Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de La Seguridad PDF
Auditoria de La Seguridad PDF
AUDITORIA DE LA SEGURIDAD
17.1. INTRODUCCIÓN
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto
de que en algunas entidades se creó inicialmente la función de auditoría informática
para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditoría, puede existir auditoría de
otras áreas, y queda un espacio de encuentro: la auditoría de la seguridad (figura 17.1),
y cuya área puede ser mayor o menor según la entidad y el momento.
Auditoría
de la
Seguridad Auditoria
Seguridad
(También es cierto que en muchos casos tan necesario o más que la protecciónde
la información puede ser que las inversiones en sistemas y tecnologías de la
información estén alineadas con las estrategias de la entidad, huyendo del enfoque de
la tecnología por la tecnología.)
Las áreas que puede abarcar la Auditoría Informática las recogía el autor de este
capítulo en su tesis doctoral en 1990, y en líneas generales vienen a coincidir con las
expuestas en esta obra.
V -*a6íB!!SEí3a>w V
O DIRECc
En definitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno , ypodemos añadir, que no conocemos la mayor parte de las que pasan, porque
ya se ocupan las entidades afectadas de que no se difundan.
Volviendo al control, los grandes grupos de controles son los siguientes, además
de poderlos dividir en manuales y automáticos, oen generales yde aplicación:
• Controles directivos, que son los que establecen las bases, como las políticas,
o la creación de comités relacionados o de funciones: de administración de
seguridad o auditoría de sistemas de información interna.
Los auditores somos, en cierto modo, los "ojos y oídos" de la Dirección, que a
menudo no puede, o no debe, o no sabe, cómo realizar las verificaciones o
evaluaciones. (En cuanto a los ojos sigue existiendo en algunos sectores la figura
clásica del veedor.)
® CAPÍTULO 17: AUDITORÍA DE LA SEGURIDAD 593
Se incluyen las que con carácter general pueden formar parte de los objetivos de
una revisión de la seguridad, si bien ésta puede abarcar sólo parte de ellas si así se ha
determinado de antemano.
En una auditoría de otros aspectos -y, por tanto, en otros capítulos de esta misma
obra- pueden también surgir revisiones solapadas con la seguridad; así, a la hora de
revisar los desarrollos, normalmente se verá si se realizan en un entorno seguro y
protegido, y lo mismo a la hora de revisar la explotación, o el área de técnica de
sistemas, las redes, la informática de usuario final, las bases de datos... y en general
cualquier área, salvo que expresamente se quiera pasar por alto la seguridad y
394 AUDITORÍA INFORMÁTICA: UN ENFOQUE PR.ÁCT1C0 cra-ma
concentrarse en otros aspectos como pueden ser la gestión, costes, nivel de servicio,
cumplimiento de procedimientos generales, calidad, o cualquier otro.
Volviendo a las áreas, las que se citan pueden ser objeto de la auditoría de
seguridad, si bien en cada caso se habrán fijado los objetivos que más interesen, no
considerando o por lo menos no con el mismo énfasis otros, si bien debiendo quedar
claro y por escrito cuáles son esos objetivos, tanto cuando se trate de una auditoría
interna como extema, en cuyo caso puede mediar un contrato o al menos una
propuesta y carta de aceptación.
Las áreas generales citadas, algunas de las cuales se amplían después, son:
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace
y partes comunes: comunicaciones con control de accesos, cifrado con comunica
ciones y soportes, datos con soportes y con comunicaciones, explotación con varias de
ellas, y así en otros casos.
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la
tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y
el momento.
Para ello los auditores disponemos de listas, que normalmente incluimos en hojas
de cálculo, o bien usamos paquetes, y tal vez en el futuro sistemas exentos. El
problema sigue siendo la adaptación de los puntos a cada caso, y asignar el peso que
puede tener cada uno de los puntos.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena
de protección se podrá romper con mayor probabilidad porlos eslabones más débiles,
que serán los que preferentemente intentarán usar quienes quieran acceder de forma no
autorizada.
En todo caso debemos transmitir a los auditados que, además, la seguridad tiene
un impacto favorable en la imagen de las entidades (aunque esto sólo no suela
justificar las inversiones), y tanto para clientes y posibles como para los empleados.
Unos y otros pueden sentirse más protegidos, así como sus activos.
1=^
o Ra-ma CAPITULO 17: AUDITORIA DE LA SEGURIDAD 397
fije Oapruebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo
de seguridad se quiere implantar o se ha implantado, qué políticas y procedimientos
existen: su idoneidad y grado de cumplimiento, así como la forma en que se realiza el
desarrollo de aplicaciones, si el proceso se lleva a cabo igualmente en un entorno
seguro con separación de programas y separación en cuanto a datos, si los seguros
cubren los riesgos residuales, y si está prevista la continuidad de las operaciones en el
caso de incidencias.
Una vez identificados y medidos los riesgos, lo mejor sería poder eliminarlos,
pero ya hemos indicado que normalmente lo más que conseguimos es disminuir la
probabilidad de que algo se produzca o bien su impacto: con sistemas de detección, de
extinción, mediante revisiones periódicas, copiando archivos críticos, exigiendo una
contraseña u otros controles según los casos.
Otra posibilidad es asumir los riesgos, pero debe hacerse a un nivel adecuado en
la entidad, y considerando que puede ser mucho mayor el coste de la inseguridad que
el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido algo. ¿Cuál es el
riesgo máximo admisible que puede permitirse una entidad? Alguna vez se nos ha
hecho la pregunta, y depende de lo crítica que sea para la entidad la información así
como disponer de ella, e incluso puede depender del momento: es un tema tan crítico
que no puede generalizarse.
Algunos de los riesgos se han podido asumir de forma temporal, por estar en
proceso *'de cambio las plataformas, las aplicaciones o las instalacione.s, o por no
existir presupuesto ante las grandes inversiones necesarias; en todos los casos debe
constar por escrito que se asumen y quién lo hace, y ha de ser alguien con potestad
para hacerlo, ya que a menudo son técnicos intermedios quienes asumen la
responsabilidad sin poder hacerlo, o bien los directivos señalan a los técnicos cuando
ocurre algo sin querer asumir ninguna responsabilidad.
por áreas como por centros, departamentos, redes o aplicaciones, así como previa a un
proyecto, como puede ser una aplicación a iniciar.
En estos casos se debe considerar la metodología que se sigue para evaluar los
riesgos más que las herramientas, aunque sin dejar de analizar éstas, y si se han
considerado todos los riesgos -al menos los más importantes- y si se han medido bien,
ya que sobre todo cuando la evaluación se hace de forma interna por técnicos del área
de sistemas de información, suelen minimizar los riesgos porque llevan años
conviviendo con ellos o simplemente los desconocen.
Podemos preguntamos ¿qué ocurriría si un soporte magnético con los datos de los
clientes o empleados de una entidad fuera cedido a terceros?, ¿cuál podría ser su uso
final?, ¿habría unacadena de cesiones o ventas incontroladas de esos datos?
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (corruptas
decimos a veces), lo que haría difícil la reconstrucción.
Más grave aún puede ser la ausencia de disponibilidad absoluta por haberse
producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto será
mayor, hasta llegar a suponer la falta de continuidad de la entidad como ha pasado en
muchos de los casos producidos (más de un 80% según las estadísticas).
Debe existir además autenticidad: que los datos o información sean auténticos,
introducidos o comunicados por usuarios auténticos y con las autorizaciones
necesarias.
(Hay algo más que no recogemos en los informes, pero convencidos de que se
trata de una amenaza real sílo comentamos verbalmente a veces en la presentación del
informe o en cursos a sabiendas de que produce comentarios: la lotería; si toca en un
área un premio importante, juegan todos el mismo número, y no existen sustitutos ono
hay una documentación adecuada -pensemos en un grupo que mantiene una
aplicación- se puede originar un problema importante, y la, prevención no es fácil
porque no se puede impedir el hecho.)
• Riesgos a los que están expuestos, tanto por agentes extemos, casuales o no,
como por accesos físicos no controlados.
Todos los puntos anteriores pueden, además, estar cubiertos por seguros.
402 AUDITORÍA INFORMÁTICA: UN ENFOQUE PILÁCTICO ora-ma
• Si las contraseñas están cifradas y bajo qué sistema, y sobre todo que no
aparezcan en claro en las pantallas, listados, mensajes de comunicaciones o
corrientes de trabajos (JCL en algunos sistemas).
Aunque los libros no suelen citarlo así, nos gusta hablar de controles en los
diferentes puntos del ciclo de vida de los datos, que es lo que ha de revisarse en la
auditoría:
• Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede
incluir preparación, autorización, incorporación al sistema: por el cliente, por
empleados, o bien ser captado de otra forma, y debe revisarse cómo se
verifican los errores.
Aquellos soportes que contengan datos o información de los niveles más críticos
estarán especialmente protegidos, incluso cifrados. Entre esos soportes pueden estar;
magnéticos, papel, comunicaciones, correo electrónico, fax, e incluso voz.
En una ocasión hemos recomendado en una auditoría que las copias que
recibieran distintos directivos no fueran idénticas —sin afectar a su contenido
sustancial- a fin de poder detectar el origen de fugas o copias, que al parecer se
sospechaba que se venían produciendo.
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes
transmitidos y procesados son propiedad de la entidad y no deben usarse para otros
fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias
concretas si así se ha especificado, y más bien para comunicaciones por voz.
Cada usuario sólo debe recibir en el menú lo que pueda seleccionar realmente.
Es uno de los puntos que nunca se deberían pasar por alto en una auditoría de
seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo
hecho sin la suficiente profundidad: no basta con ver un manual cuyo título sea Plan
de Contingencia o denominación similar, sino que es imprescindible conocer si
funcionaría con las garantías necesarias y cubriría los requerimientos en un tiempo
inferior al fijado y, con una duración suficiente.
jeno, A pesar de la importancia del tema y de las consecuencias nefastas que se pueden
Otras derivar si no se han previsto las contingencias, es un tema no exigido por ley en
caso España, si bien parece sobradamente justificada su existencia para defender los
is la intereses de los accionistas, clientes, proveedores, empleados, o ciudadanos en general
según qué tipo de entidad sea; en algún caso se nos ha preguntado al incluirlo en el
informe como una recomendación, ¿pero qué me obliga a tener el plan? Afortunada
)S de mente es un punto fácil de explicar y que la Alta Direcciónsuele entender y aceptar.
sicas
jatos
ntrol 17.12. FUENTES DE LA AUDITORÍA
arios
ción, Las fuentes estarán relacionadas con los objetivos, y entre ellas pueden estar:
,ones
;as.
Políticas, estándares, normas y procedimientos.
Planes de seguridad.
xista
Contratos, pólizas de seguros.
:utar
Organigrama y descripción de funciones.
rente
Documentación de aplicaciones.
:opia Descripción de dispositivos relacionados con la seguridad.
r ios Manuales técnicos de sistemas operativos o de herramientas.
Inventarios: de soportes, de aplicaciones.
Topología de redes.
mas
Planos de instalaciones. •
as, e
Registros: de problemas, de cambios, de visitas, de accesos lógicos
n, al producidos.
qué Entrevistas a diferentes niveles.
que Archivos.
Programas.
La observación: no figura en los manuales pero la consideramos importante.
.dos, Actas de reuniones relacionadas.
:ia a Documentación de planes de continuidad y sus pruebas.
; las Informes de suministradores o consultores.
A menudo los Chentes nos ofrecen a los auditores extemos los informes de los
ema
internos o de otros extemos anteriores, si bien nosotros en concreto preferimos
a de utilizarlos cuando ya está en vías el borrador de nuestro informe para no vemos
i de
influidos.
Otro aspecto es dónde ubicar la función: encontramos con frecuencia que está
dentro del área de Informática o Sistemas de Información o Tecnologías: en definitiva
dentro del área auditada por lo que no tiene la independencia necesaria. Es preferible
que esté dentro de la auditoría general o que sea una función staff de algún directivo
por encima de las áreas objeto de auditoría.
En él se harán constar los antecedentes y los objetivos, para que quienes lean el
informe puedan verificar que ha habido una comunicación adecuada, así como qué
metodología de evaluación de riesgos y estándares se ha utilizado, y una breve
descripción de los entornos revisados para que se pueda verificar que se han revisado
todas las plataformas y sistemas objeto de la auditoría.
La entidad decide qué acciones tomar a partir del informe, y en el caso de los
auditores internos éstos suelen hacer también un seguimiento de las implantaciones.
Los auditados siempre buscan un informe lo más benigno posible, mientras que
los auditores nos proponemos llegar a un informe veraz y útil; estos diferentes puntos
de vista a veces crean conflictos en el proceso de auditoría y en la discusión del
informe.
Algunos de los puntos importantes que pueden llegar a estar en los informes
respecto a seguridad, y sin que, se pueda generalizar porque dependerá de la entidad,
sector y circunstancias, pueden ser la ausencia de:
Es, frecuente también que quienes han pedido la auditoría quieran conocer
después en qué medida se han resuelto los problemas, a partir de las decisiones
mSiÍs' ^ infonnes de los auditores internos ode quienes implanten las
Otro deseo frecuente es querer conocer la evolución de la situación en el tiempo,
ya que aparecen nuevos riesgos, se reproducen otros, y algunos pueden variar de
clasificación en función del cambio de plataformas u otros.
Para ello es útil mostrar en algún informe -principalmente los auditores intemos-
^gunos cuadros que muestren la evolución, que en algunos casos ha sido útil para
enrostrar la rentabihdad de una función como administración de la seguridad o
auditoría interna opara evaluar la utilidad de un plan de seguridad.
17.16. CONTRATACIÓN DE AUDITORÍA EXTERNA
Incluimos el epígrafe porque consideramos su utilidad en función de las
preguntas que a veces se nos hacen y de los casos que hemos llegado a conocer; si no
se sigue un proceso de selección adecuado de auditores extemos no se pueden
garantizar los resultados yse puede llegar al desencanto al recibir el informe, lo que
puede suponer no llegar a conocer las posibilidades reales de la auditoría de sistemas
de información, sobre todo en un tema tan delicado como la seguridad, o bien tener
una visión pobre y desfigurada, como Ies ocurre a algunos a partir de experiencias
atípicas.
• Recordemos que puede ser necesario dar o mostrar a los auditores todo lo que
necesiten para realizar su trabajo, pero nada más, e incluso lo que se les
muestre o a lo que se les permita acceder puede ser con restricciones: sólo
parte de una base de datos, epígrafes de algunas actas, o simplemente
mostrarles documentación, que no pueden copiar o no pueden sacar de las
instalaciones del cliente: se puede exigir una cláusula de confidencialidad, y
raramente se les deben mostrar datos reales confidenciales de clientes,
proveedores, empleados u otros, aunque se haga en la práctica con frecuencia.
Hemos encontrado en más de una ocasión que la misma persona tenía las
funciones; de administración de seguridad y auditoría (informática) interna, lo cual
puede parecer bien a efectos de productividad, pero no es admisible respecto a
segregación de funciones, siendo preferible, si la entidad no justifica que dos personas
cumplan en exclusiva ambas funciones, que se cubra sólo una, o bien que la persona
realice otras funciones complementarias pero compatibles, como podrían ser algunas
relacionadas con calidad.
17.18. CONCLUSIONES
significativos, y cabe esperar que siga esta tendencia y las entidades vayan enten
diendo cada vez más la utilidad de la protección de la información y de la auditoría.
También es cierto que han surgido bastantes entidades suministradoras que han
incluido la seguridad y la auditoría entre sus posibles servicios, o simplemente han
aceptado trabajos, en ambos casos sin disponer de expertos, lo que con frecuencia ha
supuesto un desencanto en la entidad auditada, y a veces resultados penosos, que no
benefician ni a la profesión ni a la auditoría misma.
Por otra parte, y así lo hemos indicado en el capítulo, los auditados finales, y más
los responsables de las áreas que sus colaboradores, siguen en muchos casos sin
entender la esencia y utilidad de la auditoría, y su obsesión es evitarla y, cuando ya es
inevitable, a veces eludirla o al menos no resultar entrevistados: como que el proceso
no fuera con ellos (es del responsable hacia abajo, pero exclusiva, como nos dijo un
Director de Sistemas de Información en una ocasión), o tal vez para poder alegar que
ellos no han facilitado la información que figura en el informe final.
En otras ocasiones han preparando a los entrevistados respecto a qué deben decir
y qué no en cuanto a riesgos o controles existentes, e incluso han hecho que todas las
entrevistas se mantuvieran en su despacho y en su presencia, como nos pasó en una
auditoría de seguridad ciertamente delicada, por lo que los auditores a veces hemos de
ser algo psicólogos sin formación para ello e interpretar lo que se nos dice, lo que se
nos quiere decir, y distinguir la versión oficial de la realidad, interpretar silencios y
miradas, entrevistar a varias personas y llegar a evidencias por distintos medios.
Por otra parte, hemos podido verificar que la auditoría, su filosofía, así como sus
técnicas y métodos, interesan cada vez más a los responsables de Sistemas de
Información, a veces para conocer cómo pueden evaluar los auditores sus áreas, pero a
menudo saber cuáles pueden ser los riesgos y qué controles implantar.
Lo que ellos mismos pueden realizar no se puede considerar una auditoría, más
por falta de independencia que por desconocimiento de las técnicas, pero sí pueden
constituir unos autodiagnósticos muy útiles, especialmente cuando se realizan con
ayuda de listas o herramientas adaptadas o adaptables al entorno.
5. ¿Qué debe hacer el auditor si se le pide que omita o varíe algún punto en su
informe?