Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de Seguridad>>

A continuacin, un caso de auditora de rea general para proporcionar una visin ms desarrollada y amplia de la funcin auditora. Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms importantes de aqul.

Ciclo de Seguridad

El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica. Para ello, se fijan los supuestos de partida: El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos. Los segmentos se dividen en: Secciones. Las secciones se dividen en: Subsecciones. De este modo la auditora se realizara en 3 niveles. Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares. Segmento 2: Seguridad de Sistema Operativo. Segmento 3: Seguridad de Software. Segmento 4: Seguridad de Comunicaciones. Segmento 5: Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso. Segmento 7: Seguridad de Aplicaciones. Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.

Conceptualmente la auditoria informtica en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciadas: Fase 0. Causas de la realizacin del ciclo de seguridad. Fase 1. Estrategia y logstica del ciclo de seguridad. Fase 2. Ponderacin de sectores del ciclo de seguridad. Fase 3. Operativa del ciclo de seguridad. Fase 4. Clculos y resultados del ciclo de seguridad. Fase 5. Confeccin del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente: 0. Comienzo del proyecto de Auditora Informtica. 1. Asignacin del equipo auditor. 2. Asignacin del equipo interlocutor del cliente. 3. Cumplimentacin de formularios globales y parciales por parte del cliente. 4. Asignacin de pesos tcnicos por parte del equipo auditor. 5. Asignacin de pesos polticos por parte del cliente. 6. Asignacin de pesos finales a segmentos y secciones. 7. Preparacin y confirmacin de entrevistas. 8. Entrevistas, confrontaciones y anlisis y repaso de documentacin. 9. Calculo y ponderacin de subsecciones, secciones y segmentos. 10. Identificacin de reas mejorables. 11. Eleccin de las reas de actuacin prioritaria. 12. Preparacin de recomendaciones y borrador de informe 13. Discusin de borrador con cliente. 14. Entrega del informe. Causas de realizacin de una Auditora de Seguridad

Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma.

El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc. De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo. Estrategia y logstica del ciclo de Seguridad

Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3: Fase 1. Estrategia y logstica del ciclo de seguridad 1. Designacin del equipo auditor. 2. Asignacin de interlocutores, validadores y decisores del cliente. 3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial. Con las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior. Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y distribucin de los mencionados recursos, determina a su vez la eficiencia y la economa del Proyecto.

Los planes del equipo auditor se desarrolla de la siguiente manera:

1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogneo en cuanto a especialidad, pero compacto. 2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de informacin, coordinacin de entrevistas, etc. 3. Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin.

Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estar en disposicin de comenzar la tarea de campo, la operativa auditora del Ciclo de Seguridad. Ponderacin de los Sectores Auditados

Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades: FASE 2. Ponderacin de sectores del ciclo de seguridad. 4. Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en funcin de su

importancia. 5. Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente. 6. Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no se ponderan.

Se pondera la importancia relativa de la seguridad en los diversos sectores de la organizacin informtica auditada. Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad que se audita, se realizan del siguiente modo:

Pesos tcnicos

Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.

Pesos polticos

Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Seccin del Ciclo de Seguridad.

Ciclo de Seguridad. Suma Pesos Segmentos = 100

(con independencia del nmero de segmentos consideradas)

Segmentos

Pesos Tcnicos

Pesos Polticos

Pesos Finales

Seg1. Normas y Estndares

12

10

Seg2. Sistema Operativo

10

10

10

Seg3. Software Bsico

10

14

12

Seg4. Comunicaciones

12

12

12

Seg5. Bases de Datos

12

12

12

Seg6. Procesos

16

12

14

Seg7. Aplicaciones

16

16

16

Seg8. Seguridad Fsica

12

16

14

TOTAL

100

100

100

Pesos finales

Son el promedio de los pesos anteriores. El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha asignado a la totalidad del rea de Seguridad, como podra haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el nmero de segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habra de seguir siendo de 100 puntos.

Suma Peso Secciones = 20 (con independencia del nmero de Secciones consideradas) Secciones Secc1. Seg. Fsica de Datos Secc2. Control de Accesos Secc3. Equipos Secc4. Documentos Secc5. Suministros TOTAL 5 6 2 1 20 3 4 4 3 20 4 5 3 2 20 Pesos Tcnicos 6 Pesos Polticos 6 Pesos Finales 6

Puede observarse la diferente apreciacin de pesos por parte del cliente y del equipo auditor. Mientras stos estiman que las Normas y Estndares y los Procesos son muy importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el Software Bsico. Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee, por ejemplo 20, con absoluta independencia del nmero de Secciones que tenga cada Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe aclarar, solo se desarroll un solo Segmento a modo de ejemplo. Operativa del ciclo de Seguridad

Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que implica las siguientes actividades:

FASE 3. Operativa del ciclo de seguridad 7. Preparacin y confirmacin de entrevistas. 8. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma.

Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designar a un encargado, dependiendo del rea de la entrevista. Este, por supuesto, deber conocer a fondo la misma. La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del xito de la auditora. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta no se produce, el responsable lo har saber al cliente. Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificacin. La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una seccin completa. Comenzada la entrevista, el auditor o auditores formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de una las personas entrevistadas. Las Checklists son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la informacin correspondiente. Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aqul, que indefectiblemente debern ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la informacin facilitada por el auditado, se deber recabar nueva informacin y reverificar los resultados de las pruebas auditoras. La evaluacin de las Checklists, las pruebas realizadas, la informacin facilitada por el cliente y el anlisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarn en el informe final.

A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica: Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones: 1. Autorizaciones 2. Controles Automticos 3. Vigilancia 4. Registros En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms deficiente y 5 la mxima puntuacin. Control de Accesos: Autorizaciones Preguntas Respuestas Puntos 4

Existe un nico responsable de implementar Si, el Jefe de Explotacin, pero el Director la poltica de autorizaciones de entrada en el Centro de Clculo? Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa? Quines saben cuales son las personas autorizadas? puede acceder a la Sala con acompaantes sin previo aviso. Una sola. El tcnico permanente de la firma suministradora. El personal de vigilancia y el Jefe de Explotacin.

Adems de la tarjeta magntica de identifica- No, solamente la primera. cin, hay que pasar otra especial? Se pregunta a las visitas si piensan visitar el No, vale la primera autorizacin. Centro de Clculo? Se preveen las visitas al Centro de Clculo con 24 horas al menos? TOTAL AUTORIZACIONES No, basta que vayan acompaados por el Jefe de Explotacin o Director

24/30 80%

Control de Accesos: Controles Automticos Preguntas Cree Ud. que los Controles Automticos son adecuados? Respuestas Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el Puntos 3

edificio principal. Quedan registradas todas las entradas y salidas del Centro de Clculo? Al final de cada turno, Se controla el nmero de entradas y salidas del personal de Operacin? Puede salirse del Centro de Clculo sin tarjeta magntica? Si, porque existe otra puerta de emergen-cia que puede abrirse desde adentro TOTAL CONTROLES AUTOMATICOS 14/20 70% 3 No, solamente las del personal ajeno a Operacin. S, y los vigilantes los reverifican. 5 3

Control de Accesos: Vigilancia Preguntas Hay vigilantes las 24 horas? Existen circuitos cerrados de TV exteriores? Identificadas las visitas, Se les acompaa hasta la persona que desean ver? Conocen los vigilantes los terminales que deben quedar encendidos por la noche? TOTAL VIGILANCIA 14/20 70% No, sera muy complicado. 2 S. S. No. Respuestas Puntos 5 5 2

Control de Accesos: Registros Preguntas Existe una adecuada poltica de registros? Respuestas No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Se ha registrado alguna vez a una persona? Se abren todos los paquetes dirigidos a personas concretas y no a Informtica? Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre. 3 Nunca. Casi nunca. 1 1 Puntos 1

TOTAL REGISTROS

6/20 30%

Clculos y Resultados del Ciclo de Seguridad

FASE 4. Clculos y resultados del ciclo de seguridad 9. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan.

10. Identificacin de materias mejorables. 11. Priorizacin de mejoras.

En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditora de Seguridad. El trabajo de levantamiento de informacin est concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes. Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuacin para lograrlas.

Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos: Autorizaciones Controles Automticos Vigilancia Registros 1. Promedio de Control de Accesos 80% 70% 70% 30% 62,5%

Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de Accesos tiene un peso final de 4. Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones, obtenindose los siguientes resultados:

Ciclo de Seguridad: Segmento 8, Seguridad Fsica. Secciones Seccin 1. Datos Seccin 2. Control de Accesos Seccin 3. Equipos (Centro de Clculo) Seccin 4. Documentos Seccin 5. Suministros Peso 6 4 5 3 2 Puntos 57,5% 62,5% 70% 52,5% 47,2%

Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Fsica:

Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5) Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20 Seg. 8 = 59,85%

A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad:

Ciclo de Seguridad. Evaluacin y pesos de Segmentos Segmentos Seg1. Normas y Estndares Seg2. Sistema Operativo Seg3. Software Bsico Seg4. Comunicaciones Seg5. Bases de Datos Pesos 10 10 12 12 12 Evaluacin 61% 90% 72% 55% 77,5%

Seg6. Procesos Seg7. Aplicaciones Seg8. Seguridad Fsica Promedio Total Area de Seguridad

14 16 14 100

51,2% 50,5% 59,8% 63,3%

Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:

a) Valoracin de las respuestas a las preguntas especficas realizadas en las entrevistas y a los cuestionarios formulados por escrito. b) Clculo matemtico de todas las subsecciones de cada seccin, como media aritmtica (promedio final) de las preguntas especficas. Recurdese que las subsecciones no se ponderan. c) Clculo matemtico de la Seccin, como media aritmtica (promedio final) de sus Subsecciones. La Seccin calculada tiene su peso correspondiente. d) Clculo matemtico del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso. e) Clculo matemtico de la auditora. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.

Finalmente, se procede a mostrar las reas auditadas con grficos de barras, exponindose primero los Segmentos, luego las Secciones y por ltimo las Subsecciones. En todos los casos s referenciarn respecto a tres zonas: roja, amarilla y verde. La zona roja corresponde a una situacin de debilidad que requiere acciones a corto plazo. Sern las ms prioritarias, tanto en la exposicin del Informe como en la toma de medidas para la correccin. La zona amarilla corresponde a una situacin discreta que requiere acciones a medio plazo, figurando a continuacin de las contenidas en la zona roja. La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.

Nula

Pobre

Insuficiente

Sufic.

Adecuado

buena

Excel.

Normativa

Sistema Operativo

Software Bsico

Comunicaciones

Bases de Datos

Procesos

Aplicaciones

Seguridad Fsica 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Confeccin del Informe del Ciclo de Seguridad

Fase5. Confeccin del informe del ciclo de seguridad 1. Preparacin de borrador de informe y Recomendaciones. 2. Discusin del borrador con el cliente. 3. Entrega del Informe y Carta de Introduccin.

Ha de resaltarse la importancia de la discusin de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporar al Informe Final.

Las Recomendaciones del Informe son de tres tipos:

1. Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn en primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se har de modo que sea simple verificar el cumplimiento de la misma por parte del cliente. 2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irn priorizadas. 3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una accin sencilla y econmica pueda originar beneficios importantes. Empresas que realizan auditoras externas:

Arthur Andersen: Tiene 420 oficinas en todo el mundo, casi 40.000 profesionales, y factura alrededor de 2,8 billones de dlares anuales. Invierte 250 millones de dlares por ao en educacin y capacitacin a medida. Menos del uno por ciento del presupuesto para entrenamiento se gasta fuera de la organizacin, aunque la cuota de educacin que cada profesional recibe es prcticamente equivalente a un master norteamericano. Se dictan los cursos de la compaa en el multimillonario Centro para la Capacitacin Profesional que Arthur Andersen posee cerca de Chicago, con capacidad para 1.700 estudiantes con cama y comida. En la Argentina, como en muchos otros mercados complejos, Arthur Andersen combina el tradicional papel de auditor con un rol ms creativo como consejero, en el cual la firma ayuda a sus clientes a mejorar sus operaciones a travs de la generacin de ideas nuevas y mejoras en sistemas y prcticas comerciales. Este punto de vista en materia auditora permite que las dos unidades de la firma puedan, en muchos casos, trabajar juntas en la elaboracin de proyectos especiales para empresas/clientes.

Price Waterhouse: De llegar a fusionarse con la empresa consultora Coopers & Lybrand, tendran una fuerza de trabajo de 135.000 personas, 8.500 socios y una facturacin anual superior a los 13.000 millones de dlares. Adems, el gigante Andersen pasara a ocupar el segundo lugar en el rnking de los Seis Grandes Internacionales.

Ernst & Young, etc.