Unidad 04 - Auditoria de La Seguridad

Auditora Informtica
Auditora de la Seguridad
Introduccin
Auditora de la seguridad dentro de la Auditora Informtica

puede comprender la Informtica (equipos, sistemas
operativos, datos, redes... y su marco de control:
normativa, funciones, cumplimiento legal relacionado con la
seguridad, centros, continuidad del servicio...)
La Auditora de Sistemas de Informacin esta referida a la

seguridad, puede abarcar lo anterior, ms la evaluacin de
la proteccin de sistemas de informacin no automatizados
o slo parcialmente, y de procesos y datos relacionados
con esos sistemas, aunque sean procesos y ficheros
manuales.
Facultad de Ingeniera de Sistemas 2010 II
Introduccin
Si buscamos definiciones, la norma ISO 7498-2 ya indicaba

que Auditora de la Seguridad es:
Una revisin y examen independientes respecto a los registros y

actividades de un sistema a fin de verificar si los controles del
sistema son adecuados, para garantizar el cumplimiento con la
poltica establecida y con los procedimientos operativos, para
detectar problemas de seguridad, y para recomendar posibles
cambios en los controles, en la poltica y en los procedimientos.
Introduccin
Ron Weber, en su obra clsica del ao 1988 con que

empezamos algunos EDP Auditing (siendo EDP: Electronic
Data Processing, y el ttulo de la ltima edicin: Information
Systems Control and Audit),145 defina EDP Auditing
como:
El proceso por el que se recogen y evalan evidencias para

determinar si un sistema informtico salvaguarda los activos,
mantiene la integridad de los datos, alcanza las metas
empresariales de manera efectiva y consume los recursos de un
modo eficiente.
Introduccin
Ron Weber, en su obra clsica del ao 1988 con que

empezamos algunos EDP Auditing (siendo EDP: Electronic
Data Processing, y el ttulo de la ltima edicin: Information
Systems Control and Audit),145 defina EDP Auditing
como:
El proceso por el que se recogen y evalan evidencias para

determinar si un sistema informtico salvaguarda los activos,
mantiene la integridad de los datos, alcanza las metas
empresariales de manera efectiva y consume los recursos de un
modo eficiente.
Introduccin
En la pgina 35 del Manual de Preparacin al Examen

CISA 2007 de ISACA se ampla la definicin, al hablar de
Auditorias de Sistemas de Informacin:
Este proceso recoge y evala evidencias para determinar si los

sistemas de informacin y los recursos relacionados protegen
adecuadamente los activos, mantienen la integridad de los datos y
de los sistemas, proveen informacin relevante y con fiable, logran
de forma efectiva las metas de la entidad, usan eficientemente los
recursos, y existen controles internos que aportan una certeza
razonable respecto a que los objetivos "de negocio", operacionales
y de control sern alcanzados, y que los eventos no deseados
sern prevenidos o detectados, y corregidos de forma oportuna.
Introduccin
Seguridad de la informacin, si nos atenemos al estndar

ISO/IEC 17799, edicin de 2005 (rebautizado como
ISO/lEC 27002 en julio de 2007), es:
Preservar la confidencialidad, la integridad y la disponibilidad de la

informacin;
adems
pueden
estar
relacionadas
otras
caractersticas como autenticacin, responsabilidad, no repudio y
fiabilidad.
Introduccin
Se debe considerar el valor de los activos y los riesgos, y

en su caso recomendar protecciones de acuerdo con ello.
En el caso concreto de auditora de seguridad, el Objetivo y

el mbito se pueden referir a reas objeto, centros,
plataformas,
sistemas/aplicaciones,
funciones,
ficheros/bases de datos... y el propsito puede estar
relacionado con evaluar la proteccin relacionada con la
integridad de los datos, con la continuidad (disponibilidad),
o bien verificar el grado de cumplimiento de la normativa
interna, pudiendo ser la auditora de seguridad ms global
o referida a aspectos o sistemas muy concretos.
Introduccin
En la prctica, y de forma especial los externos, nos

preocupamos de delimitar el objetivo y el mbito/alcance y
que queden reflejados por escrito, porque habrn servido
de base para determinar la estimacin de esfuerzos, plazos
y presupuesto.
Control Interno y Seguridad
La clasificacin clsica de controles abarca tres grupos:
Controles de Direccin.
Controles preventivos
La infraestructura y marco, como la existencia de poltica de seguridad y de un

comit relacionado: de seguridad, de auditora interna.
Antes del hecho, como la identificacin de visitantes o las contraseas que
exigen los sistemas.
Controles de deteccin
Como la revisin de accesos producidos a un sistema o la propia deteccin

fsica de incendios.
La clasificacin clsica de controles abarca tres grupos:
Controles de correccin
Para rectificar errores u omisiones o bien acciones intencionadas, como puede

ser la copia de un fichero que despus resulta daado o perdido.
Controles de recuperacin
Facilitan la vuelta a la normalidad y que son de ms nivel que los de correccin;

as, el nivel de recuperacin exige la infraestructura suficiente para minimizar un
impacto importante, y poder continuar o reanudar los procesos crticos con
medios alternativos, propios o no, dentro de los marcos de tiempo fijados.
COBIT viene a ser un marco de referencia, y las siglas

vienen de Control Objectives for Information and related
Technologies. Como macroobjetivos de control pueden
estar:
Cumplimiento de los requerimientos legales y de la normativa

interna, as como de los requerimientos de las reas
propietarias/usuarias.
Determinacin de funciones y responsabilidades, y concienciacin y
motivacin de directivos y usuarios.
Salvaguarda de los activos relacionados (accesos autorizados), as
como respaldo/recuperacin: confidencialidad e integridad.
Fiabilidad de procesos y sistemas, y disponibilidad.
Gestin adecuada de incidencias y de cambios.
El riesgo ser mayor si el sistema de control interno es

dbil. Cuando hay un sistema de control interno adecuado,
los procesos de auditora, especialmente si son peridicos,
pueden ser ms ligeros.
Si el sistema de control interno es dbil, la auditora llevar

ms tiempo y supondr un esfuerzo mayor y las garantas
de que se pongan en marcha las recomendaciones sern
menores.
Podemos entender como riesgo, segn ISO/lEC Guide

73:2002:
Combinacin de la probabilidad de un evento y sus consecuencia.
Ampliando ms, y siguiendo con la filosofia ISO:
El potencial de que una amenaza determinada explote las

vulnerabilidades de un activo o de varios activos, ocasionando su
prdida o daos en los mismos. El impacto o la severidad relativa
del riesgo sern proporcionales al valor para la entidad de la
prdida o dao y a la probabilidad estimada de la amenaza
Perfil del Auditor de Seguridad
Dentro del perfil y situacin podemos diferenciar aspectos

comunes, como objetividad e independencia, exigibles a
todos los auditores, y otros especficos: en funcin de los
entornos en los que se va a revisar la seguridad.
Independencia y objetividad.
Integridad, y conducta segn unos principios ticos.
Formacin y experiencia acordes con el tipo de trabajo, y
actualizacin de los conocimientos. No basta con hacerse con un
cuestionario de puntos, sino que hay que saber cmo hacer las
verificaciones y cmo valorar los resultados, y qu recomendar en
cada caso.
Una combinacin de amabilidad y de firmeza, segn se requiera,

pero sin caer nunca en agresividad.
Capacidad de anlisis y de sntesis, que permita valorar el marco
general respecto a la seguridad, a la vez que analizar los
parmetros y opciones que puedan condicionada o hacerla posible,
si bien unos y otros aspectos no tendra por qu evaluarlos la
misma persona sino miembros de un mismo equipo de auditores.
Madurez, que no debemos relacionar con una edad mnima.
Si el auditor tiene que dirigir equipos de personas, capacidad para
ello, as como liderazgo y aceptacin.
Motivacin e inters por hacer el trabajo, incluso vocacin.
En el caso de los auditores internos ha de existir una

relacin adecuada con la funcin de Administracin de
Seguridad, adems de que puedan existir en la entidad
roles de Responsable/s de seguridad, relacionados con los
datos personales o no.
La funcin de Auditora de Sistemas de Informacin y la de

Administracin de Seguridad pueden ser complementarias.
Ambas funciones pueden mantener contactos peridicos y
prestarse cierta asistencia tcnica.
En multinacionales podemos encontrar CISO, Chief

Information Security Officer, y CSO, como ms general
Chief Security Officer.
En el caso de contratar auditores externos, tambin es

necesario considerar el perfil de quienes van a realizar el
trabajo, as como otras consideraciones en el proceso de
seleccin como:
La entidad auditora ha de ser independiente de la auditada.
Las personas que vayan a realizar el trabajo han de ser

independientes y competentes, segn el objetivo.
No es tan comn pedir referencias de otros trabajos similares como

en el caso de consultora pero se puede hacer, si bien para
facilitarlas los auditores debieran comunicarlo previamente a sus
clientes.
La auditora ha de encargarse a un nivel suficiente, normalmente

Direccin General o incluso Consejero Delegado, y a este mismo
nivel recibir los informes (sa]vo que indiquen otros destinatarios).
Otro aspecto es la confidencialidad
Norma ISO 17799 (27002)
En concreto, ISO/IEC 17799 - lnformation Technology Security techniques - Code of practice for information
security management puede resultar un estndar adecuado
para implantar la seguridad o para revisarla. POdemos
encontrar en ella puntos relacionados con la auditora de la
seguridad.
Uno de los puntos es 6.1.8 - Revisin independiente de la

seguridad de la informacin, donde indica que se debe
revisar a intervalos planificados o cuando hay cambios
significativos. Y que puede ser llevada a cabo por auditores
internos, un directivo independiente de la funcin o una
entidad externa especializada.
Norma ISO 17799 (27002)
El principal apartado referido a auditora es el ltimo del

estndar: 15.3 Information Systems Audit Considerations,
con controles:
Se indica que: los requerimientos y actividades de auditora

relacionados con verificaciones sobre sistemas en produccin
deben planificarse con cuidado para minimizar el riesgo de
interrupciones de procesos que afecten al negocio.
Tambin se indica que: el acceso a las herramientas de auditora

de sistemas 'de informacin debera estar protegido para evitar
cualquier uso no adecuado. Aqu se puede tratar ms de la
seguridad de la auditora y de sus registros que de la auditora de la
seguridad.
Norma ISO 17799 (27002)
Hay en la norma una observacin dentro del segundo control citado

que se refiere a terceras partes involucradas en la auditora, y
explica que podra haber riesgos de uso no adecuado de las
herramientas de auditoria, e informacin accedida por terceras
partes, y que debiera haber acceso fsico restringido y cambio de
las contraseas desveladas a los auditores, lo que da pie para
interpretar que entre las terceras partes nos incluye a los auditores
externos.
COBIT
La evaluacin se debe hacer contra algn patrn o

estndar, que puede ser interno como la normativa
existente, o el contrato de servicios entre entidades, o bien
totalmente externo como la norma ISO 17799, Cobit de
ISACA, o el Reglamento en vigor en el caso especfico de
datos personales, y en todos los casos puede haber
interpretaciones o valoraciones diferentes.
El propio COBIT es una referencia excelente, si bien ms

como filosofa o marco general y para apoyar las
recomendaciones que como gua de verificaciones de
seguridad en detalle.
COBIT
Casi todo el COBIT puede servir como base para una

auditora de seguridad
PO1 Define a strategic IT plan
PO2 Define the information architecture
Influyen el diccionario de datos, el esquema de clasificacin de datos y la

integridad de datos.
PO3 Determine technological direction
No afecta de forma directa pero s al integrar la seguridad en el Plan General.
Incluye la arquitectura tecnolgica.
PO4 Define the IT processes, organisation and relationships
Influyen los planes, la organizacin, las funciones y responsabilidades.
COBIT
PO5 Manage the IT investment
PO6 Communicate management aims aud direction
Influyen las polticas.
PO7 Manage IT human resources

PO8 Manage quality
Repercute en la fiabilidad y por las inversiones y gastos en seguridad.
Influye algo, ya que calidad y seguridad estn muy relacionadas.
PO9 Assess and manage IT risks

PO10 Manage Project
Cierta influencia: incorporar controles en procesos y productos
COBIT
AI1 Identify automated solutions
AI2 Acquire and maintain application software
Considerar la seguridad
AI3 Acquire and maintain technology infrastructure

AI4 Enable operation and use
AI5 Procure IT resources
AI6 Manage changes
Para considerar la seguridad.
Influye por el nivel de control
AI7 Install and accredit solutions and changes
Cierta influencia.
COBIT
DS1 Define and manage service levels
DS2 Manage third-party services
Influencia slo indirecta
DS7 Educate and train users
Influencia importante
DS6 Identify and allocate costs
Influye en cuanto a la disponibilidad
DS5 Ensure systems security
Influye en cuanto a la disponibilidad
DS4 Ensure continuous service
Influye en cuanto a servicios y seguridad
DS3 Manage performance and capacity
Calidad, pero influye en seguridad
Influye lo referido a seguridad.
DS8 Manage service desk and incidents
Influye lo referido a seguridad.
COBIT
DS9 Manage the configuration
Influye en cuanto a integridad de equipos y de software
DS10 Manage problems

DS11 Manage data
DS12 Manage the physical environment
DS13 Manage operations
COBIT
ME1 Monitor and evaluate IT performance
ME2 Monitor and evaluate internal control

ME3 Ensure compliance with external requirements
Sobre todo en cuanto a disponibilidad.
En funcin del pas
ME4 Provide IT governance
En cuanto a estndares de cmo realizar la auditora de

seguridad, ISACA (lnformation Systems Audit and Control
Association) puede ser una de las mejores fuentes,
adems de lo que cada entidad pueda tener.
COBIT
As como las Guas o pautas (en versin original

Guidelines, que ISACA traduce como Directrices), de las
que existen actualmente ms de treinta, y las ms afines
con auditora de la seguridad pueden ser:
G1 - Uso del trabajo de otros auditores

G2 - Requisito de evidencia de auditora
G3 - Uso de CAAT: tcnicas de auditora asistidas por ordenador
G21 - Revisin de sistemas ERP
G27 - Dispositivos mviles
G28 - Anlisis forense
G31 - Privacidad
G32 - Revisin del Plan de Continuidad de Negocio
COBIT
Hay adems, en ISACA, procedimientos, entre los que

cabe destacar, por su relacin con la auditora de la
seguridad:
P1 - Evaluacin de riesgos de SI (Sistemas de Informacin)

P2 - Firmas digitales
P3 - Deteccin de intrusos
P6 - Cortafuegos
P8 - Evaluacin de la seguridad
P9 - Evaluacin de los controles de la Direccin sobre mtodos de
cifrado
Como realizar una auditora de Seguridad
Objetivos
Alcance/mbito
Profundidad
Perodo al que se refiere, que normalmente no es aplicable

y se trata de evaluar la situacin en el momento presente,
salvo que se est investigando algn hecho concreto
Para determinar o entender los puntos citados y poder

estimar el esfuerzo, sobre todo los externos.
A partir de los puntos anteriores, y dando por hecho que

podemos abordar el trabajo, estimaremos el esfuerzo y
tiempo, en funcin de los recursos humanos necesarios y
su perfil, y si precisamos recursos externos especializados
para la revisin de alguna plataforma o entorno y posibles
herramientas a utilizar, y junto con los desplazamientos
podremos calcular el presupuesto aadiendo el beneficio
empresarial esperado, y haremos la planificacin
correspondiente e incluso el programa de trabajo con cierto
detalle, o bien slo una planificacin inicial interna, y la
definitiva cuando se haya aprobado la asistencia, y segn
disponibilidades y condicionantes o prioridades por parte
del cliente.
En funcin de los objetivos as se determinarn las fuentes

de informacin y la documentacin necesaria, y las
pruebas a realizar.
Se realizarn pruebas de cumplimiento y despus las

posibles pruebas sustantivas, y se irn determinando las
funciones y personas a entrevistar, hasta llegar a alcanzar
las evidencias necesarias para poder evaluar la situacin Y
determinar las posibles debilidades o incumplimientos y
sustentar los informes, as como las posibles
recomendaciones.
Dentro del estndar S6 de ISACA (Ejecucin del trabajo de

auditoria), al hablar de evidencia, se indica:
En el curso de la auditoria el auditor de sistemas de informacin

debera obtener evidencia suficiente, con fiable y relevante para
lograr los objetivos de la auditoria. Los hallazgos y las conclusiones
de la auditoria deben estar respaldados por un anlisis e
interpretacin apropiados de esta evidencia.
Segn avanza el trabajo, se actualiza el plan, y se controla

la asignacin y carga de los recursos y cumplimiento de
plazos, de productos parciales y de hitos, y comunicndolo
a la entidad, tal vez en reuniones cuya periodicidad se
haya fijado de antemano. A la vez se har el seguimiento
del presupuesto.
A la vez que se va disponiendo de resultados parciales se

puede ir elaborando el borrador del informe, y adems de
que cada auditor revisar la parte que haya escrito.
Evaluacin de Riesgos
En una auditora de seguridad se evalan los riesgos

existentes, si bien no slo los auditores evaluamos riesgos.
As, puede haber una evaluacin interna por parte del

personal de seguridad: mejor si tienen independencia y no
han sido los implantadores de los controles, o bien por
parte de externos como pueden ser consultores
especializados.
En todo caso, las etapas de evaluacin de riesgos pueden

ser:
Definicin de los objetivos, propsito y alcance: qu activos,

centros, aplicaciones, redes... van a ser considerados, y frente a
qu: incumplimiento de normativa, o riesgo intrnseco frente a
amenazas externas, por ataques internos, o frente a todo lo que con
alguna probabilidad pueda ocurrir, que ser el caso ms comn.
Como activos, adems de los datos/informacin, pueden estar los

equipos, las aplicaciones, el software de sistemas, las
comunicaciones, los soportes, los documentos, los servicios, el
propio personal, as como la imagen corporativa, que se puede ver
afectada por una interrupcin del servicio.
Algunos de los activos pueden no tener valor en s mismos, o no

son activos de la propia compaa, o su valor lo repondr la
compaa de seguros, pero importa su aportacin en la cadena de
servicio: su no disponibilidad supondr un problema o no dar
servicio o darlo degradado.
Valoracin de los activos, sobre todo los recursos del sistema de

informacin o relacionados, necesarios para que la entidad funcione
adecuadamente y alcance los objetivos fijados por la Direccin, y
segn la importancia que tengan para la entidad.
Identificacin de amenazas: eventos que pueden provocar un

incidente en la entidad, produciendo en sus activos daos o
prdidas, materiales o inmateriales, y evaluacin.
Valoracin de las vulnerabilidades, y entendiendo como

vulnerabilidad la debilidad de un activo que puede ser explotada por
una amenaza para materializar una agresin o ataque sobre ese
activo: en el entorno fisico, en las personas, en los sistemas, en la
red, en el propio software...
Consideracin de salvaguardas existentes, o previstas aplicables

en caso necesario, entendiendo salvaguarda en un sentido amplio:
accin, procedimiento o dispositivo, tanto fisico como lgico, que
reduce el riesgo.
Como se indica en el informe UNE 71501-3 IN156,

equivalente a ISO/IEC TR 13335-3:
Los riesgos son una funcin de los valores de los activos, de la

posibilidad de que ocurran amenazas que causen impactos
potencialmente adversos, de la facilidad de explotacin de las
vulnerabilidades por las amenazas identificadas, y de cualquier
salvaguarda existente o planificada que pudiera reducir el riesgo.
A partir del informe de riesgos con recomendaciones, se

tratara de:
Eliminar los riesgos, que suele ser difcil, y a veces imposible,

Establecer medidas y controles para disminuir la probabilidad de
que sucedan los eventos, o bien para disminuir el impacto o dao.
Derivar/Transferir el riesgo, mediante subcontratacin de servicios o
contratacin de plizas de seguros, si bien aunque se recupere el
valor econmico si se pierden datos crticos pueden existir
problemas importantes y responsabilidades.
Para la evaluacin de riesgos, adems de las normas

ISO/UNE, y sobre todo por parte de las Administraciones
Pblicas espaolas, se utiliza MAGERIT, siglas que vienen
de Metodologa de Anlisis y Gestin de Riesgos de los
sistemas
de
Informacin,
del
Ministerio
de
Administraciones Pblicas.
reas a Revisar
Dependern de los objetivos del encargo o contrato.
El marco normativo interno y nivel de cumplimiento:
Poltica/s de seguridad, normas, estndares, procedimientos, guas...

Objetivos de control.
Clasificacin de la informacin
reas a Revisar
Implicacin de la (Alta) Direccin respecto a la proteccin de la

informacin:
Comit de Seguridad, de Auditora, de Direccin o de Sistemas de Informacin

Ubicacin y perfil de las funciones de seguridad, y de auditora interna:
dependencia, funciones, perfil.
Planes de seguridad.
Presupuestos de inversiones y de gastos en seguridad.
Si se realizan evaluaciones peridicas de riesgos as como auditoras anteriores
de seguridad, y planes de implantacin en curso.
Otras funciones que puedan estar relacionadas con la seguridad
reas a Revisar
Cumplimiento de requerimientos externos
Requerimientos legales. Cumplimiento de contratos y de acuerdos de nivel de

servicio: aspectos de seguridad.
De otras entidades: Hacienda/s, Seguridad Social, Comunidad Autnoma
correspondiente, u otras posibles en funcin del sector de actividad.
Que se conservan los datos/soportes el tiempo mnimo y mximo fijados, y en
su caso en una ubicacin diferente.
Cumplimiento de requerimientos internos
De la matriz en el caso de grupos de empresas, multinacionales o no.

De planes de seguridad internos.
De los objetivos de control mediante implantacin de un Sistema de control
interno adecuado.
Cumplimiento de planes de implantacin de recomendaciones por
vulnerabilidades detectadas en evaluaciones de riesgos o auditoras anteriores.
reas a Revisar
La organizacin y la gestin de recursos humanos
Definicin de funciones. Asignacin de responsabilidades

Seleccin de colaboradores y proceso de contratacin y modalidad. Formacin y
concienciacin sobre la seguridad. Posibles medidas disciplinarias previstas.
Acerca de la terminacin de la relacin contractual de empleados y de
colaboradores. Baja de claves y de derechos de acceso: fsico y lgico.
Protecciones frente a hackers, crackers, personal interno o colaboradores
descontentos, antiguos empleados o colaboradores o usuarios potencialmente
peligrosos.
Compromisos de confidencialidad. Cdigo tico/de conducta. Manual del
empleado/del usuario de los sistemas, aunque sea externo. Pistas de auditora:
proteccin y anlisis.
reas a Revisar
La proteccin de activos
De las personas de forma especial, de las instalaciones, de los datos, de los

paquetes y aplicaciones, de las redes, de los equipos, de los soportes, y de
cualquier otro relacionado.
Responsables de los activos, as como inventario.
Los datos y la informacin pueden estar en soportes diversos y en formato
alfanumrico, consistir en imgenes o vdeo, sonido, planos, documentos
escaneados, radiografas...
Controles a lo largo del ciclo de vida de los activos.
Perfiles de acceso a los activos.
Proteccin frente a delitos y fraudes. Pistas de auditora.
reas a Revisar
Control de accesos lgicos
Grupos / usuarios con derechos de acceso

Diferenciando si en lectura, con posibilidad de modificacin (creacin, variacin,
borrado), ejecucin...
A los diferentes recursos.
En cuanto a los datos, las protecciones han de ser a lo largo de todo el ciclo de
vida.
El propio sistema de clasificacin debe ser objeto de revisin.
Proceso de autorizacin de perfiles y de usuarios. Gestin de usuarios.
Administradores de los recursos. Privilegios.
Sistemas de identificacin y autenticacin.
En el caso de contraseas: caractersticas y robustez, asignacin, longitud,
vigencia, posibilidad de repeticin, cifrado, proteccin/sustitucin de las que
llegan en los sistemas.
reas a Revisar
Acceso por terceros a los recursos
Trabajos contratados a otros.

Contratos y acuerdos de nivel de servicio aplicables.
Accesos fisicos o por red por parte de otros como clientes, proveedores,
distribuidores, operadores de un centro de atencin a usuarios (CAU), as como
por personal temporal, becarios o colaboradores.
Posibles subcontrataciones de servicios por parte de los proveedores.
reas a Revisar
Explotacin u Operaciones: o Produccin, si se prefiere la

denominacin, que en general abarca Explotacin y el rea de
Tcnica de Sistemas:
Equipos y su mantenimiento.
Separacin de entornos (de datos y de programas).
Gestin de la capacidad y gestin del rendimiento.
Gestin del inventario de elementos.
Documentacin de explotacin actualizada.
Formateo o eliminacin de equipos/soportes desechados.
Planificacin y transaccionales.
Gestin de cambios: aprobacin, anlisis, planificacin y pruebas.
Gestin de incidencias y de problemas relacionados con la seguridad.
Funcin de Atencin a usuarios (CAU).
Sistemas operativos, gestores de bases de datos y software de sistemas en
general.
Cambio de contraseas por defecto.
reas a Revisar
Proteccin de libreras de programas y de utilidades.

Proteccin de logs y capacidad adecuada.
Proteccin de soportes.
Protecciones contra virus y software daino.
Sistemas de ofimtica.
Seguridad de aplicaciones especiales.
reas a Revisar
Seguridad de las comunicaciones y redes
Topologa de las redes.

Tecnologa y nivel de seguridad.
Redes inalmbricas.
Mantenimiento de equipos y de instalaciones.
Operacin de red.
Accesos a Internet y uso.
Proteccin de pginas WEB: integridad y disponibilidad.
Autenticacin. Contraseas.
Acceso slo a transacciones y comandos autorizados.
Biometra e integridad
Dispositivos de autenticacin o token.
Timeout. Protector de pantalla con clave.
Cortafuegos
Protecciones frente a fugas de datos
Anlisis de red.
Accesos por empleados desde el exterior.
Proteccin de conversaciones.
reas a Revisar
Seguridad Fsica
Ubicacin de centros y de servidores, y proteccin de personas, de datos y de

otros activos.
Protecciones frente a terremotos, sabotajes, terrorismo, inundaciones,
explosiones...
Temperatura, humedad y aire acondicionado.
Protecciones frente al fuego y al agua.
Control de entrada y salida de paquetes, bolsos...
Control de accesos.
Evacuacin de personas, alarmas, control de presencia, salidas alternativas.
Continuidad de la energa (SAl y grupos electrgenos), y previsin de picos y
oscilaciones.
Proteccin de despachos y zonas abiertas.
Proteccin de soportes, de datos en papel y de documentacin, tanto en su
almacenamiento como en el transporte. Destruccin.
reas a Revisar
Desarrollo y mantenimiento de aplicaciones y paquetes:
Metodologas. Ciclos de vida. Mtricas utilizadas.

Desarrollos y cambios autorizados correspondiente, segn estndares internos.
Documentacin adecuada y actualizada, en especial sobre requerimientos de
seguridad.
Especificaciones de diseo en cuanto a seguridad Y control.
Separacin de entornos, y movimientos de datos parar pruebas disociados? y
de programas.
Informes acerca de procesos de conversin.
Paquetes y parmetros. Tablas y vistas de las bases de datos. Desarrollos que
complementan la funcionalidad y mantenimiento. Pruebas.
reas a Revisar
Historial de cambios a programas y a paquetes.

Gestin de los proyectos.
Documentacin (actualizada y til) para mantenedores, para explotacin
(manuales de operacin) y para usuarios, que pueden ser internos o externos.
Revisin de programas desarrollados o modificados.
Pase a Explotacin/Produccin.
Existencia de controles en las aplicaciones; en cuanto a la entrada: validaciones
diversas, revisiones peridicas de contenidos.
Controles en el mantenimiento: autorizaciones, anlisis de impacto,
planificacin, marcha atrs prevista, pruebas diversas, incluidas las de
regresin.
reas a Revisar
Copias, Recuperacin, Planes de contingencia/de continuidad:
Si se han determinado los riesgos y la criticidad de recursos y de procesos.

Cobertura de las salvaguardas. Planes y recursos alternativos dimensionados,
actualizados y probados.
Si se ha analizado el impacto en el negocio de cada posible situacin o
escenario.
Si existe una clasificacin de incidentes, una estrategia de recuperacin, as
como alternativas a activar en funcin de los casos.
Si estn definidos los diferentes equipos de recuperacin, las personas
afectadas estn informadas y entrenadas, as como disponibles los recursos
mnimos necesarios para dar el servicio comprometido, e incluidas las
comunicaciones, as como que existen copias de los recursos necesarios en
ubicaciones alternativas, protegidas almacenamiento as como en el transporte.
reas a Revisar
Las aplicaciones crticas pueden estar no solo en grandes sistemas sino

tambin en redes locales, en PC, o mediante conexiones a
proveedores/servicios externos.
Pruebas realizadas y resultados.
Nivel de conocimiento y de concienciacin por parte de las funciones y personas
afectadas, internas y externas.
Nivel de actualizacin tanto de la documentacin como de la criticidad asignada
y de los recursos previstos.
Fuentes a Utilizar
Las fuentes estarn relacionadas con los objetivos y

debern ser adecuadas para alcanzar evidencias. Entre las
posibles fuentes estarn:
Polticas, normas, estndares y procedimientos.

Planes de seguridad y Planes de accin.
Contratos, plizas de seguros.
Planos de instalaciones.
Organigrama y descripcin de funciones.
Documentacin de aplicaciones y de paquetes, incluidos ERP (SAP
R/3 u otros).
Descripcin de dispositivos y especificaciones de algoritmos
relacionados con la seguridad, si no son los estndar.
Inventarios: de soportes, de aplicaciones, de datos (diccionario de
datos) y clasificacin.
Fuentes a Utilizar
Topologa de redes. Cortafuegos y sus parmetros, reglas y

opciones.
Registros: de problemas, de cambios, de visitas, de accesos lgicos
producidos.
Entrevistas a diferentes niveles, y no slo a tcnicos: a propietarios
de activos, a responsables de reas funcionales y de procesos, y a
usuarios.
Posible acceso a datos en caso necesario, o tal vez visualizacin
supervisada.
Programas y su documentacin e historial de cambios, incluyendo
versiones fuente en su caso.
Resultado de pruebas realizadas y de las herramientas aplicadas: a
programas, en cuanto a vulnerabilidad de redes...
Fuentes a Utilizar
Informacin sobre sistemas operativos y software de base en

general, incluidos gestores de bases de datos; parte de la
documentacin general puede resultar accesible a travs del
fabricante y su Web, o la tendremos de otros proyectos.
La observacin: no figura en los manuales pero la consideramos
importante.
Actas de reuniones relacionadas: de Comit de Seguridad, de
Comit de Sistemas de Informacin, de Direccin
Documentacin de planes de contingencia/continuidad y sus
pruebas.
Informes de suministradores, o de consultores que hayan realizado
revisiones.
Otras fuentes, como ISACA: www.isaca.org. www.issa.org,
www.hispasec.com o foros de los propios sistemas.
Tcnicas, Mtodos y Herramientas
Habrn de determinarse en funcin de los objetivos.

Adems de entrevistas y revisiones se podrn realizar
muestreos, utilizar cuestionarios, la observacin (citada
como fuente de informacin), utilizar SQL u otros lenguajes
de query o bien para producir informes (tipo Crystal
Reports), o para tomar/analizar opciones y parmetros del
sistema, o bien pruebas integradas, snapshot para anlisis
profundo de contenido dinmico de memoria, revisin de
programas, o herramientas especficas de anlisis de
vulnerabilidades de red: puertos y servicios abiertos, o de
deteccin de intrusos... y sin descartar hojas de clculo
como EXCEL como ayuda para estructurar o presentar
resultados, y dando por hecho que en todos los casos se
utilizar un procesador de textos para los informes.
Tcnicas, Mtodos y Herramientas
Parte de lo descrito entra dentro de la categora de las

CAAT (Computer Aided Auditing Techniques). Tambin se
podran los paquetes de software general de auditora,
como
IDEA
(www.caseware-idea.com)
o
ACL
(www.acl.com).
Informe Final
La estructura depender de los objetivos, pero un informe

de auditora de seguridad debiera constar de las siguientes
partes:
Introduccin
Donde se pueden explicar los antecedentes y cmo surgi el encargo, y ah o

en otro captulo recoger los objetivos, alcance/mbito y profundidad, para que se
pueda verificar que se han cumplido, y descripcin de los entornos auditados
para que se pueda comprobar que se han revisado todos los centros,
plataformas y sistemas objeto de la auditora.
Fuentes a Utilizar
Se puede comentar la metodologa de evaluacin de riesgos usada, as como

los estndares utilizados para contraste. Tanto si son internos como si nos
basamos en COBIT, ISO 17799 (ISO 27002 ahora) u otros, ser bueno copiar
los prrafos de los objetivos en que nos basamos para sustentar las
recomendaciones.
Fuentes a Utilizar
Compromiso de confidencialidad
En ocasiones se habr firmado expresamente antes de iniciar el trabajo, y que

debe figurar en la propuesta de trabajo en todo caso. Restricciones sobre la
difusin del informe. Al menos, indicar que es confidencial, y en la prctica
entregarlo slo a quienes se nos haya indicado por quienes hayan encargado el
trabajo y en el formato y por la va indicados: por ejemplo, en un CD con clave y
en mano, o bien en papel, o por correo electrnico cifrado y con firma...
ndice de contenido.
Fuentes a Utilizar
Conclusiones y Resumen para la Direccin
(y para el Comit de Auditora/de Seguridad/de Sistemas de Informacin/de

Direccin, segn sea aplicable), que puede ir en un documento aparte, pero que
si va en el propio informe incluimos al principio para que se encuentre pronto al
leerlo. En cualquier caso no debe contener ningn trmino tcnico: cualquiera
debe entenderlo, y estar ms bien orientado al negocio. En ocasiones se nos
requiere una explicacin breve: en quince o treinta minutos explicar a un grupo
de directivos la esencia del informe, con proyeccin audiovisual o no.
Fuentes a Utilizar
Cuerpo
Generalmente por rea de responsabilidad (en todo caso informe separado por
entidad jurdica si el trabajo ha abarcado varias empresas de un grupo, aunque
con procesos comunes), para facilitar el anlisis y la distribucin parcial por
parte del cliente, as como el Plan de Accin de cada una de las reas. En cada
caso ser necesario considerar la estructura ms adecuada, por ejemplo por
ubicaciones Y centros en cuanto a la seguridad fsica, por segmentos de red,
por plataformas tecnolgicas los aspectos tcnicos: UNIX, WINDOWS SERVER
2003, z/OS... o por paquetes de aplicacin o ERP: META4, SAP R/3...
El contenido se referir a verificaciones realizadas y resultado, dando origen a

recomendaciones si existen incumplimientos o posibles mejoras.
Fuentes a Utilizar
El Plan de Accin que se comenta despus recoger las recomendaciones que

han figurado al final de cada captulo.
Limitaciones, si han existido.

Posibles agradecimientos, que pueden ir dentro de Conclusiones y que son generales y no
referidos a cada persona.
Metodologa y estndares usados.
Anexos, en su caso, que recojan aquellos aspectos, documentos o listas necesarios para entender
el informe, pero que dentro del texto entorpeceran su lectura.
Fuentes a Utilizar
En cada rea se recogen puntos que suponen un incumplimiento o

que pueden ser objeto de mejora, indicando en qu consiste la
debilidad o la posible mejora de control, y en el caso concreto de
los riesgos intentando medidos, explicando qu no se cumple, la
importancia en el caso de que no sea obvia, y al final de cada
captulo las recomendaciones, pudiendo cada una referirse a varios
puntos de los indicados.
Fuentes a Utilizar
Al final del informe incluimos un cuadro que facilite el anlisis y la

asignacin de prioridades para perfilar el Plan de Accin, e
indicamos por cada punto:
El riesgo estimado: alto, medio o bajo.

El plazo de implantacin sugerido: corto, medio o largo.
El posible coste asociado: bajo, medio o alto.
La dificultad de implantacin estimada, si es baja, media o alta.
Fuentes a Utilizar
En general una auditora de seguridad no se referir a u plazo

histrico acotado, salvo que se est investigando algn hecho, en
que podra ser una auditora "forense", o bien para reunir pruebas
para sustentar una denuncia o una accin disciplinaria, pero si as
fuera es necesario reflejar en el informe el perodo analizado.
Fuentes a Utilizar
Los auditados suelen buscar un informe lo ms benigno posible,

mientras que los auditores nos proponemos llegar a un informe
exacto y til; estos puntos de vista a veces no coinciden y crean
algn roce o choque en el proceso de auditora y sobre todo en la
discusin del informe, pero si se han recogido evidencias y el
anlisis ha sido adecuado no existirn problemas.
En algunos casos los informes se han usado para comparar la

seguridad de diferentes delegaciones, sucursales, o empresas de
un mismo grupo, o bien filiales de una multinacional en distintos
pases, pero si los entornos no son homogneos y los sistemas de
evaluacin de riesgos equiparables, las comparaciones pueden no
ser muy tiles, y llegar a resultados distorsionados.
Fuentes a Utilizar
Es necesario por tanto diferenciar, en funcin del riesgo: puntos

muy graves, graves, mejorables... u otra clasificacin incluso
numrica, en definitiva, establecer algunas mtricas de seguridad, y
clasificar los puntos segn su importancia y prioridad, que pueden
ser reconsideradas o asignadas por la Direccin de la entidad a la
hora de implantar las medidas.
Fuentes a Utilizar
En ocasiones, en el caso de auditoria externa, los clientes que no

conocen la filosofia y los lmites habituales de la auditora
sobreentienden que una vez finalizada sta con la entrega del
informe definitivo los auditores dan una asistencia ms propia de
consultores, y que incluso llevaremos a cabo implantaciones,
redactaremos normas, o que al menos en los informes
especificaremos con detalle las soluciones: nombre de la
herramienta que refuerza la seguridad en un entorno concreto,
conjunto de reglas a implantar en un cortafuegos... cuando a
menudo esto requiere un estudio que se sale del alcance y va
contra la independencia propios de la auditora.
Fuentes a Utilizar
Es importante que se delimiten en el contrato o propuesta de

auditora externa las responsabilidades y los productos a entregar,
que normalmente sern informes y si acaso cierta concienciacin
en alguna sesin.
Un paso ms en la elaboracin de informes podra ser su

generacin casi automtica, sobre todo de los aspectos ms fciles
de valorar, con independencia de que sean imprescindibles la
revisin y adaptacin por parte del auditor, que en definitiva ser
quien se responsabilice de los informes.
Indicadores y Mtricas de Seguridad
A los clientes les gustara tener un resumen de situacin

que recoja los riesgos cuantificados numricamente y una
calificacin respecto a cada grupo de verificaciones, as
como una global. Suelen ser varias las inquietudes:
Lo primero, disponer de valoraciones dentro de una escala, y no

slo de un modo descriptivo o cualitativo.
Poder comparar con otras entidades similares: benchmarking, as
como con otras delegaciones, otros pases en casos de
multinacionales u otras empresas del grupo.
Hacer comparaciones con la propia entidad referidas a periodos
anteriores, para ver la evolucin.
Los directivos siguen acostumbrados al concepto, dentro

de Control de Gestin, de Cuadro de Mando, con una serie
de indicadores, que pueden ser positivos: cuanto ms alta
la puntuacin mayor el grado de proteccin y de seguridad,
o negativos: cuanta ms puntuacin mayor es el riesgo, por
ser ste el que se punta.
Para disponer de algo til deben darse varias condiciones:
Mismos estndares contra los que se compara.
Mismos o al menos muy similares criterios por parte de los

auditores
como puede ser COBlT de ISACA, norma como ISO 17799 (ISO 27002),
Reglamento de datos personales, normativa interna.
Fcil si se trata de puertos de comunicaciones o servicios abiertos, o caducidad

o longitud de las contraseas no adecuada, pero difcil si se valora
documentacin, o concienciacin respecto a la seguridad.
Para hacer un resumen cuantitativo
Por no tener todos los puntos el mismo valor, es necesario aplicar factores de
ponderacin.
Otra inquietud de las entidades es conocer la rentabilidad

de un proceso de auditora, as como la rentabilidad global
de una funcin de auditora interna.
Puede ser claro el coste, pero mucho ms difcil la

aportacin: el valor aadido, la disminucin del riesgo, pero
si existen indicadores y aspectos cuantitativos puede ser
ms fcil de evaluar: nmero de puntos detectados y
evolucin de tantos de riesgo alto, de medio, bajo, incluso
combinndolos, adems del aspecto disuasorio que
representa la existencia de la funcin de auditora y las
revisiones, como cuando al pasar conduciendo vemos a la
Guardia Civil de Trfico, o sobre todo si nos para aunque
luego no haya sancin.
Para la implantacin de un sistema de indicadores se

puede considerar, adems de toda la bibliograt1a existente
y la propia experiencia, la UNE 66175:2003 - Gua para la
implantacin de sistemas de indicadores, as como
ISO/27004 - Information Technology - Security Techniques
- Information security management measurement.
Conclusiones
Cabe esperar que siga esta tendencia y las entidades

vayan entendiendo cada vez ms la utilidad de la
proteccin de la informacin y de la auditora.
Hemos podido verificar que la auditora, su filosofa, as

como sus principios, tcnicas y mtodos, interesan cada
vez ms a los responsables de Sistemas de Informacin y
a tcnicos, a veces para conocer cmo pueden evaluar los
auditores sus reas, pero a menudo para saber cules
pueden ser los riesgos y qu controles implantar.
Conclusiones
Lo que ellos mismos pueden realizar no se puede

considerar una auditora, ms por falta de independencia
que por desconocimiento de las tcnicas, pero s puede
constituir un autodiagnstico muy til, especialmente
cuando se realiza con ayuda de listas o herramientas
adaptadas o adaptables al entorno.
Conclusiones
Aunque las implantaciones de la seguridad van siendo ms

sofisticadas y llegando a reas o aspectos casi
desconocidos hace aos, esto no implica que en todos los
casos estn plenamente resueltos los riesgos ms bsicos:
encontramos bastantes deficiencias incluso en controles
fsicos, as como en relacin con la segregacin de
funciones, separacin de entornos de proceso, o escasa
normativa.
Conclusiones
A medida que van apareciendo nuevas tcnicas y

controles, surgen otras modalidades de ataques, con lo
que no se puede bajar la guardia.
La auditora de seguridad no est suficientemente

implantada en la mayora de las entidades espaolas, si
bien supondra una mayor garanta de que las cosas se
hacen bien y como la entidad quiere: en general hay
coincidencia entre ambos puntos. Puede ser tambin una
profesin con futuro.
Conclusiones
La auditora de la seguridad es importante, porque

importantes son los riesgos cuando se materializan, y de
ah la necesidad de conocer el nivel de riesgo cuando an
estamos a tiempo de implantar controles.
Es un tipo de auditora que exige, por su complejidad, una

preparacin adecuada.

Unidad 04 - Auditoria de La Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 04 - Auditoria de La Seguridad

Uploaded by

Copyright:

Available Formats

Auditora Informtica

Auditora de la seguridad dentro de la Auditora Informtica

La Auditora de Sistemas de Informacin esta referida a la

Facultad de Ingeniera de Sistemas 2010 II

Si buscamos definiciones, la norma ISO 7498-2 ya indicaba

Una revisin y examen independientes respecto a los registros y

Facultad de Ingeniera de Sistemas 2010 II

Ron Weber, en su obra clsica del ao 1988 con que

El proceso por el que se recogen y evalan evidencias para

Facultad de Ingeniera de Sistemas 2010 II

Ron Weber, en su obra clsica del ao 1988 con que

El proceso por el que se recogen y evalan evidencias para

Facultad de Ingeniera de Sistemas 2010 II

En la pgina 35 del Manual de Preparacin al Examen

Este proceso recoge y evala evidencias para determinar si los

Facultad de Ingeniera de Sistemas 2010 II

Seguridad de la informacin, si nos atenemos al estndar

Preservar la confidencialidad, la integridad y la disponibilidad de la

Facultad de Ingeniera de Sistemas 2010 II

Se debe considerar el valor de los activos y los riesgos, y

En el caso concreto de auditora de seguridad, el Objetivo y

Facultad de Ingeniera de Sistemas 2010 II

En la prctica, y de forma especial los externos, nos

Facultad de Ingeniera de Sistemas 2010 II

Control Interno y Seguridad

La clasificacin clsica de controles abarca tres grupos:

La infraestructura y marco, como la existencia de poltica de seguridad y de un

Como la revisin de accesos producidos a un sistema o la propia deteccin

Facultad de Ingeniera de Sistemas 2010 II

Control Interno y Seguridad

La clasificacin clsica de controles abarca tres grupos:

Para rectificar errores u omisiones o bien acciones intencionadas, como puede

Facilitan la vuelta a la normalidad y que son de ms nivel que los de correccin;

Facultad de Ingeniera de Sistemas 2010 II

Control Interno y Seguridad

COBIT viene a ser un marco de referencia, y las siglas

Cumplimiento de los requerimientos legales y de la normativa

Facultad de Ingeniera de Sistemas 2010 II

Control Interno y Seguridad

El riesgo ser mayor si el sistema de control interno es

Si el sistema de control interno es dbil, la auditora llevar

Facultad de Ingeniera de Sistemas 2010 II

Control Interno y Seguridad

Podemos entender como riesgo, segn ISO/lEC Guide

Combinacin de la probabilidad de un evento y sus consecuencia.

Ampliando ms, y siguiendo con la filosofia ISO:

El potencial de que una amenaza determinada explote las

Facultad de Ingeniera de Sistemas 2010 II

Perfil del Auditor de Seguridad

Dentro del perfil y situacin podemos diferenciar aspectos

Facultad de Ingeniera de Sistemas 2010 II

Perfil del Auditor de Seguridad

Una combinacin de amabilidad y de firmeza, segn se requiera,

Facultad de Ingeniera de Sistemas 2010 II

Perfil del Auditor de Seguridad

En el caso de los auditores internos ha de existir una

La funcin de Auditora de Sistemas de Informacin y la de

Facultad de Ingeniera de Sistemas 2010 II

Perfil del Auditor de Seguridad

En multinacionales podemos encontrar CISO, Chief

En el caso de contratar auditores externos, tambin es

La entidad auditora ha de ser independiente de la auditada.

Las personas que vayan a realizar el trabajo han de ser

Facultad de Ingeniera de Sistemas 2010 II