relacionado con la continuidad en
el que se contemplen diferentes tipos de incidencias y a que nivel se puede decidir
que se trata de una contingencia y de que tipo.

FUENTES DE LA AUDITORIA DE LA SEGURIDAD
1. Políticas, estándares, normas y
procedimientos.
2. Planes de seguridad.
3. Contratos, pólizas de seguros.
4. Organigrama y descripción de
funciones.
5. Documentación de aplicaciones.
6. Descripción de dispositivos
relacionados con la seguridad.
7. Manuales técnicos de sistemas
operativos o de herramientas.
8. Inventarios: de soportes, de
aplicaciones.
9. Topologías de redes.
10. Planos de instalaciones.
11. Registros: de problemas, de cambios,
de vistas, de accesos lógicos
producidos.
12. Entrevistas a diferentes niveles.
13. Ficheros.
14. Programas.
15. La observación no figura en los
manuales para la consideramos
importante.
16. Actas de reuniones relacionadas.
17. Documentación de planes de
continuidad y sus pruebas.
18. Informes de suministradores o
consumidores.

TECNICAS, METODOS Y HERRAMIENTAS
En cada proceso de auditoria se fijan los objetivos, ámbito y profundidad, lo
que sirve para la planificación y para la consideración de las fuentes, según los
objetivos, así como de las técnicas, métodos y herramientas mas adecuados.
El factor sorpresa puede llegar a ser necesario en las revisiones, según lo que
se quiera verificar.
Como métodos y técnicas podemos considerar los cuestionarios, las
entrevistas, la observación, los muestreos, las CAAT (Computer Aided Auditing
Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la
simulación en paralelo con datos reales y programas de auditor o la revisión de
programas.

RELACION DE AUDITORIA CON
ADMINISTRACION DE SEGURIDAD.
Hemos encontrado en mas de una ocasión que la misma persona tenia las
funciones de administración de seguridad y auditoria (informática) interna, lo
cual puede parecer bien a efectos de productividad, pero no es admisible
respecto a segregación de funciones, siendo preferible, si la entidad no justifica
que dos personas cumplan en exclusiva ambas funciones, que se cubra solo una, o
bien que la persona realice otras funciones complementarias pero compatibles,
como ser algunas relacionadas con calidad.
En entidades grandes la función consta además de corresponsales funcionales o
autonómicos.

FUNCION DE ADMINISTRACION DE SEGURIDAD
Será interlocutora en los procesos de auditoria de seguridad, si bien los
auditores no podemos perder muestra necesaria independencia, ya que debemos
evaluar el desempeño de la función de administración de seguridad, desde si sus
funciones son adecuadas y están respaldadas por algún documento aprobado a un
nivel suficiente, hasta el cumplimiento de esas funciones y si no hay conflicto con
otras.
La función de auditoria de sistemas de información y la de administración de
seguridad pueden ser complementarias, sin perder su independencia: se trata de
funciones que contribuyen a una mayor y mejor protección, y resultan como anillos
protectores, como se muestra en la figura siguiente.

Administración de Seguridad puede depender del área de Sistemas de
Información, sobre todo si existe Auditoria de S.I. interna, pero si puede estar
en peligro su desempeño quizá sea preferible que tenga otra dependencia
superior, o al menos una dependencia funcional de áreas usuarias como puede
ser de dirección de Operaciones o similar; la existencia de un comité de
Seguridad de la Información, o bien de una función de Seguridad Corporativa
puede resultar útil.
En ocasiones los administradores de seguridad tienen casi exclusivamente una
función importante pero que solo forma una parte de su cometido: la
administración del paquete de control de accesos: RACF, Top SEcret, u otros,
con frecuencia por haber sido técnicos de sistemas, y en ocasiones porque
siguen siéndolo, lo que representa una gran vulnerabilidad y no siempre bien
aceptada cuando la hemos recogido en los informes de auditoria.

CONCLUSIONES
Aunque las implantaciones de la seguridad van siendo más sofisticados y
llegando a áreas o aspectos casi desconocidos hace años, esto no implica
que estén plenamente resueltos lo mas básicos: encontramos bastantes
deficiencias en controles físicos, no tanto porque no existan, sino por las
brechas o descuidos que se pueden encontrar.
La auditoria en sistemas de información no esta suficientemente implantada en
la mayoría de las entidades, si bien supondría una mayor garantía de que las
cosas se hacen bien y como la entidad quiere.

CONCLUSIONES
La forma de realizar el trabajo va variando y se esta llegando a aplicar el control
por excepción y la teleauditoría.
En cuanto a nuevas áreas, surge el auge del comercio electrónico, el control
de paginas WEB: la revisión de quien autoriza, varía y controla los contenidos:
en las entidades por seguridad y productividad, y en los hogares, aunque esto
se sale de la auditoria y queda en el control para evitar que los
menores accedan a contenidos con violencia o pornografía.

Tema 8

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Tema 8

Más de Carmelo Branimir España Villegas

Tema 8