Auditoria en Seguridad Privada UCSH

II. FALLAS Y VULNERABILIDADES DETECTADAS

EN UNA AUDITORIA DE SEGURIDAD

INTRODUCCION

La entropía, la negligencia y la relajación son algunos de los factores

que inciden en la falta de profesionalismo y que inciden
mayoritariamente en las fallas y las vulnerabilidades de seguridad en
cualquier tipo de organización o empresa.

Para combatir o neutralizar estos factores negativos y de riesgo, deben

existir en forma permanente planes de reentrenamiento y capacitación,
que permitan a los empleados mantener una “actitud” y colegido a lo
anterior “aptitudes” acondicionadas a romper la rutina y efectuar su
trabajo acorde a los requerimientos y sus competencias.

Por otra lado tenemos la “motivación”, elemento fundamental para lograr

“mirar y ver”, ser eficaces y eficientes, vale decir cumplir que significa
estar presente pero con resultados y no estar por estar. En esta etapa lo
fundamental es el trabajo de los Jefes y principalmente la Dirección de
las organizaciones y empresas prestadoras de seguridad, de otorgarles
los incentivos y reconocimientos necesarios que permitan esta
“motivación”.

En este aspecto es importante resaltar que todo lo anterior es “inversión”

en el recurso más importante cual son los integrantes de los equipos de
seguridad y no “gasto”, como erradamente se señala cada vez en menor
cuantía.

A lo anterior sumamos uno de los factores más importantes en toda

administración cual es el “control”, debiendo verificar si éstos se realizan
y de qué forma, proponiendo los cursos de acción necesarios para
mantenerlos, corregirlos o aumentarlos, acorde a los requerimientos de
los contratantes.

Diplomado en gestión de Seguridad Privada Integral Página 1

Auditoria en Seguridad Privada UCSH

POR EJEMPLO:

¿Por qué es tan crítica la seguridad de la información?

La información es el activo más importante de una organización. Este

activo todo el tiempo se traduce en dinero.

Y por lo tanto es importante que cada integrante de la misma la proteja

en los siguientes aspectos:

- Confidencialidad

- Integridad

- Disponibilidad

- Rastreabilidad
1

1
Tecnología Asertiva, S. de R.L. de C.V., México.

Diplomado en gestión de Seguridad Privada Integral Página 2

Auditoria en Seguridad Privada UCSH

La información de la organización puede ser:

¿Qué pasa si hay un incidente de seguridad?

Diplomado en gestión de Seguridad Privada Integral Página 3

Auditoria en Seguridad Privada UCSH

¿QUÉ ES UNA AUDITORÍA PRÁCTICA DE

SEGURIDAD?

Es una revisión de la seguridad en una organización en los 3 ámbitos

fundamentales:

Ø Gente

Ø Procesos

Ø Herramientas

ENTONCES …

 Permite estimar el nivel de madurez de los procesos, políticas y

herramientas que la organización utiliza para gestionar la
seguridad de su información de la organización.

Diplomado en gestión de Seguridad Privada Integral Página 4

Auditoria en Seguridad Privada UCSH

 Define el punto de partida para implementar cualquier estrategia y

proyecto de seguridad.

 Identifica áreas de oportunidad así como vulnerabilidades críticas

que deben atenderse de manera urgente.

 Permite establecer un comparativo entre el estado inicial y final en

materia de seguridad.

¿Qué es una vulnerabilidad?

 Es una falla o limitación en el diseño, procedimiento o
implementación de un sistema de seguridad, cualquiera que
este sea

¿Qué es un Análisis de Vulnerabilidades?

 Es normalmente parte de una auditoría de seguridad. Puede
realizarse de manera autónoma sobre elementos parciales o
la totalidad del entorno de de una organización.

¿Qué es una vulnerabilidad “explotable”?

 Es aquélla que representa un riesgo de seguridad para un
sistema. En caso de ser aprovechada o “explotada” podría
violarse la seguridad de la información que reside en el
mismo.
Q

Diplomado en gestión de Seguridad Privada Integral Página 5

Auditoria en Seguridad Privada UCSH

PRINCIPALES BENEFICIOS DE AUDITORÍA Y ANÁLISIS DE

VULNERABILIDADES

 Ofrece una radiografía general del entorno de seguridad actual de

la organización.
id
 Permite detectar fallas y otras vulnerabilidades de seguridad que
requieren una inmediata atención.

 Permite tener visibilidad de vulnerabilidades y riesgos a nivel

usuario, procesos y en el caso del sistema operativo,
infraestructura de comunicaciones e infraestructura de seguridad.

 Tener los elementos necesarios para justificar una estrategia o

plan de seguridad, mejorar la estrategia actual y generar un plan
de trabajo.

 Asertividad para lograr sus objetivos. el mi

 Ahorrar en costos de seguridad innecesarios y tener los elementos

para ofrecer un nivel de confianza adecuados.

Sus principales beneficios son…

“FINANCIEROS Y RENTABILIDAD”:

 Minimiza el impacto económico, social, comercial, laboral e

inclusive político, que fallas o vacíos de seguridad puedan llegar a
tener, al identificarlas y atenderlas.

 Permite justificar proyectos e iniciativas operativas y de seguridad

y ahorrar en costos de seguridad innecesarios (hardware,
software, guardias y equipos adicionales, etc.) que después de
identificar y justificar prioridades, no resultaran ser tan relevantes o
necesarias como se contemplaba previamente.

Diplomado en gestión de Seguridad Privada Integral Página 6

Auditoria en Seguridad Privada UCSH

 Tener los elementos necesarios para generar estrategias precisas

para incrementar el nivel de confianza de los usuarios, clientes y
proveedores de la organización en su propia estructura.

 Contar con un punto de referencia para identificar la brecha

existente entre el nivel actual de seguridad y el necesario o exigido
por lineamientos corporativos o legales y así como regulaciones
con las que la organización requiera cumplir.

Como consecuencia:

Una vez conocidas las fallas, vulnerabilidades y ataques a las que está
expuesto un sistema de seguridad, es necesario conocer los recursos
disponibles para protegerlo. Mientras algunas técnicas son evidentes
(seguridad física por ejemplo) otras pautas no lo son tanto e incluso
algunas pueden ocasionar una sensación de falsa seguridad.

Muchas de las vulnerabilidades son el resultado de implementación

incorrecta de tecnologías, otras son consecuencias de la falta de
planeamiento de las mismas pero, como ya se ha mencionado, la
mayoría de las fallas de seguridad son ocasionadas por al interior de las
organizaciones y es responsabilidad del auditor detectarlos y encontrar
la mejor manera de solucionarlos.

Después de lo expuesto, es el turno de estudiar implementaciones en la

búsqueda de mantener el sistema seguro. Siendo reiterativo, ninguna de
las técnicas expuestas a continuación representan el 100% de la
seguridad deseada, aunque muchas parezcan la panacea, será la suma
de algunas de ellas las que convertirán un sistema confiable.

“VULNERAR PARA PROTEGER”

Los intrusos utilizan diversas técnicas para quebrar los sistemas de

seguridad. Básicamente buscan los puntos débiles del sistema para
poder vulnerarla. El trabajo de los Auditores no difiere mucho de esto.

Diplomado en gestión de Seguridad Privada Integral Página 7

Auditoria en Seguridad Privada UCSH

En lo que sí se diferencia, y por completo, es en los objetivos: mientras

que un intruso penetra para distintos fines (copiar, dañar, robar, etc.,) un
auditor lo hace para poder mejorar los sistemas de seguridad. Por
ejemplo, en términos computacionales y comunicacionales respecto a la
vulneración de redes: "(...) los intrusos cuentan con grandes
herramientas como los escáner, los cracking de passwords, software de
análisis de vulnerabilidades y los exploits(...), en tanto un auditor cuenta
con todas ellas empleadas para bien, los Logs, los sistemas de
detección de intrusos y los sistemas de rastreo de intrusiones".

“PENETRATION TESTING (PRUEBAS DE PENETRACIÓN)”

El conjunto de técnicas que se utilizan para evaluar y probar la

seguridad por ejemplo de una red, se lo conoce como Penetration
Testing, uno de los recursos más poderosos con los que se cuenta hoy
para generar barreras cada vez más eficaces. Un test está totalmente
relacionado con el tipo de información que se maneja en cada
organización. Por consiguiente, según la información que deba ser
protegida, se determinan la estructura y las herramientas de seguridad;
no a la inversa el software y el hardware utilizados son una parte
importante, pero no la única. A ella se agrega lo que se denomina
"políticas de seguridad internas" que cada organización (y usuario) debe
generar e implementar2.

Ahora bien, cada entidad de seguridad, sea empresa, departamento u

oficina debe efectuar las pruebas necesarias que permitan detectar las
fallas y vulnerabilidades, en base a la planificación previa realizada por
“expertos en seguridad” y acorde al área específica que se requiere
auditar, siendo fundamental recurrir al apoyo de expertos de otras áreas
como ser la computación e informática, ingenierías y todas aquellas
útiles para dar cabal cumplimiento al requerimiento y al trabajo a
realizar. De esta forma se demuestra el “profesionalismo” de los
verdaderos expertos en seguridad y por consiguiente la renovación de

2
http://es.scribd.com/doc/18266497/METODOLOGIA-DE-LA-AUDITORIA#fullscreen

Diplomado en gestión de Seguridad Privada Integral Página 8

Auditoria en Seguridad Privada UCSH

sus servicios y el comentario y opinión favorables a otras personas,

entidades y organizaciones que requieran de sus servicios.

Cada planificación para detectar fallas y vulnerabilidades en seguridad

es distinta de acuerdo al tipo de empresa u organización, de acuerdo al
área que se desea auditar u otros requerimientos de los contratantes,
por lo que se debe incorporar en ésta de lo general a lo particular, de lo
macro a lo micro, sin saltar ningún paso que permita obviar un detalle
que a la larga resulte perjudicial o que genere un ejercicio deficiente.

Hay que procurar revisar lo que está dispuesto para ser auditado una y
otra vez, utilizando check list (listas de chequeos) o de comparación,
asimismo toda la literatura referente a lo revisado, sean manuales,
instrucciones, memos y otros que permitan ilustrar a los examinantes y a
su vez a los directores o ejecutivos con la opinión profesional,
proporcionado cursos de acción para la toma final de decisiones.

EMPLEO DE CHECKLIST (LISTAS DE CHEQUEO) UTILIZADAS EN

AUDITORIAS

El auditor profesional y experto en seguridad, es aquél que reelabora

muchas veces sus cuestionarios en función de los escenarios auditados.

Diplomado en gestión de Seguridad Privada Integral Página 9

Auditoria en Seguridad Privada UCSH

Tiene claro lo que necesita saber y por qué. Sus cuestionarios son
vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas
estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para
la confección sistemática de sus cuestionarios, de sus Check lists.
Hay opiniones que descalifican el uso de las Check lists, ya que
consideran que leer una pila de preguntas recitadas de memoria o leídas
en voz alta descalifica al auditor. Pero esto no es usar Check lists, es
una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de información a fin de obtener respuestas
coherentes que permitan una correcta descripción de puntos débiles y
fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas
que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Check list. Salvo
excepciones, éstas deben ser contestadas oralmente, ya que superan
en riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y la disposición del auditor, el
auditado responderá desde posiciones muy distintas y con disposición
muy variable. El auditado, integrante de la organización, percibe con
cierta facilidad el perfil técnico y los conocimientos del auditor,
precisamente a través de las preguntas que éste le formula. Esta
percepción configura el principio de autoridad y prestigio que el auditor
debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas
muy sistematizadas, coherentes y clasificadas por materias, todavía lo
es más el modo y el orden de su formulación.
Las empresas externas que realizan Auditorías en Seguridad guardan
sus listas de chequeo, pero de poco sirven si el auditor no las utiliza
adecuada y oportunamente. No debe olvidarse que la función auditora
se ejerce sobre bases de autoridad, prestigio y ética.
El auditor deberá aplicarlas de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y
solamente en los casos en que las respuestas se aparten
sustancialmente de la pregunta. En algunas ocasiones, se hará
necesario invitar a aquél a que exponga con mayor amplitud un tema
concreto, y en cualquier caso, se deberá evitar absolutamente la presión
sobre el mismo.

Diplomado en gestión de Seguridad Privada Integral Página 10

Auditoria en Seguridad Privada UCSH

Algunas de las preguntas de las Check lists utilizadas para cada sector,
deben ser repetidas. En efecto, bajo apariencia distinta, el auditor
formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes (denominadas preguntas
control). De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan
existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas.
El auditor, por su parte, tomará las notas imprescindibles en presencia
del auditado, y nunca escribirá cruces ni marcará cuestionarios en su
presencia.-

Diplomado en gestión de Seguridad Privada Integral Página 11