AUDITORA DE LA SEGURIDAD

Una auditora de seguridad consiste en apoyarse en un tercero de confianza

(generalmente una compaa que se especializada en la seguridad
informtica) para validar las medidas de proteccin que se llevan a cabo,
sobre la base de la poltica de seguridad.

El objetivo de la auditora es verificar que cada regla de la poltica de
seguridad se aplique correctamente y que todas las medidas tomadas
conformen un todo coherente.

Una auditora de seguridad garantiza que el conjunto de disposiciones
tomadas por la empresa se consideren seguras.
1. REAS QUE PUEDE CUBRIR LA AUDITORA DE LA
SEGURIDAD
Las reas generales son:
controles directivos, es decir, los fundamentos de la seguridad: polticas,
planes, funciones, existencia y funcionamiento de algn comit
relacionado, objetivos de control, presupuesto.
El desarrollo de las polticas: procedimientos, posibles estndares, normas
y guas, sin ser suficiente que existan estas ltimas.
Marco jurdico aplicable.
Amenazas fsicas externas: inundaciones, incendios, explosiones, corte de
lneas o de suministros, terremotos, terrorismo, huelgas.
Control de accesos adecuado, tanto fsicos como los denominados lgicos,
para que cada usuario pueda acceder a los recursos a que est autorizado y
realizar slo las funciones permitidas: lectura, variacin, ejecucin,
borrado, copia.
Proteccin de datos: en cuanto a los datos de carcter personal bajo
tratamiento automatizado, y otros controles en cuanto a los datos en
general, segn la clasificacin que exista, la designacin de propietarios y
los riesgos a que estn sometidos.
Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso
de cifrado, protecciones ante virus, stas tambin en sistemas aislados
aunque el impacto ser menor que en una red.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que stos resulten auditables.
2. EVALUACIN DE RIESGOS
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
informacin almacenada, procesada y transmitida, la criticidad de las
aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la
entidad, la entidad misma y el momento.
La evaluacin de riesgos puede ser global: todos los sistemas de informacin,
centros y plataformas, que puede equivaler a un chequeo mdico general de
un individuo, y que es habitual la primera vez que se realiza, o bien cuando se
ha producido el nombramiento de algn responsable relacionado, o cuando
una entidad compra otra, pero puede producirse tambin una evaluacin
parcial de riesgos.
3. FASES DE LA AUDITORA DE SEGURIDAD
Concrecin de los objetivos y delimitacin del alcance y profundidad de la
auditora, as como de\ perodo cubierto en su caso,
Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los
internos este proceso puede no existir.
Determinacin del plan de trabajo y de los recursos y plazos en caso
necesario, as como de comunicacin a la entidad.
Adaptacin de cuestionarios, y a veces consideracin de herramientas o
perfiles de especialistas necesarios, sobre todo en la auditora externa.
Realizacin de entrevistas y pruebas.
Anlisis de resultados y valoracin de riesgos.
Presentacin y discusin del informe provisional.
Informe definitivo.

4. AUDITORA DE LA SEGURIDAD FSICA
Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo,
accidentes de distinto tipo, incendios, inundaciones, averas importantes,
derrumbamientos, explosiones, as como otros que afectan a las personas y
pueden impactar el funcionamiento de los centros, tales como errores,
negligencias, huelgas, epidemias o intoxicaciones.
Desde la perspectiva de las protecciones fsicas algunos aspectos a considerar
son:
Ubicacin del centro de procesos, de los servidores locales, y en general de
cualquier elemento a proteger,
Estructura, diseo, construccin y distribucin de los edificios y de sus
plantas.
Riesgos a los que estn expuestos, tanto por agentes externos, casuales o
no, como por accesos fsicos no controlados.
Amenazas de fuego (materiales empleados); riesgos por agua: por
accidentes atmosfricos o por averas en las conducciones;
Controles tanto preventivos como de deteccin relacionados con los puntos
anteriores, as como de acceso basndose en la clasificacin de reas segn
usuarios

5. AUDITORA DE LA SEGURIDAD LGICA
Desde el punto de vista de la auditora es necesario revisar cmo se identifican
y sobre todo autentican los usuarios, cmo han sido autorizados y por quin, y
qu ocurre cuando se producen transgresiones o intentos: quin se entera y
cundo y qu se hace.
Algunos de los aspectos a evaluar respecto a las contraseas pueden ser:
Quin asigna la contrasea: inicial y sucesivas.
Longitud mnima y composicin de caracteres.
Vigencia, incluso puede haberlas de un solo uso o dependientes de una
funcin tiempo.
Control para no asignar las x ltimas.
Nmero de intentos que se permiten al usuario, e investigacin posterior de
los fallidos: pueden ser errores del usuario o intentos de suplantacin.
Si las contraseas estn cifradas y bajo qu sistema, y sobre todo que no
aparezcan en claro en las pantallas, listados, mensajes de comunicaciones o
corrientes de trabajos (JCL en algunos sistemas).
Proteccin o cambio de las contraseas iniciales que llegan en los sistemas, y
que a menudo aparecen en los propios manuales.
Controles existentes para evitar y detectar caballos de Troya
6. AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE
APLICACIONES
Todos los desarrollos deben estar autorizados a distinto nivel segn la
importancia del desarrollo a abordar, incluso autorizados por un comit si los
costes o los riesgos superan unos umbrales; se revisar la participacin de
usuarios, y de los auditores internos si la auditora es externa, a qu libreras
pueden acceder los desarrolladores, si hay separacin suficiente de entornos, la
metodologa seguida, ciclos de vida, gestin de los proyectos, consideraciones
especiales respecto a aplicaciones que traten datos clasificados o que tengan
transacciones econmicas o de riesgo especial,
Otro aspecto es la proteccin de los programas, al menos desde dos
perspectivas: de los programas, que sean propiedad de la entidad, realizados por
el personal propio o contratado su desarrollo a terceros, como el uso adecuado
de aquellos programas de los que se tenga licencia de uso.
7. AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN
Las entidades han de cuidar especialmente las medidas de proteccin en el
caso de contratacin de servicios: desde el posible marcado de datos, proceso,
impresin de etiquetas, distribucin, acciones comerciales, gestin de cobros,
Tambin debe revisarse la proteccin de utilidades o programas
especialmente peligrosos, as como el control en generacin y cambios
posteriores de todo el software de sistemas, y de forma especial el de control
de accesos.
8. AUDITORA DE LA SEGURIDAD DE LOS DATOS
La proteccin de los datos puede tener varios enfoques respecto a las
caractersticas: la confidencialidad, disponibilidad e integridad. Puede haber
datos crticos en cuanto a su confidencialidad, como datos mdicos u otros
especialmente sensibles (sobre religin, sexo, raza...), otros datos crticos
atendiendo a su integridad, especialmente cuando su prdida no puede
detectarse fcilmente o una vez detectada no es fcil reconstruirlos.
Que es lo que ha de revisarse en la auditora:
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y
puede incluir preparacin, autorizacin, incorporacin al sistema.
Proceso de los datos: controles de validacin, integridad, almacenamiento:
que existan copias suficientes, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresin, en
distribucin, en servicios contratados de manipulacin y en el envo.
Retencin de la informacin y proteccin en funcin de su clasificacin:
destruccin de los diferentes soportes que la contengan cuando ya no sea
necesaria, o bien desmagnetizacin.

9. AUDITORA DE LA SEGURIDAD EN COMUNICACIONES Y
REDES
En funcin de la clasificacin de los datos se habr previsto el uso de cifrado,
que en la auditora se evaluar o se llegar a recomendar, y se revisarn la
generacin, longitud, comunicacin, almacenamiento y vigencia de las claves,
especialmente de las maestras.
Los usuarios tendrn restriccin de accesos segn dominios, nicamente
podrn cargar los programas autorizados, y slo podrn variar las
configuraciones y componentes los tcnicos autorizados.
Algunos de los puntos complementarios a revisar son:
Tipos de redes y conexiones.
Informacin y programas transmitidos, y uso de cifrado.
Tipos de transacciones.
Tipos de terminales y protecciones: fsicas, lgicas, llamada de retomo.
Proteccin de transmisiones por fax si el contenido est clasificado, si bien
es preferible evitar el uso de este medio en ese caso.
Proteccin de conversaciones de voz en caso necesario.
Transferencia de archivos y controles existentes.
Consideracin especial respecto a las conexiones externas a travs de
pasarelas (gateway) y encaminadores (routers), as como qu controles
existen.
10. AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES
Plan de Contingencia o Plan de Continuidad, frente a otras denominaciones
que en principio descartamos como Recuperacin de Desastres o Plan de
Desastres (s nos parece adecuada Plan de Recuperacin ante Desastres, pero
las incidencias a prever son tambin de otros niveles).
Es necesario verificar que la solucin adoptada es adecuada: centro propio,
ajeno, compartido o no... y que existe el oportuno contrato si hay participacin
de otras entidades aunque sean del mismo grupo o sector. No est de ms
revisar si en el caso de una incidencia que afectara a varias entidades
geogrficamente prximas la solucin prevista dara el servicio previsto a la
auditada.
Debe existir un manual completo y exhaustivo relacionado con la continuidad
en el que se contemplen diferentes tipos de incidencias y a qu nivel se puede
decidir que se trata de una contingencia y de qu tipo.
11. FUENTES DE LA AUDITORA
Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar:
Polticas, estndares, normas y procedimientos.
Planes de seguridad.
Contratos, plizas de seguros.
Organigrama y descripcin de funciones.
Documentacin de aplicaciones.
Descripcin de dispositivos relacionados con la seguridad.
Manuales tcnicos de sistemas operativos o de herramientas.
Inventarios: de soportes, de aplicaciones.
Topologa de redes.
Planos de instalaciones.
Registros: de problemas, de cambios, de visitas, de accesos lgicos
producidos.
Entrevistas a diferentes niveles.
Archivos.
Programas.
La observacin: no figura en los manuales pero la consideramos importante.
Actas de reuniones relacionadas.
Documentacin de planes de continuidad y sus pruebas.
Informes de suministradores o consultores.
1
2
.

E
L

P
E
R
F
I
L

D
E
L

A
U
D
I
T
O
R



QUE PUEDEN/DEBEN HACER LOS AUDITORES


Ser independientes y objetivos
Actuar en beneficio propio por encima del inters del
cliente
Recomendar Obligar, forzar, amenazar
Ser competentes en la materia (seguridad)
Asumir encargos para los que no estn preparados
Basar sus informes en verificaciones y evidencias
Basarlos en suposiciones
Verificar que se evalan peridicamente riegos o bien
evaluarlos
Revisar la seguridad da a da o administrarla (son
funciones de otros)
Conocer perfiles de usuarios Realizar gestin perfiles de usuarios
Conocer criterios y prcticas sobre contraseas
Gestin/asignacin contraseas o conocerlas
Verificar que las aplicaciones se desarrollan y mantienen
segn normas y se incorporan controles
Realizar funciones de anlisis o gestionar proyectos
Revisar codificacin de programas (seguridad y Calidad) y las
pruebas realizadas, o bien probarlos
Codificar programas
Revisar la documentacin (aplicaciones, programas)
Realizar la documentacin
Verificar que siguen los procedimientos Escribir procedimientos
Responsabilizarse del contenido de sus informes Aceptar presiones de sus jefes o clientes y que el
informe no sea veraz
Evaluar riesgos e informes
Garantizar que no se puedan realizar/haber realizado
delitos, fraudes o errores
Sustentar los informes con papeles de trabajo
Enzarzarse en discusiones de diferencias de opiniones
Estar al da en cuanto a avances, riesgos, metodologas Auditar con tcnicas, mtodos o recomendaciones
obsoletos


P
a
u
t
a
s

d
e

c
o
n
d
u
c
t
a

d
e

l
o
s

a
u
d
i
t
o
r
e
s

QUE NO DEBEN HACER LOS AUDITORES

13. CONSIDERACIONES RESPECTO AL INFORME
En cada punto que se incluya debe explicarse por qu es un incumplimiento
o una debilidad, as como alguna recomendacin, a veces abarcando varios
puntos.
El informe ha de ser necesariamente revisado por los auditados, as como
discutido si es necesario antes de emitir el definitivo.
En muchos casos, bien en el propio informe o en otro documento, se
recogen las respuestas de los auditados, sobre todo cuando la auditora es
interna.
La entidad decide qu acciones tomar a partir del informe, y en el caso de los
auditores internos stos suelen hacer tambin un seguimiento de las
implantaciones.
Los auditados siempre buscan un informe lo ms benigno posible, mientras
que los auditores nos proponemos llegar a un informe veraz y til; estos
diferentes puntos de vista a veces crean conflictos en el proceso de
auditora y en la discusin del informe.

14. CONTRATACIN DE AUDITORA EXTERNA
La entidad auditora ha de ser independiente de la auditada en el caso de una
auditora externa: si est ofreciendo otros servicios a la vez, o piensa ofrecerlos
en el futuro, o incluso a veces si ha sido proveedora en el pasado, a menudo
puede encontrar dificultades internas para entregar un informe veraz y
completo.
En ocasiones los propios auditores lo han llegado a comunicar, por tica.
Las personas que vayan a realizar el trabajo han de ser independientes y
competentes.
Recordemos que puede ser necesario dar o mostrar a los auditores todo lo que
necesiten para realizar su trabajo, pero nada ms, e incluso lo que se les
muestre o a lo que se les permita acceder puede ser con restricciones: slo
parte de una base de datos, epgrafes de algunas actas, o simplemente
mostrarles documentacin, que no pueden copiar o no pueden sacar de las
instalaciones del cliente: se puede exigir una clusula de confidencialidad, y
raramente se les deben mostrar datos reales confidenciales de clientes,
proveedores, empleados u otros, aunque se haga en la prctica con frecuencia.
15. RELACIN DE AUDITORA CON ADMINISTRACIN DE
SEGURIDAD
La funcin de auditora de sistemas de informacin y la de administracin de
seguridad pueden ser complementarias, si bien sin perder su independencia: se
trata de funciones que contribuyen a una mayor y mejor proteccin, y resultan
como anillo^ protectores,
Administracin de Seguridad puede depender del rea de Sistemas de
Informacin, sobre todo si existe Auditora de SI interna, pero si puede estar
en peligro su desempeo quiz sea preferible que tenga otra dependencia
superior, o al menos una dependencia funcional de reas usuarias como puede
ser de Direccin de Operaciones o similar; la existencia de un comit de
Seguridad de la Informacin, o bien de una funcin de Seguridad Corporativa
puede resultar til.
EL INFORME DE AUDITORA

Una vez realizada la Auditoria debe emitirse una opinin
que estara plasmada en un informe.
El informe de auditora es rendido por el auditor
informtico.
El informe de auditora es al final de cuentas el objetivo
principal de la auditora informtica.
La informtica en s misma, ha avanzado a pasos
agigantados, y esto ha provocado una dificultad de
asimilacin rpida y equilibrada en la empresa de los
entornos tecnolgicos y de organizacin.

Faces:
LAS
NORMAS
LA
EVIDENCIA
LAS
IRREGULA
RIDADES
LA
DOCUMEN
TACION
EL
INFORME
NORMAS DE LA AUDITORA INFORMTICA
Por el momento se est tomando como base a las
Normas Internacionales IFAC publicadas en el Libro
Verde de la Auditora para efectos de su aplicacin en la
Unin Europea, cuyo contenido afecta a la auditora
informtica.
Tambin en Europa se tiene otra base legal denominada
Tratamiento Automatizado de Datos de Carcter
Personal basados en una Ley Orgnica.
Otra base legal son las normas internacionales ISACF ya
ms especializada hacia la auditora informtica.
ICAC: Normas y Tcnicas de Auditora. Estudio y
evaluacin del control interno.


LA EVIDENCIA
De acuerdo al autor, existen cuatro tipos de evidencia:
1. La evidencia relevante. Relacionada con los
objetivos de la auditora.
2. La evidencia fiable. Que es vlida y objetiva con un
nivel de confianza.
3. La evidencia suficiente. Que es de tipo cuantitativo,
que da soporte en opinin del auditor informtico.
4. La evidencia adecuada. Es de tipo cualitativo.
Qu son las pruebas de auditora?
Las pruebas son de cumplimiento o sustantivas, siempre
considerando el principio de la importancia relativa
(explicar).
Las opiniones no deben llevar prejuicios.

IRREGULARIDADES
Se puede decir que las irregularidades son errores o
fraudes de acuerdo con el ya citado Libro Verde.

El siguiente paso en auditora informtica es la auditora
de cuentas, la cual se pretende en su justa dimensin de
los Estados Unidos.


LA DOCUMENTACIN
En el lenguaje de auditora de estados financieros se le
conoce como los papeles de trabajo (explicar), los cuales
pueden tener base para juicios y demandas legales.
Explicar su organizacin, cdigos, estructura, etctera.
Dentro de documentacin clave de una auditora
informtica est:
1.El contrato del auditor con la empresa auditada.
2.Las declaraciones de la direccin.
3.Los contratos o equivalentes que afecten al sistema de
informacin as como la opinin jurdica del cliente sobre
asuntos actuales o previsibles en un futuro.
4.Informe sobre terceros vinculados.
5.Conocimiento sobre la actividad del cliente.

EL INFORME
El informe del auditor debe contener:
1. Objetivos.
2. Perodo revisado.
3. Naturaleza.
4. Extensin del trabajo realizado.
5. Resultados.
6. Conclusiones.
Debe separarse lo que es significativo o duelo que no lo es. En otras
palabras se aplica el principio de la importancia relativa.

Existen dos tipos de informes: El Largo y el Corto (explicar).
El informe tiene que ser: claro, adecuado, suficiente y comprensible.
Debe ser utilizado un lenguaje informtico apropiado.

Los aspectos esenciales de un informe de auditora informtica son:
1.Identificacin del informe, (Nombre que se le da al informe como tal).
2. Identificacin del cliente.
3. Identificacin de la entidad auditada.

OBJETIVOS DE LA AUDITORA INFORMTICA.
Establecimiento de los objetivos de la auditora para poder conocer su
propsito, sealando los objetivos que no pudieron ser cumplidos.
NORMATIVA APLICADA Y EXCEPCIONES
Dar a conocer las normas legales y profesionales utilizadas y las
excepciones significativas de uso y su posible impacto en los
resultados de la auditora.

ALCANCE DE LA AUDITORA.
Determinar la extensin de la auditora y del trabajo realizado, periodo
de la auditora, sistemas de informacin, sealando en todo momento
las limitaciones, alcances y restricciones de la entidad auditada.

CONCLUSIONES EN UN INFORME CORTO DE OPININ.
Dar a conocer los resultados de la auditora, la esencia del dictamen, la
opinin, salvedades.

En Mxico esto se conoce como dictamen limpio, o bien con
salvedades. ste tipo de dictamen es el resultado del trabajo realizado
sin limitaciones y sin incertidumbre.

Cuando un dictamen tiene salvedades, debe ser claramente
especificadas para que el lector conozca las implicaciones de este tipo
de irregularidades.


El Dictamen con Salvedades: Se refiere especficamente a los
siguientes aspectos:
1. Limitaciones en el alcance del trabajo, o dicho de otra
manera restricciones impuestas por el auditado.
2. Incertidumbre que no permite una previsin razonable.
3. Irregularidades significativas.
4. Incumplimiento legal de las normas.

Opinin Desfavorable: Se refiere especficamente a:
1. Identificacin de irregularidades.
2. Incumplimiento de las leyes que afecten
significativamente los objetivos de la auditora informtica
estipulados.

Opinin denegada. Puede darse por los siguientes motivos:
1. Limitaciones en el alcance de la auditora.
2. Incertidumbres que impidan al auditor formarse una
opinin.
3. Irregularidades graves.
4. Incumplimiento de la normativa legal y profesional.

INFORME LARGO Y CORTOS
El lmite de una auditora est dado por los papeles de trabajo o
documentacin de la auditora informtica, pero existen otros
aspectos tales como:
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditora, etc.
Existen reportes especiales tales como debilidades en el
control interno, o bien reportes especiales para la Comisin
nacional bancaria y de valores u otros organismos
especializados.
Informes Previos:
Se proporciona un informe previo sobre las irregularidades
encontradas, pero si se trata de un fraude debe actuarse de
inmediato y tiene responsabilidad el auditor informtico si no lo
detecta y reporta de inmediato.
Fecha del Informe:
Es indispensable identificar las fechas de inicio y trmino de la
auditora incluyendo la fecha de cierre de ejercicio.
Identificacin y Firma del Auditor: