Tema 8

LOGO www.themegallery.com

Auditoria de la Seguridad, Metodologías y Modelos

Auditoria Informática

Tema 8

Docente: Carmelo España V. E-mail: [email protected]

AUDITORÍA DE LA SEGURIDAD ÍNDICE

1. INTRODUCCIÓN

2. AREAS QUE PUEDE CUBRIR LA AUDITORIA DE LA SEGURIDAD

3. FASES DE LA AUDITORIA DE SEGURIDAD

4. AUDITORIA DE LA SEGURIDAD FÍSICA.

5. AUDITORIA DE LA SEGURIDAD LOGICA

6. AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES.

7. AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION.

8. AUDITORIA DE LA SEGURIDAD DE LOS DATOS.

9. AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES.

10. NORMATIVA DE CONTROL

11. EVALUACION DE RIESGOS.

12. PLAN DE CONTINGENCIAS

13. TECNICAS, METODOS Y HERRAMIENTAS

14. RELACION DE AUDITORIA CON ADMINISTRACION DE SEGURIDAD.

15. CONCLUSIONES.

INTRODUCCION AUDITORÍA DE LA SEGURIDAD

Para muchos la seguridad sigue siendo el área principal a auditoria, hasta el

punto de que algunas identidades, inicialmente la función de auditoria

informática se creo para revisar la seguridad, aunque después se hayan

ido ampliado los objetivos.

La nueva denominación abarca globalmente los sistemas de

información: desde la aplicación, la estrategia de las entidades, hasta los

sistemas de información y el aprovechamiento de la tecnología de la

información.

La expresión de seguridad informática, que es la mas usada, puede llegar a

relacionarse solo con los equipos y entornos técnicos, como si la información

en otros soportes y ambiente no requiera protección, cuando son las propias

operaciones de la entidad, el negocio de la entidades con animo de lucro, lo

que requiere protección.

Si no existen medidas y adecuada protección se puede perder información

vital, o por lo menos no estar disponibles en el momento requerido, las decisiones

se tomadas pueden ser erróneas, o se pueden incumplir contratos a la propia

legislación, lo que puede traducirse en grandes multas o infracciones graves,

o lo que es aun peor: la inmovilización de ficheros previstos.

Debe de evaluarse en la auditoria si los modelos de seguridad están en

consonancia con las nuevas arquitecturas, las distintas plataformas y las

posibilidades de las comunicaciones.


Los auditores somos en cierto modo los “ojos y oídos de la dirección”

que a menudo no puede, o no sabe, como realizar las verificaciones o

evaluaciones, el sistema de control interno ha de basarse en las políticas y se

implementan con apoyo de herramientas, si bien encontramos a menudo en

la auditoria que lo que existe es mas bien implementación parcial de controles

de acceso lógico a través de paquetes o sistemas basados en el criterio de

los técnicos, pero no sustentada con normativa, o bien habiendo partido estas

de los propios técnicos.

Finalmente queremos indicar que siempre es muy importante la seguridad

de todo el equipo informático, sea o no una auditoria….


Se incluyen las que con carácter general pueden formar partes de los

objetivos de una revisión de la seguridad, si bien esta puede abarcar solo

partes de ella si así se ha determinado ante mano.

En una auditoria de otros aspectos, pueden seguir revisiones solapadas con

la seguridad; así, a la hora de revisar las operaciones de desarrollo,

normalmente se vera si se realizan en un entorno seguro y protegido y lo

mismo a la hora de revisar la exploración, o el área técnica de sistemas, la

informática de usuario final, las bases de datos… y en general cualquier

área.

ÁREAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD

AUDITORÍA DE LA SEGURIDAD

Algunas de las áreas generales donde se aplica la Auditoria de la seguridad son:

Lo que hemos denominado controles directivos, es decir los fundamentos de

seguridad: políticas, planes, funciones…etc.

El desarrollo de las políticas.

Amenazas físicas externas.

Control de accesos adecuados tanto físicos como los denominados lógicos.

Protección de datos y su reglamento.

Comunicaciones y redes: topologías y tipos de comunicaciones, protección

antivirus.

El entorno de producción, entendido como tal explotación mas técnica de

sistemas y con especial énfasis en el cumplimientos de contratos.

El desarrollo de aplicaciones en un entorno seguro, y que se incorporen

controles en los productos desarrollados y que estos resulten auditables.

ÁREAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD


FASES DE LA AUDITORIA DE SEGURIDAD


Con carácter general pueden ser:

1. Concreción de los objetivos y de limitación del alcance y profundidad de

la auditoria, así como el periodo cubierto en su caso.

2. Análisis de posibles fuentes y recopilación de información: en el caso de

los internos este proceso puede no existir.

3. Determinación del plan de trabajo y de los recursos y plazos en casos

necesarios, así como en la comunicación en la entidad.

4. Adaptación de cuestionarios, y a veces consideración de herramientas o

perfiles de especialistas necesarios, sobretodo en la auditoria externa.

5. Realización de entrevistas y pruebas.

6. Análisis de resultados y valoración de riesgos.

7. Presentación y discusiones del informe provisional.

8. Informe definitivo.

AUDITORIA DE LA SEGURIDAD FÍSICA


Se evaluaran las protecciones físicas de datos, programas instalaciones,

equipos redes y soportes, y por supuesto habrá que considerar a las personas,

que estén protegidas y existan medidas de evacuación, alarmas, salidas

alternativas, así como que no estén expuestas a riesgos superiores a los

considerados admisibles en la entidad e incluso en el sector.

Se deben considerar las:

1. Amenazas

2. Protección Física

AUDITORIA DE LA SEGURIDAD FÍSICA


AMENAZAS: Pueden ser muy diversas: sabotaje, vandalismo, terrorismo

accidentes de distinto tipo, incendios, inundaciones, averías importantes,

derrumbamientos, explosiones, así como otros que afectan a las personas y

pueden impactar el funcionamiento de los centros, tales como errores,

negligencias, huelgas, epidemias o intoxicaciones.

PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:

Ubicación del centro de procesos, de los servidores locales, y en general de

cualquier elemento a proteger.

Estructura, diseño, construcción y distribución de los edificios y de sus platas.

Riesgos a los accesos físicos no controlados.

Amenaza de fuego, problemas en el suministro eléctrico.

Evitar sustituciones o sustracción de quipos, componentes, soportes

magnéticos, documentación u otros activos.

AUDITORIA DE LA SEGURIDAD LOGICA


Es necesario verificar que cada usuario solo pueda acceder a los recursos que

se le autorice el propietario, aunque sea de forma genérica, según su función, y

con las posibilidades que el propietario haya fijado: lectura, modificación,

borrado, ejecución, traslado a los sistemas, lo que representaríamos en una

matriz de accesos.

En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los

sistemas basados en la biométrica, el método más usado es la contraseña,

cuyas características serán acordes con las normas y estándares de la

entidad, que podrían contemplar diferencias en función de la criticidad de los

recursos accedidos.

AUDITORIA DE LA SEGURIDAD LOGICA


Aspectos a evaluar respecto a las contraseñas pueden ser:

Quien asigna la contraseña inicial y sucesivas.

Longitud mínima y composición de caracteres.

Vigencia, incluso puede haberlas de un solo uso o dependientes de

una función tiempo.

Control para no asignar las “x” ultimas.

Numero de intentos que se permiten al usuario.

Controles existentes para evitar y detectar caballos de Troya.

AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES


Todos los desarrollos deben estar autorizados a distinto nivel según la

importancia del desarrollo a abordar, incluso autorizados por un comité si los

costes o los riesgos superan unos umbrales.

REVISION DE PROGRAMAS

Por parte de técnicos independientes, o bien por auditores, preparados, a fin de

determinar la ausencia de “caballos de Troya”, bombas lógicas y similares,

además de la calidad.

PROTECCION DE LOS PROGRAMAS

Desde dos perspectivas, de los programas que sean propiedad de la entidad,

realizados por el personal propio o contratado de su desarrollo a terceros,

como el uso adecuado de aquellos programas de los que se tenga licencia

de uso.

AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION


Las entidades han de cuidar especialmente las medidas de protección en el

caso de contratación de servicios: desde el posible marcado de datos, proceso,

impresión de etiquetas, distribución, acciones comerciales, gestión de cobros,

hasta el outsourcing mas completo, sin descartar que en el contrato se provea la

revisión por los auditores, internos o externos, de las instalaciones de la entidad

que provee el servicio.

También debe realizarse la protección de utilidades o programas

especialmente peligrosos, así como el control de generación y cambios

posteriores de todo el software de sistemas, y de forma especial el de control

de accesos.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS


La protección de los datos puede tener varios enfoques respecto a las

características citadas: la confidencialidad, disponibilidad e integridad. Puede

haber datos críticos en cuanto a su confidencialidad, como datos médicos u

otros especialmente sensibles (sobre religión, sexo, raza) otros datos cuya

criticidad viene dada por la disponibilidad: si se pierden o se pueden utilizar a

tiempo pueden causar perjuicios graves y, en los casos mas extremos poner en

peligro la comunidad de la entidad y finalmente otros datos críticos atendiendo a su

integridad, especialmente cuando su perdida no puede detectarse fácilmente o una

vez detectada no es fácil reconstruirlos.

Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede

incluir preparación, autorización, incorporación al sistema: por el cliente, por

empleados, o bien ser captado por otra forma, y debe revisarse como se verifican

los errores.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS


Proceso de los datos: controles de validación, integridad, almacenamiento: que existan

copias suficientes, sincronizadas y protegidas.

Salida de resultados: controles en transmisiones, en impresión, en distribución.

Retención de la información y protección en funciona de su clasificación: destrucción

de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien

desmagnetización.

Designación de propietarios: clasificación de los datos, restricción de su uso para

pruebas, inclusión de muescas para poder detectar usos no autorizados.

Clasificación de los datos e información: debe revisarse quien la ha realizado y

según que criterios y estándares; no suele ser práctico que haya mas de cuatro o cinco

niveles.

Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en

uno central como en otros sistemas, y a veces en plataformas heterogéneas, con niveles

y características de seguridad muy diferentes, y con posibilidad de transferencia de

ficheros o de captación y exportación de datos que pueden perder sus protecciones al

pasar de una plataforma a otra.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES


En las políticas de entidad debe reconocerse que los sistemas, redes y

mensajes transmitidos y procesados son propiedad de la entidad y no

deben usarse para otros fines no autorizados, por seguridad y por

productividad, tal vez salvo, emergencias concretas.

Los usuarios tendrán restricción de accesos según dominios, únicamente

podrán cargar los programas autorizados, y solo podrán variar las

configuraciones y componentes los técnicos autorizados.



Se revisaran especialmente las redes cuando existan repercusiones

económicas por que se trate de transferencia de fondos o comercio electrónico.

Puntos a revisar:

Tipos de redes y conexiones

Tipos de transacciones.

Tipos de terminales y protecciones: físicas, lógicas, llamadas de

retorno.

Transferencia de ficheros y controles existentes.

Consideración especial respecto a las conexiones externas a través

de pasarelas (gateway) y encaminadotes (routers).



Internet e Intranet: separación de dominios e implantación de medidas

especiales, como normas y cortafuegos(firewall), y no solo en relación con la

seguridad sino por acceso no justificados por la función desempeñada, como a

paginas de ocio o eróticas, por lo que pueden suponer para la productividad.

Correo electrónico: tanto por privacidad y para evitar virus como para que el

uso del correo sea adecuado y referido ala propia función, y no utilizado para

fines particulares.

Protección de programas: y tanto la prevención del uso no autorizado de

programas propiedad de la entidad o de los que tengan licencia de uso.

Control sobre las paginas Web: quien puede modificarlo y desde donde,

finalmente preocupan también los riesgos que pueden existir en el comercio

electrónico.


NORMATIVA DE CONTROL

PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI

(Amutio, 2007)

Necesidad/obligación de demostrar que se realiza una gestión

competente, efectiva y continua de la seguridad en el marco de los

riesgos detectados y de que se han adoptado aquellas medidas

adecuadas y proporcionadas a los riesgos a los que está expuesta la

organización

Conjunto articulado, sistemático, estructurado, coherente y lo

más completo posible de normas

ORGANISMOS DE NORNALIZACIÓN

Internacionales: ISO/IEC/UIT-T

Europeos: CEN/CENELEC/ETSI

Americano: COPANT

Español: AENOR



Amutio (2007) ISO/IEC JTC1/SC27

La identificación de requisitos genéricos, incluyendo requisitos

metodológicos de los servicios de seguridad para los sistemas de TSI.

El desarrollo de técnicas y mecanismos de seguridad, incluyendo los

procedimientos de registro y las relaciones de los componentes de

seguridad.

El desarrollo de guías de seguridad y documentos interpretativos.

El desarrollo del soporte a la gestión, documentación y normas,

incluyendo por ejemplo, terminología y criterios de evaluación.

La normalización de algoritmos criptográficos para los servicios de

integridad, autenticación y no repudio; así como la normalización de

algoritmos criptográficos de los servicios de confidencialidad para ser

utilizados conforme a las políticas internacionalmente aceptadas.



Amutio (2007)

ISO/IEC JTC1/SC27

GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información. GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas. GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.



Amutio (2007)

ISO/IEC JTC1/SC27

GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación. GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.



Amutio (2007)


Normativa de control

ORGANISMOS DE NORNALIZACIÓN

Internacionales: ISO/IEC/UIT-T

Europeos: CEN/CENELEC/ETSI

Americano: COPANT

Español: AENOR


Normativa de control

NORMAS MÁS RELEVANTES

• UNE 71501 (IS 13335), guías para la gestión de la seguridad de

las TI

• IS 15408, criterios comunes para la evaluación de la seguridad de

las TI

• Serie 27000

• ISO/IEC 21827: 2002 Systems Security Engineering Capability

Maturity Model (SSE-CMM®)



UNE 71501, guías para la gestión de la seguridad de las TI

• UNE 71501 -1 (TR 13335-1): Visión básica de conceptos y

modelos usados para describir la gestión de la seguridad de TI dirigida

a los responsables de seg.

• UNE 71501 -2 (TR 13335-2): Planificación y gestión de la

seguridad de TI para directivos responsables de desarrollo y uso de SI

• UNE 71501 -3 (TR 13335-3): Técnicas de seguridad para

implicados en actividades de gestión durante CV

• UNE 71501 -4 (TR 13335-4): Selección de salvaguardas técnicas y

organizativas en entorno no abierto

• UNE 71501 -5 (TR 13335-5): Selección de salvaguardas en

entorno abierto a redes externas



IS 15408: criterios comunes para la evaluación de la seguridad de las TI

Bañon (2003)

Regula la evaluación objetiva, repetible y comparable de las

propiedades de seguridad de productos y sistemas de información.

Supone:

• Un acuerdo internacional sobre los requisitos exigibles al

método de desarrollo y sobre siete niveles discretos de

esfuerzo en el desarrollo, que incluye la especificación del

trabajo de los evaluadores en cada nivel

• Un catálogo coherente y relacionado de funciones de

seguridad que permiten establecer un lenguaje común para la

expresión de la seguridad de los productos



IS 15408

•15408 -1: Define conceptos, procesos y paradigmas utilizados

•15408-2: Define el catálogo funcional con notas aclaratorias a su

aplicación

•15408-3: Define el modelo de desarrollo seguro, los siete niveles

de esfuerzo y las acciones de evaluación correspondientes



Criterios comunes y su certificación Jiménez (2003)

- Son de aplicación a las medidas de seguridad de TI

implementadas en Hw, Fw o Sw.

- Son ajenos a su finalidad:

- Medidas de seguridad de tipo administrativo

- Control de radiaciones electromagnéticas

- La metodología de evaluación y el marco administrativo y

legal bajo el cual se pueden aplicar

- Los procedimientos para el uso de los resultados de la

evaluación en la acreditación

- Criterios para la valoración de las cualidades inherentes de los

algoritmos criptográficos



Numeración Estado de situación

27000 En proyecto: Information security management fundamentals and vocabulary.

27001 ISO/IEC IS 27001:2005 Information technology Security techniques - Information security management systems. Norma disponible desde el 14 de octubre de 2005.

27002 ISO/IEC IS 17799:2005 Information technology – Security techniques – Code of practice for information security management. Norma disponible desde el 10 de junio de 2005. La numeración '27002' entra en vigor en abril de 2007.

27003 En proyecto: Information security management system implementation guidance.

27004 En proyecto: Information technology Security techniques - Information security management measurements.

27005 En proyecto: Information Security Risk Management.

27006 En proyecto: Requirements for the accreditation of bodies providing certification of information security management systems.

27007 En reserva.

27008 En reserva.

27009 En reserva.



Áreas Proyectos, normas e informes técnicos

Riesgos 27005

Política 27000, 27001, 17799

Organización de la seguridad de la información 27001, 17799

Gestión de activos 27005, 15816

Recursos humanos -

Entorno físico -

Communicaciones y gestión de explotación 18028-1, 18028-2, 18028-3, 18028-4, 18028-5

Control de acceso 14516, 15816, 15945

Adquisición y mantenimiento 15945

Gestión de incidents 15947, 18043, 18044

Gestión de la continuidad 24762

Conformidad 13335-2



ISO 27001 (García, 2007)

“Sistemas de Gestión de la Seguridad de la Información”

Ante el mercado:

•Favorece su desarrollo

•Afianza la posición de la organización

•Potencia la imagen de marca

•Constituye un factor competitivo respecto a la competencia

•Permite superar barreras técnicas



ISO 27001 (García, 2007)

Ante los clientes:

•Fidelización y captación de nuevos clientes gracias a la garantía que se

ofrece en la prestación de servicios

•Se mejora la comunicación con el cliente

•Mayor confianza al cliente (empresas, particulares, etc)

•Aumento de la satisfacción del cliente (empresas, particulares, etc)

Ante la gestión de la organización:

•Conocimiento y depuración de los procesos internos

•Mejora de los procesos y de los servicios prestados

•Ahorro de tiempo y de recursos necesarios

•Mejor gestión de los recursos

•Estímulo para entrar en un proceso de mejora continua



“Esta norma internacional especifica los requisitos para

establecer, implantar, poner en funcionamiento,

controlar, revisar, mantener y mejorar un SGSI

documentado dentro del contexto global de los riesgos de

negocio de la organización. Especifica los requisitos para la

implantación de los controles de seguridad hechos a medida

de las necesidades de organizaciones individuales o partes de

las mismas”



Establecimiento y gestión del SGSI

- definir el alcance del sistema de gestión,

- definir la política del SGSI

- definir la metodología para la valoración del riesgo

- identificar los riesgos

- elaborar un análisis y evaluación de dichos riesgos

- identificar los diferentes tratamientos del riesgo

- seleccionar los controles y objetivos de los mismos que

posibilitarán dicho tratamiento.



Implantación y puesta en marcha del SGSI

- preparar un plan de tratamiento del riesgo

- implantar los controles que se hayan seleccionado

- medir la eficacia de dichos controles

- crear programas de formación y concienciación



Control y evaluación del SGSI

- implantar una serie de procedimientos para el control y la

revisión

- puesta en marcha de una serie de revisiones regulares sobre la

eficacia del SGSI, a partir de los resultados de las auditorías de

seguridad y de las mediciones

- tomar las medidas correctivas y preventivas



ISO 27004 (Llaneza, 2007)

• El Proyecto de Norma 27004 contiene técnicas para medir el

comportamiento de los controles implantados en atención a un análisis de

riesgos previo

• Objetivos del proceso de medida:

• Evaluar la eficacia de la implantación de los controles de seguridad.

• Evaluar la eficacia del sistema de gestión de seguridad de la

información incluyendo la mejora continua.

• Proporcionar un estado de seguridad para dirigir la revisión de la

gestión, facilitar las mejoras de la seguridad y contribuir a auditorías

de seguridad.

• Comunicar el valor de la seguridad a la organización.

• Servir como aportación al plan de tratamiento de riesgos y de

evaluación de riesgos.



Implementación

SGSI

Efectividad

Control

Entidad atributo

atributo

atributo

Resultado

Criterio de Decisión

Indicador

Modelo Analítico

Medida Derivada

Función de Medición

Medida Base Método de Medida

Objetivo de Control



Partes Interesadas Partes Interesadas

Prepararse para las medidas

- Requisitos de negocio- Política de Seguridad- Gestión de Riesgo- Selección de Control

Mejoras

- Identificar mejoras- Redefinir controles- Actualizar medidas

Definir Medidas

- Identificar los requisitos de negocio para medir e informar- Determinar las medidas de efectividad requeridas para los controles elegidos

Recoger y analizar datos

- Medidas de control- Conciencia

Evaluar e informar de los resultados

- Supervisar- Auditar- Medir

Información de Requisitos de Seguridad y Expectativas

Información de Seguridad Gestionada

Establecer SGSI

Monitorizar y Revisar el SGSI

Implementar y Manejar el SGSI

Mantener y Mejorar el SGSI

Plan

Do

Check

Act



Desarrollo de una medida

Identificar los controles y objetivos de control que fueron seleccionados

como resultado del análisis de riesgos, como se describe en la ISO/IEC

27001.

Establecer prioridades entre controles y objetivos de control seleccionados

con base en los siguientes criterios:

• Los requisitos de los stakeholders.

• La política de seguridad de la información de la organización.

• La información necesaria para satisfacer los requisitos legales,

regulatorios y contractuales.

• La relación coste-beneficio del rendimiento de cada control

individual u objetivo de control.

Seleccionar los controles y objetivos de control específicos a incluir en el

programa de medición según las prioridades identificadas.



Métodos de medición

• Auditorías internas o externas.

• Evaluación de riesgos y análisis de riesgos.

• Cuestionarios y preguntas.

• Utilización del registro de acontecimientos.

• Producción de registros, informes y pistas de auditoría.

• Informes de incidentes

• Muestras estadísticas.

• Pruebas.



Participantes o “stakeholders” involucrados en cada medida,

• El propietario de la información y medida

• El cliente

• El recolector

• El comunicador

• El revisor



Criterios para medidas válidas

- Estratégica

- Cuantitativa

- Razonable

- Interpretativa

- Verificable

- Evolutiva

- Útil

- Indivisible y bien definida

- Repetible



ISO 17799/27002 (Prats, 2007)

• La norma ISO 17799 es un conjunto de recomendaciones sobre qué

medidas tomar en la empresa para asegurar los Sistemas de

Información.

• Los objetivos de seguridad recogen aquellos aspectos fundamentales

que se deben analizar para conseguir un sistema seguro en cada una de

las áreas que los agrupa. Para conseguir cada uno de estos objetivos la

norma propone una serie de medidas o recomendaciones (controles)

que son los que en definitiva aplicaremos para la gestión del riesgo

analizado.




ANÁLISIS DE RIESGO

El análisis de riesgo implica cubrir los siguientes elementos:

Declaración de propósito y alcance.

Un análisis de los activos que son de valor.

Un análisis de amenazas cuya ocurrencia puede

producir pérdidas.

Un análisis de vulnerabilidades en los controles de

seguridad y en los sistemas.

Un análisis de los riesgos que mide posibles pérdidas para la

organización.

Un análisis de las medidas de seguridad que actuarían como una

protección.


ANÁLISIS DE RIESGO

Objetivo del análisis de riesgo

Tener la capacidad de:

1. Identificar, evaluar y manejar los riesgos de seguridad.

2. Estimar la exposición de un recurso a una amenaza

determinada.

3. Determinar cual combinación de medidas de seguridad

proporcionará un nivel de seguridad razonable a un

costo aceptable.

4. Tomar mejores decisiones en seguridad informática.

5. Enfocar recursos y esfuerzos en la protección de los

activos.


ANÁLISIS DE RIESGO

Fases del análisis de riesgo


ANÁLISIS DE RIESGO

Beneficios del análisis de riesgo

1. Costos de seguridad justificados.

2. Análisis desde el interior (self-analysis).

3. Permite que la seguridad se convierta en parte de la cultura de la

organización.

4. Apoya la comunicación y facilita la toma de decisiones.

5. Certeza económica/financiera.

6. Permite determinar las necesidades de acción correctivas.

7. Incrementa la conciencia de seguridad en todos los niveles.

8. Brinda criterios para el diseño y evaluación de planes de contingencia.

9. Los resultados del Análisis de Riesgos proveen información que facilita y

justifica la toma de decisiones en relación a la seguridad informática.


ANÁLISIS DE RIESGO


EVALUACION DE RIESGOS

Trata de identificar los riesgos, cuantificar su probabilidad de impacto, y

analizar medidas que lo eliminen lo que generalmente no es posible o que

disminuya la probabilidad de que ocurran los hechos o que mitiguen el

impacto.

Para evaluar riesgos hay que considerar, entre otros factores, el tipo de

información almacenada procesada y transmitida, la criticidad de las

aplicaciones, la tecnología usada, el marco legal aplicable, el sector de

entidad, la entidad misma y el momento.

Para ello es necesario evaluar las vulnerabilidades que existen, ya que la

cadena de protección se podrá romper con mayor probabilidad por los

eslabones mas débiles que serán los que preferentemente intentaran usar de

forma no autorizada.



La protección no ha de basarse solo en dispositivos y medios físicos,

sino en información e información adecuada del personal, empezando por

la mentalización de los directivos para que, en cascada afecte a todos los

niveles de la pirámide organizativa.

El factor humano es el principal a considerar, salvo en algunas situaciones

de protección físicas muy automatizadas, ya que es muy critico: si las

personas no quieren colaborar de poco sirven los medios y dispositivos

aunque sean caro y sofisticados.

Es necesario una separación de funciones: es muy peligroso que una

misma persona realice una transacción, la autorice, y revise después los

resultados, por que esta persona podría planificar un fraude o cubrir

cualquier anomalía.



En un proceso de auditoria

Se evaluara todos estos aspectos y otros, por ejemplo si la seguridad es

realmente una preocupación corporativa no es suficiente que exista

presupuestos para ello, es necesario una cultura de seguridad y un comité

que fije y apruebe los objetivos correspondientes a medida que éstos se

alcancen, que modelo de seguridad quieren implementar.

Si la entidad auditada esta en medio de un proceso de implementación de la

seguridad, la evaluación se centrara en los objetivos, los planes, que

proyectos hay en cursos y los medios usados o previstos.



En un proceso de auditoria

La evaluación de riesgos puede ser global: todos los sistemas de

información y plataformas, que puede equivaler a un chequeo medico en

general de un individuo y que es habitual la primera vez que se realiza.

Al hablar de seguridad siempre se habla de sus tres dimensiones clásicas y

son las siguientes:

1. La Confidencialidad: se cumple cuando, solo las personas autorizadas

pueden conocer los datos o la información correspondientes.

2. La Integridad: consiste en que solo los usuarios autorizados pueden

variar los datos. Deben quedar pistas para control posterior y para

auditoria

3. La disponibilidad: se alcanza, si las personas autorizadas pueden

acceder a tiempo a la información a la que estén autorizadas.



Realizar un Análisis de Riesgos formal en la organización.

Realizar el Análisis de Riesgos en base a una metodología documentada y

aprobada formalmente.

El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las

amenazas, los impactos y la evaluación del riesgo.

Incluir en el análisis de riesgos todos los activos incluidos en el alcance del

SGSI y considerar las relaciones externas.

Aprobar por la dirección los riesgos residuales.

Establecer criterios formales para clasificar el riesgo.

Establecer una clasificación de riesgos y aprobar por la dirección las

decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir).

Los riesgos deben quedar a un nivel aceptado por la dirección.

Tener en cuenta principios de proporcionalidad en la selección de controles

considerando todos los costes asociados.

Cada control debe tener asociada una forma objetiva de verificar su eficacia.


PLAN DE CONTINGENCIAS

Es uno de los puntos que nunca se deberían pasar por alto en una auditoria

de seguridad, por las consecuencias que puede tener el no haberlo revisado o

haberlo hecho sin la suficiente profundidad: no basta con ver un manual cuyo

titulo sea plan de contingencia o denominación similar, sino que es

imprescindible conocer si funcionaria con las garantías necesarias y

cubrirá los requerimientos en un tiempo inferior al fijado y con una

duración suficiente

También denominado PLAN DE CONTINUIDAD…

Frente a otras denominaciones que en principio descartamos como

Recuperación de Desastres o Plan de Desastres ( si nos parece adecuada

Plan de Recuperación ante desastres, pero las incidencias a preveer son también

de otros niveles).



En la auditoria es necesario revisar si existe tal plan, completo y actualizado,

si cubre los diferentes procesos, áreas y plataformas, si existen planes

diferentes según entornos, evaluar en todo caso su idoneidad, los resultados de

las pruebas que se hayan realizado, y si permiten garantizar razonablemente

que en caso necesario y a través de los medios alternativos, propios o

contratados, podría permitir la reanudación de las operaciones en un tiempo

inferior al fijado por los responsables del uso de las aplicaciones, que a veces

son también los propietarios de las mismas pero podrían no serlo.

Si las revisiones no nos aportan garantías suficientes debemos sugerir

pruebas complementarias o hacerlo constar en el informe, incluso indicarlo

en el apartado de limitaciones.



Es necesario verificar que la solución adoptada es adecuada; centro propio,

ajeno compartido o no…..y que existe el oportuno contrato si hay participación

de otras entidades aunque sean del mismo grupo o sector. NO esta de mas revisar

si en el caso de una incidencia que afectara a varias entidades geográficamente

próximas la solución prevista daría el servicio previsto a la auditada.

Un punto fundamental en la revisión es la existencia de copias actualizadas de

los recursos vitales en un lugar distante y en condiciones adecuadas tanto

físicas como de protección en cuanto a accesos; entre dichos recursos estarán:

bases de datos y ficheros, programas (mejor si existen también en versión fuente),

JCL (Job Control lenguaje) o el equivalente en cada sistema, la documentación

necesaria, formularios críticos y consumibles o garantías de que se servirían a

tiempo, documentación, manuales técnicos, direcciones y teléfonos, los recursos de

comunicaciones necesarios; datos y voz cualesquiera otros requeridos para funcionar

con garantías.



Otros aspectos que hemos encontrado como debilidades a veces son: que exista

copia del propio plan fuera de las instalaciones primarias, que esté previsto

ejecutar determinado software en un equipo alternativo, con identificación especifica

diferente de la del equipo que es el inicialmente autorizado; y que se tenga copia

accesible del contrato, tanto para demostrar algo al proveedor como para verificar

los términos pactados.

Es necesario en la auditoria conocer las características del centro o sistema

alternativo, y debe revisarse si la capacidad de proceso, la de comunicación y la de

almacenamiento del sistema alternativo son suficientes, así como las medidas de

protección.

Debe existir un manual completo y exhaustivo relacionado con la continuidad en

el que se contemplen diferentes tipos de incidencias y a que nivel se puede decidir

que se trata de una contingencia y de que tipo.



TEMA 8 plandecontingencia.ppt


FUENTES DE LA AUDITORIA DE LA SEGURIDAD

1. Políticas, estándares, normas y

procedimientos.

2. Planes de seguridad.

3. Contratos, pólizas de seguros.

4. Organigrama y descripción de

funciones.

5. Documentación de aplicaciones.

6. Descripción de dispositivos

relacionados con la seguridad.

7. Manuales técnicos de sistemas

operativos o de herramientas.

8. Inventarios: de soportes, de

aplicaciones.

9. Topologías de redes.

10. Planos de instalaciones.

11. Registros: de problemas, de cambios,

de vistas, de accesos lógicos

producidos.

12. Entrevistas a diferentes niveles.

13. Ficheros.

14. Programas.

15. La observación no figura en los

manuales para la consideramos

importante.

16. Actas de reuniones relacionadas.

17. Documentación de planes de

continuidad y sus pruebas.

18. Informes de suministradores o

consumidores.


TECNICAS, METODOS Y HERRAMIENTAS

En cada proceso de auditoria se fijan los objetivos, ámbito y profundidad, lo

que sirve para la planificación y para la consideración de las fuentes, según los

objetivos, así como de las técnicas, métodos y herramientas mas adecuados.

El factor sorpresa puede llegar a ser necesario en las revisiones, según lo que

se quiera verificar.

Como métodos y técnicas podemos considerar los cuestionarios, las

entrevistas, la observación, los muestreos, las CAAT (Computer Aided Auditing

Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la

simulación en paralelo con datos reales y programas de auditor o la revisión de

programas.


RELACION DE AUDITORIA CON ADMINISTRACION DE SEGURIDAD.

Hemos encontrado en mas de una ocasión que la misma persona tenia las

funciones de administración de seguridad y auditoria (informática) interna, lo

cual puede parecer bien a efectos de productividad, pero no es admisible

respecto a segregación de funciones, siendo preferible, si la entidad no justifica

que dos personas cumplan en exclusiva ambas funciones, que se cubra solo una, o

bien que la persona realice otras funciones complementarias pero compatibles,

como ser algunas relacionadas con calidad.

En entidades grandes la función consta además de corresponsales funcionales o

autonómicos.



FUNCION DE ADMINISTRACION DE SEGURIDAD

Será interlocutora en los procesos de auditoria de seguridad, si bien los

auditores no podemos perder muestra necesaria independencia, ya que debemos

evaluar el desempeño de la función de administración de seguridad, desde si sus

funciones son adecuadas y están respaldadas por algún documento aprobado a un

nivel suficiente, hasta el cumplimiento de esas funciones y si no hay conflicto con

otras.

La función de auditoria de sistemas de información y la de administración de

seguridad pueden ser complementarias, sin perder su independencia: se trata de

funciones que contribuyen a una mayor y mejor protección, y resultan como anillos

protectores, como se muestra en la figura siguiente.



Administración de Seguridad puede depender del área de Sistemas de

Información, sobre todo si existe Auditoria de S.I. interna, pero si puede estar

en peligro su desempeño quizá sea preferible que tenga otra dependencia

superior, o al menos una dependencia funcional de áreas usuarias como puede

ser de dirección de Operaciones o similar; la existencia de un comité de

Seguridad de la Información, o bien de una función de Seguridad Corporativa

puede resultar útil.

En ocasiones los administradores de seguridad tienen casi exclusivamente una

función importante pero que solo forma una parte de su cometido: la

administración del paquete de control de accesos: RACF, Top SEcret, u otros,

con frecuencia por haber sido técnicos de sistemas, y en ocasiones porque

siguen siéndolo, lo que representa una gran vulnerabilidad y no siempre bien

aceptada cuando la hemos recogido en los informes de auditoria.


CONCLUSIONES

Aunque las implantaciones de la seguridad van siendo más sofisticados y

llegando a áreas o aspectos casi desconocidos hace años, esto no implica

que estén plenamente resueltos lo mas básicos: encontramos bastantes

deficiencias en controles físicos, no tanto porque no existan, sino por las

brechas o descuidos que se pueden encontrar.

La auditoria en sistemas de información no esta suficientemente implantada en

la mayoría de las entidades, si bien supondría una mayor garantía de que las

cosas se hacen bien y como la entidad quiere.


CONCLUSIONES

La forma de realizar el trabajo va variando y se esta llegando a aplicar el control

por excepción y la teleauditoría.

En cuanto a nuevas áreas, surge el auge del comercio electrónico, el control

de paginas WEB: la revisión de quien autoriza, varía y controla los contenidos:

en las entidades por seguridad y productividad, y en los hogares, aunque esto

se sale de la auditoria y queda en el control para evitar que los

menores accedan a contenidos con violencia o pornografía.

Tema 8

Documents

Transcript of Tema 8