Una auditora de seguridad consiste en apoyarse en un tercero de confianza
(generalmente una compaa que se especializada en la seguridad informtica) para validar las medidas de proteccin que se llevan a cabo, sobre la base de la poltica de seguridad.
El objetivo de la auditora es verificar que cada regla de la poltica de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente.
Una auditora de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras. 1. REAS QUE PUEDE CUBRIR LA AUDITORA DE LA SEGURIDAD Las reas generales son: controles directivos, es decir, los fundamentos de la seguridad: polticas, planes, funciones, existencia y funcionamiento de algn comit relacionado, objetivos de control, presupuesto. El desarrollo de las polticas: procedimientos, posibles estndares, normas y guas, sin ser suficiente que existan estas ltimas. Marco jurdico aplicable. Amenazas fsicas externas: inundaciones, incendios, explosiones, corte de lneas o de suministros, terremotos, terrorismo, huelgas. Control de accesos adecuado, tanto fsicos como los denominados lgicos, para que cada usuario pueda acceder a los recursos a que est autorizado y realizar slo las funciones permitidas: lectura, variacin, ejecucin, borrado, copia. Proteccin de datos: en cuanto a los datos de carcter personal bajo tratamiento automatizado, y otros controles en cuanto a los datos en general, segn la clasificacin que exista, la designacin de propietarios y los riesgos a que estn sometidos. Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el impacto ser menor que en una red. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. 2. EVALUACIN DE RIESGOS Para evaluar riesgos hay que considerar, entre otros factores, el tipo de informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. La evaluacin de riesgos puede ser global: todos los sistemas de informacin, centros y plataformas, que puede equivaler a un chequeo mdico general de un individuo, y que es habitual la primera vez que se realiza, o bien cuando se ha producido el nombramiento de algn responsable relacionado, o cuando una entidad compra otra, pero puede producirse tambin una evaluacin parcial de riesgos. 3. FASES DE LA AUDITORA DE SEGURIDAD Concrecin de los objetivos y delimitacin del alcance y profundidad de la auditora, as como de\ perodo cubierto en su caso, Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos en caso necesario, as como de comunicacin a la entidad. Adaptacin de cuestionarios, y a veces consideracin de herramientas o perfiles de especialistas necesarios, sobre todo en la auditora externa. Realizacin de entrevistas y pruebas. Anlisis de resultados y valoracin de riesgos. Presentacin y discusin del informe provisional. Informe definitivo.
4. AUDITORA DE LA SEGURIDAD FSICA Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones. Desde la perspectiva de las protecciones fsicas algunos aspectos a considerar son: Ubicacin del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger, Estructura, diseo, construccin y distribucin de los edificios y de sus plantas. Riesgos a los que estn expuestos, tanto por agentes externos, casuales o no, como por accesos fsicos no controlados. Amenazas de fuego (materiales empleados); riesgos por agua: por accidentes atmosfricos o por averas en las conducciones; Controles tanto preventivos como de deteccin relacionados con los puntos anteriores, as como de acceso basndose en la clasificacin de reas segn usuarios
5. AUDITORA DE LA SEGURIDAD LGICA Desde el punto de vista de la auditora es necesario revisar cmo se identifican y sobre todo autentican los usuarios, cmo han sido autorizados y por quin, y qu ocurre cuando se producen transgresiones o intentos: quin se entera y cundo y qu se hace. Algunos de los aspectos a evaluar respecto a las contraseas pueden ser: Quin asigna la contrasea: inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo. Control para no asignar las x ltimas. Nmero de intentos que se permiten al usuario, e investigacin posterior de los fallidos: pueden ser errores del usuario o intentos de suplantacin. Si las contraseas estn cifradas y bajo qu sistema, y sobre todo que no aparezcan en claro en las pantallas, listados, mensajes de comunicaciones o corrientes de trabajos (JCL en algunos sistemas). Proteccin o cambio de las contraseas iniciales que llegan en los sistemas, y que a menudo aparecen en los propios manuales. Controles existentes para evitar y detectar caballos de Troya 6. AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia del desarrollo a abordar, incluso autorizados por un comit si los costes o los riesgos superan unos umbrales; se revisar la participacin de usuarios, y de los auditores internos si la auditora es externa, a qu libreras pueden acceder los desarrolladores, si hay separacin suficiente de entornos, la metodologa seguida, ciclos de vida, gestin de los proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de riesgo especial, Otro aspecto es la proteccin de los programas, al menos desde dos perspectivas: de los programas, que sean propiedad de la entidad, realizados por el personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso. 7. AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN Las entidades han de cuidar especialmente las medidas de proteccin en el caso de contratacin de servicios: desde el posible marcado de datos, proceso, impresin de etiquetas, distribucin, acciones comerciales, gestin de cobros, Tambin debe revisarse la proteccin de utilidades o programas especialmente peligrosos, as como el control en generacin y cambios posteriores de todo el software de sistemas, y de forma especial el de control de accesos. 8. AUDITORA DE LA SEGURIDAD DE LOS DATOS La proteccin de los datos puede tener varios enfoques respecto a las caractersticas: la confidencialidad, disponibilidad e integridad. Puede haber datos crticos en cuanto a su confidencialidad, como datos mdicos u otros especialmente sensibles (sobre religin, sexo, raza...), otros datos crticos atendiendo a su integridad, especialmente cuando su prdida no puede detectarse fcilmente o una vez detectada no es fcil reconstruirlos. Que es lo que ha de revisarse en la auditora: Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin, incorporacin al sistema. Proceso de los datos: controles de validacin, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: controles en transmisiones, en impresin, en distribucin, en servicios contratados de manipulacin y en el envo. Retencin de la informacin y proteccin en funcin de su clasificacin: destruccin de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien desmagnetizacin.
9. AUDITORA DE LA SEGURIDAD EN COMUNICACIONES Y REDES En funcin de la clasificacin de los datos se habr previsto el uso de cifrado, que en la auditora se evaluar o se llegar a recomendar, y se revisarn la generacin, longitud, comunicacin, almacenamiento y vigencia de las claves, especialmente de las maestras. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y slo podrn variar las configuraciones y componentes los tcnicos autorizados. Algunos de los puntos complementarios a revisar son: Tipos de redes y conexiones. Informacin y programas transmitidos, y uso de cifrado. Tipos de transacciones. Tipos de terminales y protecciones: fsicas, lgicas, llamada de retomo. Proteccin de transmisiones por fax si el contenido est clasificado, si bien es preferible evitar el uso de este medio en ese caso. Proteccin de conversaciones de voz en caso necesario. Transferencia de archivos y controles existentes. Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y encaminadores (routers), as como qu controles existen. 10. AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES Plan de Contingencia o Plan de Continuidad, frente a otras denominaciones que en principio descartamos como Recuperacin de Desastres o Plan de Desastres (s nos parece adecuada Plan de Recuperacin ante Desastres, pero las incidencias a prever son tambin de otros niveles). Es necesario verificar que la solucin adoptada es adecuada: centro propio, ajeno, compartido o no... y que existe el oportuno contrato si hay participacin de otras entidades aunque sean del mismo grupo o sector. No est de ms revisar si en el caso de una incidencia que afectara a varias entidades geogrficamente prximas la solucin prevista dara el servicio previsto a la auditada. Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que se trata de una contingencia y de qu tipo. 11. FUENTES DE LA AUDITORA Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar: Polticas, estndares, normas y procedimientos. Planes de seguridad. Contratos, plizas de seguros. Organigrama y descripcin de funciones. Documentacin de aplicaciones. Descripcin de dispositivos relacionados con la seguridad. Manuales tcnicos de sistemas operativos o de herramientas. Inventarios: de soportes, de aplicaciones. Topologa de redes. Planos de instalaciones. Registros: de problemas, de cambios, de visitas, de accesos lgicos producidos. Entrevistas a diferentes niveles. Archivos. Programas. La observacin: no figura en los manuales pero la consideramos importante. Actas de reuniones relacionadas. Documentacin de planes de continuidad y sus pruebas. Informes de suministradores o consultores. 1 2 .
E L
P E R F I L
D E L
A U D I T O R
QUE PUEDEN/DEBEN HACER LOS AUDITORES
Ser independientes y objetivos Actuar en beneficio propio por encima del inters del cliente Recomendar Obligar, forzar, amenazar Ser competentes en la materia (seguridad) Asumir encargos para los que no estn preparados Basar sus informes en verificaciones y evidencias Basarlos en suposiciones Verificar que se evalan peridicamente riegos o bien evaluarlos Revisar la seguridad da a da o administrarla (son funciones de otros) Conocer perfiles de usuarios Realizar gestin perfiles de usuarios Conocer criterios y prcticas sobre contraseas Gestin/asignacin contraseas o conocerlas Verificar que las aplicaciones se desarrollan y mantienen segn normas y se incorporan controles Realizar funciones de anlisis o gestionar proyectos Revisar codificacin de programas (seguridad y Calidad) y las pruebas realizadas, o bien probarlos Codificar programas Revisar la documentacin (aplicaciones, programas) Realizar la documentacin Verificar que siguen los procedimientos Escribir procedimientos Responsabilizarse del contenido de sus informes Aceptar presiones de sus jefes o clientes y que el informe no sea veraz Evaluar riesgos e informes Garantizar que no se puedan realizar/haber realizado delitos, fraudes o errores Sustentar los informes con papeles de trabajo Enzarzarse en discusiones de diferencias de opiniones Estar al da en cuanto a avances, riesgos, metodologas Auditar con tcnicas, mtodos o recomendaciones obsoletos
P a u t a s
d e
c o n d u c t a
d e
l o s
a u d i t o r e s
QUE NO DEBEN HACER LOS AUDITORES
13. CONSIDERACIONES RESPECTO AL INFORME En cada punto que se incluya debe explicarse por qu es un incumplimiento o una debilidad, as como alguna recomendacin, a veces abarcando varios puntos. El informe ha de ser necesariamente revisado por los auditados, as como discutido si es necesario antes de emitir el definitivo. En muchos casos, bien en el propio informe o en otro documento, se recogen las respuestas de los auditados, sobre todo cuando la auditora es interna. La entidad decide qu acciones tomar a partir del informe, y en el caso de los auditores internos stos suelen hacer tambin un seguimiento de las implantaciones. Los auditados siempre buscan un informe lo ms benigno posible, mientras que los auditores nos proponemos llegar a un informe veraz y til; estos diferentes puntos de vista a veces crean conflictos en el proceso de auditora y en la discusin del informe.
14. CONTRATACIN DE AUDITORA EXTERNA La entidad auditora ha de ser independiente de la auditada en el caso de una auditora externa: si est ofreciendo otros servicios a la vez, o piensa ofrecerlos en el futuro, o incluso a veces si ha sido proveedora en el pasado, a menudo puede encontrar dificultades internas para entregar un informe veraz y completo. En ocasiones los propios auditores lo han llegado a comunicar, por tica. Las personas que vayan a realizar el trabajo han de ser independientes y competentes. Recordemos que puede ser necesario dar o mostrar a los auditores todo lo que necesiten para realizar su trabajo, pero nada ms, e incluso lo que se les muestre o a lo que se les permita acceder puede ser con restricciones: slo parte de una base de datos, epgrafes de algunas actas, o simplemente mostrarles documentacin, que no pueden copiar o no pueden sacar de las instalaciones del cliente: se puede exigir una clusula de confidencialidad, y raramente se les deben mostrar datos reales confidenciales de clientes, proveedores, empleados u otros, aunque se haga en la prctica con frecuencia. 15. RELACIN DE AUDITORA CON ADMINISTRACIN DE SEGURIDAD La funcin de auditora de sistemas de informacin y la de administracin de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor proteccin, y resultan como anillo^ protectores, Administracin de Seguridad puede depender del rea de Sistemas de Informacin, sobre todo si existe Auditora de SI interna, pero si puede estar en peligro su desempeo quiz sea preferible que tenga otra dependencia superior, o al menos una dependencia funcional de reas usuarias como puede ser de Direccin de Operaciones o similar; la existencia de un comit de Seguridad de la Informacin, o bien de una funcin de Seguridad Corporativa puede resultar til. EL INFORME DE AUDITORA
Una vez realizada la Auditoria debe emitirse una opinin que estara plasmada en un informe. El informe de auditora es rendido por el auditor informtico. El informe de auditora es al final de cuentas el objetivo principal de la auditora informtica. La informtica en s misma, ha avanzado a pasos agigantados, y esto ha provocado una dificultad de asimilacin rpida y equilibrada en la empresa de los entornos tecnolgicos y de organizacin.
Faces: LAS NORMAS LA EVIDENCIA LAS IRREGULA RIDADES LA DOCUMEN TACION EL INFORME NORMAS DE LA AUDITORA INFORMTICA Por el momento se est tomando como base a las Normas Internacionales IFAC publicadas en el Libro Verde de la Auditora para efectos de su aplicacin en la Unin Europea, cuyo contenido afecta a la auditora informtica. Tambin en Europa se tiene otra base legal denominada Tratamiento Automatizado de Datos de Carcter Personal basados en una Ley Orgnica. Otra base legal son las normas internacionales ISACF ya ms especializada hacia la auditora informtica. ICAC: Normas y Tcnicas de Auditora. Estudio y evaluacin del control interno.
LA EVIDENCIA De acuerdo al autor, existen cuatro tipos de evidencia: 1. La evidencia relevante. Relacionada con los objetivos de la auditora. 2. La evidencia fiable. Que es vlida y objetiva con un nivel de confianza. 3. La evidencia suficiente. Que es de tipo cuantitativo, que da soporte en opinin del auditor informtico. 4. La evidencia adecuada. Es de tipo cualitativo. Qu son las pruebas de auditora? Las pruebas son de cumplimiento o sustantivas, siempre considerando el principio de la importancia relativa (explicar). Las opiniones no deben llevar prejuicios.
IRREGULARIDADES Se puede decir que las irregularidades son errores o fraudes de acuerdo con el ya citado Libro Verde.
El siguiente paso en auditora informtica es la auditora de cuentas, la cual se pretende en su justa dimensin de los Estados Unidos.
LA DOCUMENTACIN En el lenguaje de auditora de estados financieros se le conoce como los papeles de trabajo (explicar), los cuales pueden tener base para juicios y demandas legales. Explicar su organizacin, cdigos, estructura, etctera. Dentro de documentacin clave de una auditora informtica est: 1.El contrato del auditor con la empresa auditada. 2.Las declaraciones de la direccin. 3.Los contratos o equivalentes que afecten al sistema de informacin as como la opinin jurdica del cliente sobre asuntos actuales o previsibles en un futuro. 4.Informe sobre terceros vinculados. 5.Conocimiento sobre la actividad del cliente.
EL INFORME El informe del auditor debe contener: 1. Objetivos. 2. Perodo revisado. 3. Naturaleza. 4. Extensin del trabajo realizado. 5. Resultados. 6. Conclusiones. Debe separarse lo que es significativo o duelo que no lo es. En otras palabras se aplica el principio de la importancia relativa.
Existen dos tipos de informes: El Largo y el Corto (explicar). El informe tiene que ser: claro, adecuado, suficiente y comprensible. Debe ser utilizado un lenguaje informtico apropiado.
Los aspectos esenciales de un informe de auditora informtica son: 1.Identificacin del informe, (Nombre que se le da al informe como tal). 2. Identificacin del cliente. 3. Identificacin de la entidad auditada.
OBJETIVOS DE LA AUDITORA INFORMTICA. Establecimiento de los objetivos de la auditora para poder conocer su propsito, sealando los objetivos que no pudieron ser cumplidos. NORMATIVA APLICADA Y EXCEPCIONES Dar a conocer las normas legales y profesionales utilizadas y las excepciones significativas de uso y su posible impacto en los resultados de la auditora.
ALCANCE DE LA AUDITORA. Determinar la extensin de la auditora y del trabajo realizado, periodo de la auditora, sistemas de informacin, sealando en todo momento las limitaciones, alcances y restricciones de la entidad auditada.
CONCLUSIONES EN UN INFORME CORTO DE OPININ. Dar a conocer los resultados de la auditora, la esencia del dictamen, la opinin, salvedades.
En Mxico esto se conoce como dictamen limpio, o bien con salvedades. ste tipo de dictamen es el resultado del trabajo realizado sin limitaciones y sin incertidumbre.
Cuando un dictamen tiene salvedades, debe ser claramente especificadas para que el lector conozca las implicaciones de este tipo de irregularidades.
El Dictamen con Salvedades: Se refiere especficamente a los siguientes aspectos: 1. Limitaciones en el alcance del trabajo, o dicho de otra manera restricciones impuestas por el auditado. 2. Incertidumbre que no permite una previsin razonable. 3. Irregularidades significativas. 4. Incumplimiento legal de las normas.
Opinin Desfavorable: Se refiere especficamente a: 1. Identificacin de irregularidades. 2. Incumplimiento de las leyes que afecten significativamente los objetivos de la auditora informtica estipulados.
Opinin denegada. Puede darse por los siguientes motivos: 1. Limitaciones en el alcance de la auditora. 2. Incertidumbres que impidan al auditor formarse una opinin. 3. Irregularidades graves. 4. Incumplimiento de la normativa legal y profesional.
INFORME LARGO Y CORTOS El lmite de una auditora est dado por los papeles de trabajo o documentacin de la auditora informtica, pero existen otros aspectos tales como: El secreto de la empresa. El secreto profesional. Los aspectos relevantes de la auditora, etc. Existen reportes especiales tales como debilidades en el control interno, o bien reportes especiales para la Comisin nacional bancaria y de valores u otros organismos especializados. Informes Previos: Se proporciona un informe previo sobre las irregularidades encontradas, pero si se trata de un fraude debe actuarse de inmediato y tiene responsabilidad el auditor informtico si no lo detecta y reporta de inmediato. Fecha del Informe: Es indispensable identificar las fechas de inicio y trmino de la auditora incluyendo la fecha de cierre de ejercicio. Identificacin y Firma del Auditor: