Evaluación y Auditoría de la Seguridad de la Información: Controles, Riesgos y Aplicaciones

Presentación

Evaluación de la Seguridad

Auditoría de la Seguridad

Es una revisión y examen independiente respecto a los registros y actividades de un sistema a fin de verificar si los controles del sistema son adecuados para garantizar el cumplimiento con la política establecida y con los procedimientos operativos, para detectar problemas de seguridad, y para recomendar posibles cambios en los controles, en la política y en los procedimientosNorma ISO 7498-2.

Evaluación de la Seguridad

Seguridad de la información

“Preservar la confidencialidad, integridad y disponibilidad de la información; además, pueden estar relacionadas otras características como autenticación, responsabilidad, no repudio y fiabilidad” Estándar ISO/IEC 17799.

Principios de la Seguridad de la Información

  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Autenticidad
  • No repudio

¿Cómo se logra la Seguridad de la Información?

  • La seguridad de la información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware.

¿Qué son los Controles?

Controles.- Medidas, normas, procedimientos que se disponen para proteger los recursos contra las amenazas a que están expuestos y controlar (reducir) los riesgos que éstas podrían generar.

Ejemplos de Controles:
  • Segregación (separación) de funciones, ubicación de la UDI en la estructura orgánica de la empresa (Nivel staff), Definición de funciones y responsabilidades.
  • Alarmas contra robos, tarjetas de acceso y gafetes, detectores de humo, alarmas contra incendios.
  • Bitácoras del uso de archivos y programas, vigilantes a la entrada de una IDI, puertas aseguradas, videocámaras.
  • Validaciones de aplicaciones de entrada, proceso, salida, controles criptográficos.

Clasificación de Controles

Ejemplos de Clasificaciones:

CLASIFICACIÓN A
  • Preventivos
  • Detectivos
  • Correctivos
CLASIFICACIÓN B
  • Generales: De operación y organización, Documentación y desarrollo de sistemas, de equipo y sistemas software, controles de acceso, controles de datos y de procedimientos.
De Aplicaciones:
  • Entrada
  • Proceso
  • Salida

Estándar Internacional ISO/IEC 27002:2005.

¿Qué son las Amenazas y Riesgos?

Amenaza (causas de riesgo)

  • Una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización (ISO/IEC 13335-1:2004)

Riesgo

  • Evento resultante de la ocurrencia o materialización de las amenazas (causas de riesgo).

A mayor probabilidad de ocurrencia de amenazas mayor probabilidad de que ocurra un riesgo.

Riesgos y Amenazas

Ejemplo:

  • Amenazas (causas de riesgo):
  • Errores.
  • Ocultación de errores.
  • Pérdida de información.
  • Alteración de información.
  • Uso indebido de la información.
  • Duplicidad de funciones.
  • Que las actividades no se lleven a cabo.
  • Que las actividades se atrasen.
  • Daños a equipo físico e instalaciones.
  • Errores de procesamiento.
  • Programas y datos alterados por usuarios no autorizados.
  • Diseño de sistemas que no cumplan las necesidades (requerimientos) de usuarios.
  • Etc.

Riesgos (en relación con la alta probabilidad de ocurrencia de las amenazas): Contabilidad errónea, contabilidad inaceptable, interrupción del negocio, decisiones erróneas de la gerencia, Fraude, sanciones legales, costos excesivos/ingresos deficientes, desventaja ante la competencia, etc.

Auditoría de la Seguridad Física

  • Se evalúan las protecciones físicas de datos, programas, instalaciones, equipos, redes, telecomunicaciones y soportes (TIC), y por supuesto habrá que considerar a las personas: que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la unidad informática o entidad.

Amenazas en la Seguridad Física

  • Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.

Auditoría de la Seguridad Lógica

  • Se evalúa la seguridad de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada en distintos medios, así como controlar el mal uso de la información.

Alcance de la Seguridad de la Información: Estándar ISO/IEC 27002:2005

El objetivo del estándar ISO/IEC 27002:2005 es brindar información a los responsables de la implementación de seguridad de la información de una organización. Puede ser visto como una buena práctica para desarrollar y mantener normas de seguridad y prácticas de gestión en una organización para mejorar la fiabilidad en la seguridad de la información.

En él se definen las estrategias de 133 controles de seguridad organizados bajo 11 dominios y 39 objetivos de control.

Dominios del Estándar ISO/IEC 27002:2005

  • La política de seguridad
  • Organización para la seguridad de la información
  • Gestión de activos de información
  • Seguridad del personal
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de acceso
  • Adquisición, desarrollo y mantenimiento de sistemas
  • Gestión de incidentes de la seguridad de la información
  • Gestión de la continuidad del negocio
  • Cumplimiento

Técnicas de Evaluación

Matriz de Evaluación de Controles

  • Es una de las técnicas de recopilación y evaluación más versátiles y de mayor utilidad para el auditor, por medio del documento generado se obtiene gran cantidad de información relacionada con las actividades a ser evaluadas, los controles, el cumplimiento de los controles y las deficiencias, determinando un criterio de calificación. Ayuda al auditor a dar sugerencias de control.

Matriz FODA

  • Éste es un método moderno de análisis y diagnóstico administrativo de gran utilidad para la evaluación de una unidad informática, debido a que permite recopilar información para que el auditor pueda evaluar el desempeño de los controles, identificando fortalezas y debilidades y se analizan sus posibles amenazas y áreas de oportunidad.

Checklist

  • El checklist es una técnica muy utilizada en el campo de la auditoría informática. No es más que una lista de comprobación o cuestionario, que sigue unas pautas determinadas dependiendo de qué estemos evaluando o qué objetivos queramos alcanzar, con el objetivo de no olvidar detalles importantes.
  • Es importante que de las respuestas negativas se infiera debilidad, posibilidad de riesgo.

Seguridad en Software de Aplicación

Alcance

El término “seguridad en software de aplicación” abarca tanto a los componentes de la computadora como los que no lo son, en cada aplicación. Por parte de la computadora comprende datos, programas, bases de datos que se procesan en el sistema. Los elementos que no son de la computadora incluyen recolección y entrega de datos e información para el procesamiento, así como el control de dicha información para garantizar que se procese en forma correcta y su distribución lleve al usuario que la requiere. Las etapas clásicas de cada sistema implican:

  • Iniciación manual o automática de los datos.
  • Conversión de los datos a un formato aceptable para la computadora (entrada).
  • Procesamiento.
  • Obtención y distribución de resultados.

El objetivo principal de los controles de aplicación es asegurar:

Que el ingreso de los datos es exacto, completo, autorizado y correcto,

Que los datos son procesos en tiempo oportuno,
Los datos son almacenados de forma adecuada y completa,
Que las salidas del sistema son adecuadas y completas,
Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema.

PUNTOS CLAVE

 Todos los errores se deben corregir.

Los errores sólo se deben corregir por el personal autorizado.

La división de responsabilidades se debe mantener cuando se asigne la autoridad para corrección de errores.

DISTRIBUCIÓN DE RESULTADOS

Otro punto importante  es la distribución de los datos. Se debe tener precaución y seguridad en la distribución de los informes a los usuarios.

Se debe considerar:

La responsabilidad e identificación del personal autorizado para el acceso a los informes.

El control sobre los resultados tanto para la operaciones válidas como la frustradas.

El control sobre las que fueron copias de los informes corregidos.

Auditoría de las aplicaciones

En la Auditoria de Aplicaciones se trata de realizar una revisión y evaluación de la eficacia del funcionamiento de los controles diseñados para cada uno de los pasos de la misma frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad, integridad y confidencialidad de la información gestionada por la aplicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.