AUDITORIA DE LA

SEGURIDAD

Seguridad y auditoria

Con que tipo de controles

puedo contar?

Controles Directivos: Establecen polticas, creacin comits

Controles Preventivos: antes del hecho, identificacin de visitas(seguridad

fsica) o las contraseas(seguridad lgica)

Controles de deteccin: Revisin de accesos producidos o la deteccin de

incendios

Controles Recuperacin : Son los que facilitan la vuelta a la normalidad

despus de accidentes o contingencias

reas que pueden cubrir la

Auditoria de la Seguridad
Se incluye las que con carcter general pueden formar parte de los
objetivos de una revisin de seguridad.
Se verificara si se desarrollan en un entorno seguro y protegido el
rea de tcnica de sistemas, las redes, las base de datos y en
general cualquier rea, salvo que expresamente se quiera pasar
por alto la seguridad y concentrarse en otros aspectos como
pueden ser la gestin, costes, nivel de servicios, cumplimiento de
procedimientos generales

Evaluacin de riesgos

Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y

analizar medidas que los eliminen lo que generalmente no es posible o
que disminuya la probabilidad de que ocurra los hechos o mitiguen el
impacto.

Desde la perspectiva de la auditoria de la seguridad es necesario si se han

considerado las amenazas ya sea por errores y negligencias en general o
bien fraudes o delitos y que puedan traducirse en daos.

Es necesario evaluar las vulnerabilidades que existen, ya que la cadena de

proteccin se podr romper con mayor probabilidad por los eslabones mas
dbiles y es as como intentaran acceder de forma no autorizada

Riesgos

La proteccin no ha de basarse solo en dispositivos y medios fsicos, si no en

formacin e informacin adecuada al personal , empezando por la mentalizacin a
los directivos para que, en cascada, afecte a todos los niveles de la pirmide
organizativa.

Es necesario una separacin de funciones: Es peligroso que una misma persona

realice una transaccin, la autorice, y de despus revise los resultados, esto podra
llevar a un fraude o encubrir cualquier anomala.

Una vez identificados los riesgos lo mejor seria poder eliminarlos , pero ya hemos
indicado que normalmente lo mas que conseguimos es disminuir la probabilidad de
que algo se produzca.

Al hablar de seguridad siempre se habla de sus tres dimensiones clsicas:

La confidencialidad: Se cumple cuando solo las personas autorizadas pueden conocer los
datos o informacin correspondiente.
La integridad: Consiste en que solo el usuario autorizado pueda variar los datos. (modificar
o borrar) , debe quedar pistas para el controles posteriores.
La disponibilidad: Se alcanza si la persona autorizada puede acceder a tiempo a la
informacin a la que estn autorizadas.

Fases de la Auditoria

Determinacin de los objetivos y delimitacin del alcance y profundidad de

la auditoria, as como el periodo cubierto en su caso.

Anlisis de posibles fuentes y recopilacin de informacin

Adaptacin de cuestionarios

Realizacin de entrevistas y pruebas.

Anlisis de resultados y valoracin de riesgos.

Presentacin y discusiones del informe provisional.

Informe definitivo.

Auditoria de la Seguridad Fsica

Se evaluaran las protecciones fsicas de datos, programas, instalaciones,

equipos, redes y soporte.
Desde la perspectiva de las protecciones fsicas algunos aspectos a
considerar son:
Ubicacin del centro de procesos de los servidores
Diseo, construccin y distribucin de los edificios y de sus plantas
Amenazas de fuego, riesgos por agua, etc
Proteccin de los soportes magnticos en cuanto a accesos,
almacenamiento y posible transporte, adems de proteccin de
documentacin impresa y de cualquier tipo de documentacin

Auditoria de la Seguridad lgica

Es necesario verificar que cada usuario solo pueda acceder a los recursos
a los que este autorizado segn su funcin y a lo que se le permita ya sea:
Lectura, modificacin, borrado etc.

Desde el punto de vista de la auditoria es necesario revisar la

autentificacin de los usuarios, como han sido autorizado y por quien y que
ocurre cuando ocurren transgresiones. Quien se entera y cuando y que se
hace.

En cuanto a autenticacin el mtodo mas usado es la contrasea, algunos

aspectos a considerar:
- Quien asigna la contrasea
- Longitud mnima y composicin de caracteres.
- Vigencia
- Numero de intentos que se permiten al usuario e investigacin posterior
de los fallidos: pueden ser errores del usuario o intentos de suplantacin

Auditoria del Desarrollo de

Aplicaciones
Todos los desarrollos deben estar autorizados a distinto nivel segn
la importancia del desarrollo a abordar, incluso para evitar
problemas debe ser autorizados por un comit si los costos o
riesgos superan los limites.
Se debe de realizar revisiones de programas a fin de determinar
la ausencia de caballos de Troya, bombas lgicas y similares.

Auditoria de la Seguridad en
Comunicaciones y Redes
Deben de existir protecciones de distintos tipo, tanto preventivas
como de deteccin, ante posibles accesos sobre todo externos.
Los usuarios tendr restriccin de accesos segn dominios,
nicamente los programas autorizados.

Puntos a revisar:
Tipos de redes y conexin
Informacin y programas transmitidos y el uso de cifrado
Tipo de transacciones
Tipos de terminales y protecciones: fsicas, lgicas
Transferencia de archivos y controles existentes
Consideraciones especial respecto a las conexiones externas

Auditoria de la Seguridad de los Datos

La proteccin de los datos puede tener varios enfoques respecto a las
caractersticas citadas:
Confidencialidad, Disponibilidad e integridad
Ciclo de vida de los Datos
Existen controles en los diferentes puntos del ciclo de vida de los datos,
que es lo que ha de revisar en la auditoria.
Desde el origen del dato puede incluir preparacin, autorizacin,
incorporacin al sistema.

Proceso de los datos: controles de validacin, almacenamiento, que

existan copias suficientes.
Salida de resultados: controles en transmisin, en impresin, distribucin,
servicios contratados de manipulacin y en el envi.
Retencin de la informacin y proteccin en funcin de su clasificacin:

Auditoria de la Continuidad de
las Operaciones
Es uno de los puntos que nunca se deberan pasar por alto en una
auditoria de seguridad, por las consecuencias que puede tener el
no haberlo revisado o haberlo hecho sin la suficiente profundidad.
En la auditoria es necesario revisar si existe un plan, si es
completo y actualizado o bien si existen planes diferentes segn
entornos.
Debe de existir un manual completo y exhaustivo relacionado con la
continuidad en el que se contemplen diferentes tipos de incidencias

Fuentes de la Auditoria
Las fuentes estarn relacionados con los objetivos, y entre
ellas pueden estar:
Polticas, normas y procedimientos
Planes de seguridad y continuidad
Organigrama y manual de funciones
Inventarios
Planes de instalaciones
Documentacin de planes de continuidad y sus pruebas

Perfil de un Auditor