Introducción
Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.
Auditoría de la Seguridad informática
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado «virus» de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización («piratas») y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias «piratas» o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.
La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.
El sistema integral de seguridad debe comprender:
- Elementos administrativos
- Definición de una política de seguridad
- Organización y división de responsabilidades
- Seguridad física y contra catástrofes (incendio, terremotos, etc.)
- Prácticas de seguridad del personal
- Elementos técnicos y procedimientos
- Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
- Aplicación de los sistemas de seguridad, incluyendo datos y archivos
- El papel de los auditores, tanto internos como externos
- Planeación de programas de desastre y su prueba.
La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran «matrices de riesgo», en donde se consideran los factores de las «Amenazas» a las que está sometida una instalación y los «Impactos» que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.
Ejemplo:
Impacto | Amenaza | 1: Improbable2: Probable
3: Certeza -: Despreciable |
|||
Error | Incendio | Sabotaje | …….. | ||
Destrucciónde Hardware | – | 1 | 1 | ||
Borrado deInformación | 3 | 1 | 1 |
El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.
El caso de los Bancos en la República Argentina:
En la Argentina, el Banco Central (BCRA) les realiza una Auditoría de Seguridad de Sistemas a todos los Bancos, minoritaria y mayoristas. El Banco que es auditado le prepara a los auditores del BCRA un «demo» para que estos vean cual es el flujo de información dentro del Banco y que Aplicaciones están involucradas con ésta. Si los auditores detectan algún problema o alguna cosa que según sus normas no está bien, y en base a eso, emiten un informe que va, tanto a la empresa, como al mercado. Este, principalmente, es uno de los puntos básicos donde se analiza el riesgo de un banco, más allá de cómo se maneja. Cada Banco tiene cierto riesgo dentro del mercado; por un lado, está dado por como se mueve éste dentro del mercado (inversiones, réditos, etc.) y por otro lado, el como funcionan sus Sistemas. Por esto, todos los Bancos tienen auditoría interna y auditoría externa; y se los audita muy frecuentemente.
(Ver Anexo de las normas del Banco Central sobre la Seguridad de los Sistemas de Información)
- SEGURIDAD
a. Generalidades
Cuando hablamos de realizar una evaluación de la seguridad es importante conocer cómo desarrollar y ejecutar la implantación de un sistema de seguridad.
Desarrollar un sistema de seguridad significa «planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa».
Las consideraciones de un sistema integral de seguridad debe contemplar:
- Definir elementos administrativos
- Definir políticas de seguridad
- A nivel departamental
- A nivel institucional
- Organizar y dividir las responsabilidades
- Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
- Definir prácticas de seguridad para el personal.
- Plan de emergencia, plan de evacuación, uso de recursos de emergencia como extinguidores.
- Definir el tipo de pólizas de seguros.
- Definir elementos técnicos de procedimientos.
- Definir las necesidades de sistemas de seguridad para hardware y software
- Flujo de energía.
- Cableados locales y externos
- Aplicación de los sistemas de seguridad incluyendo datos y archivos.
- Planificación de los papeles de los auditores internos y externos.
- Planificación de programas de desastre y sus pruebas (simulación).
- Planificación de equipos de contingencia con carácter periódico.
- Control de desechos de los nodos importantes del sistema.
- Política de destrucción de basura, copias, fotocopias, etc.
Para dotar de medios necesarios al elaborar su sistema de seguridad se debe considerar los siguientes puntos:
- Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
- Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales.
- Elaborar un plan para un programa de seguridad.
b. Seguridad de su Corre «e»
Cada día son más las organizaciones que utilizan el correo electrónico como herramienta fundamental de sus negocios, por ende, es indispensable que se cuente con soluciones confiables y escalables que permitan que las comunicaciones, utilizando este tipo de medio, se realicen de forma segura y confiable. La nueva versión del programa de administración de listas de correo electrónico LISTSERV, viene a satisfacer esta demanda, pues está repleta de nuevas y mejoradas características, está dotada de protección contra virus y de una mayor facilidad de uso.
LISTSERV trabajo bajo una interfaz rediseñada tipo Web que facilita la administración de la lista. Incluye un Experto de Tarea, que guía al administrador de la lista con instrucciones detalladas paso a paso.
Asimismo, con la proliferación de los virus a través del correo electrónico, L-Soft ha integrado a su lista el programa de protección contra virus de F-Secure para inspeccionar el correo electrónico.
c. ¿Cómo Puede Elaborar un Protocolo de Seguridad Antivirus?
La forma más segura, eficiente y efectiva de evitar virus, consiste en elaborar un protocolo de seguridad para sus sistemas PC’s. Un protocolo de seguridad consiste en una serie de pasos que deberá seguir con el fin de crear un hábito al operar normalmente con programas y archivos en sus computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de conducta y le permite operar con seguridad su computadora, aún cuando momentáneamente esté desactivado o desactualizado su antivirus.
Este protocolo establece ciertos requisitos para que pueda ser cumplido por el operador en primer término y efectivo en segundo lugar. Le aseguramos que un protocolo puede ser muy efectivo pero si es COMPLICADO, no será puesto en funcionamiento nunca por el operador.
El protocolo de seguridad antivirus consiste en:
- Instalar el antivirus y asegurar cada 15 días su actualización.
- Chequear los CD-Rom’s ingresados en nuestra PC sólo una vez, al comprarlos o adquirirlos y marcarlos con un fibrón o marcador para certificar el chequeo. Esto solo es válido en el caso de que nuestros CD’s no sean procesados en otras PC y sean regrabables.
- Formatear todo diskette virgen que compremos, sin importar si son formateados de fábrica, ya que pueden colarse virus aún desde el proceso del fabricante.
- Revisar todo diskette que provenga del exterior, es decir que no haya estado bajo nuestro control, o que haya sido ingresado en la desketera de otra PC.
- Si nos entregan un diskette y nos dicen que está revisado, NO CONFIAR NUNCA en los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona sabe operar correctamente su antivirus. Puede haber revisado sólo un tipo de virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo residente que es menos efectivo que nuestro antivirus.
- Para bajar páginas de internet, archivos ejecutables, etc., definir siempre en nuestra PC una carpeta o directorio para recibir el material. De ese modo sabemos que todo lo que bajemos de internet siempre estará en una sola carpeta. Nunca ejecutar o abrir antes del escaneo.
- Nunca abrir un adjunto de un e.mail sin antes chequearlo con nuestro antivirus. Si el adjunto es de un desconocido que no nos avisó previamente del envío del material, directamente borrarlo sin abrir.
- Al actualizar el antivirus, verificar nuestra PC completamente. En caso de detectar un virus, proceder a verificar todos nuestros soportes (diskettes, CD’s, ZIP’s, etc.)
- Si por nuestras actividades generamos grandes bibliotecas de diskettes conteniendo información, al guardar los diskettes en la biblioteca, verificarlos por última vez, protegerlos contra escritura y fecharlos para saber cuándo fue el último escaneo.
10. Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo recomendado para un usuario doméstico. Si usa con fines profesionales su PC, debe hacer backup parcial de archivos cada 48 horas como mínimo. Backup parcial de archivos es la copia en diskette de los documentos que graba.
d. Etapas para Implantar un Sistema de Seguridad
Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguientes 8 pasos:
- Introducir el tema de seguridad en la visión de la empresa.
- Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
- Capacitar a los gerentes y directivos, contemplando el enfoque global.
- Designar y capacitar supervisores de área.
- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
- Mejorar las comunicaciones internas.
- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
- Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.
e. Beneficios de un Sistema de Seguridad
Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
- Aumento de la productividad.
- Aumento de la motivación del personal.
- Compromiso con la misión de la compañía.
- Mejora de las relaciones laborales.
- Ayuda a formar equipos competentes.
- Mejora de los climas laborales para los RR.HH.
f. Disposiciones que Acompañan la Seguridad
Desde el punto de vista de seguridad, se debe contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo, a saber:
- Obtener una especificación de las aplicaciones, los programas y archivos de datos.
- Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso.
- Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
- Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación y viceversa.
- Que los operadores no sean los únicos en resolver los problemas que se presentan.
Caso Práctico de una Auditoría de Seguridad Informática <<Ciclo de Seguridad>>
A continuación, un caso de auditoría de área general para proporcionar una visión más desarrollada y amplia de la función auditora.
Es una auditoría de Seguridad Informática que tiene como misión revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como la seguridad lógica de datos, procesos y funciones informáticas más importantes de aquél.
Ciclo de Seguridad
El objetivo de esta auditoría de seguridad es revisar la situación y las cuotas de eficiencia de la misma en los órganos más importantes de la estructura informática.
Para ello, se fijan los supuestos de partida:
El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditoría se realizara en 3 niveles.
Los segmentos a auditar, son:
- Segmento 1: Seguridad de cumplimiento de normas y estándares.
- Segmento 2: Seguridad de Sistema Operativo.
- Segmento 3: Seguridad de Software.
- Segmento 4: Seguridad de Comunicaciones.
- Segmento 5: Seguridad de Base de Datos.
- Segmento 6: Seguridad de Proceso.
- Segmento 7: Seguridad de Aplicaciones.
- Segmento 8: Seguridad Física.
Se darán los resultados globales de todos los segmentos y se realizará un tratamiento exhaustivo del Segmento 8, a nivel de sección y subsección.
Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realización del ciclo de seguridad.
Fase 1. Estrategia y logística del ciclo de seguridad.
Fase 2. Ponderación de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Cálculos y resultados del ciclo de seguridad.
Fase 5. Confección del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
- Comienzo del proyecto de Auditoría Informática.
- Asignación del equipo auditor.
- Asignación del equipo interlocutor del cliente.
- Cumplimentación de formularios globales y parciales por parte del cliente.
- Asignación de pesos técnicos por parte del equipo auditor.
- Asignación de pesos políticos por parte del cliente.
- Asignación de pesos finales a segmentos y secciones.
- Preparación y confirmación de entrevistas.
- Entrevistas, confrontaciones y análisis y repaso de documentación.
10. Calculo y ponderación de subsecciones, secciones y segmentos.
11. Identificación de áreas mejorables.
12. Elección de las áreas de actuación prioritaria.
13. Preparación de recomendaciones y borrador de informe
14. Discusión de borrador con cliente.
15. Entrega del informe.
Causas de realización de una Auditoría de Seguridad
Esta constituye la FASE 0 de la auditoría y el orden 0 de actividades de la misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situación de ineficiencia global notoria, etc.
De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el Plan de Trabajo.
Estrategia y logística del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:
Fase 1. Estrategia y logística del ciclo de seguridad
- Designación del equipo auditor.
- Asignación de interlocutores, validadores y decisores del cliente.
- Cumplimentación de un formulario general por parte del cliente, para la realización del estudio inicial.
Con las razones por las cuales va a ser realizada la auditoría (Fase 0), el equipo auditor diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuación de estos se realiza mediante un desarrollo logístico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinación y distribución de los mencionados recursos, determina a su vez la eficiencia y la economía del Proyecto.
Los planes del equipo auditor se desarrollan de la siguiente manera:
- Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogéneo en cuanto a especialidad, pero compacto.
- Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de información, coordinación de entrevistas, etc.
Según los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estará en disposición de comenzar la «tarea de campo», la operativa auditora del Ciclo de Seguridad.
Ponderación de los Sectores Auditados
Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades:
FASE 2. Ponderación de sectores del ciclo de seguridad.
- Mediante un estudio inicial, del cual forma parte el análisis de un formulario exhaustivo, también inicial, que los auditores entregan al cliente para su cumplimentación.
- Asignación de pesos técnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en función de su importancia.
- Asignación de pesos políticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente.
Se pondera la importancia relativa de la seguridad en los diversos sectores de la organización informática auditada.
Las asignaciones de pesos a Secciones y Segmentos del área de seguridad que se audita, se realizan del siguiente modo:
Pesos técnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.
Pesos políticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Sección del Ciclo de Seguridad.
Ciclo de Seguridad. Suma Pesos Segmentos = 100 (con independencia del número de segmentos consideradas) |
|||
Segmentos |
Pesos Técnicos |
Pesos Políticos |
Pesos Finales |
Seg1. Normas y Estándares |
12 |
8 |
10 |
Seg2. Sistema Operativo |
10 |
10 |
10 |
Seg3. Software Básico |
10 |
14 |
12 |
Seg4. Comunicaciones |
12 |
12 |
12 |
Seg5. Bases de Datos |
12 |
12 |
12 |
Seg6. Procesos |
16 |
12 |
14 |
Seg7. Aplicaciones |
16 |
16 |
16 |
Seg8. Seguridad Física |
12 |
16 |
14 |
TOTAL |
100 |
100 |
100 |
Pesos finales
Son el promedio de los pesos anteriores.
El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha asignado a la totalidad del área de Seguridad, como podría haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el número de segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habría de seguir siendo de 100 puntos.
Suma Peso Secciones = 20 (con independencia del número de Secciones consideradas) |
|||
Secciones |
Pesos Técnicos |
Pesos Políticos |
Pesos Finales |
Secc1. Seg. Física de Datos |
6 |
6 |
6 |
Secc2. Control de Accesos |
5 |
3 |
4 |
Secc3. Equipos |
6 |
4 |
5 |
Secc4. Documentos |
2 |
4 |
3 |
Secc5. Suministros |
1 |
3 |
2 |
TOTAL |
20 |
20 |
20 |
Puede observarse la diferente apreciación de pesos por parte del cliente y del equipo auditor. Mientras éstos estiman que las Normas y Estándares y los Procesos son muy importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el Software Básico.
Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee, por ejemplo 20, con absoluta independencia del número de Secciones que tenga cada Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de Seguridad Física. Cabe aclarar, solo se desarrolló un solo Segmento a modo de ejemplo.
Operativa del ciclo de Seguridad
Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que implica las siguientes actividades:
FASE 3. Operativa del ciclo de seguridad
- Asignación de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso técnico y del peso político. La Subsecciones se calculan pero no se ponderan.
- Preparación y confirmación de entrevistas.
- Entrevistas, pruebas, análisis de la información, cruzamiento y repaso de la misma.
Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designará a un encargado, dependiendo del área de la entrevista. Este, por supuesto, deberá conocer a fondo la misma.
La realización de entrevistas adecuadas constituye uno de los factores fundamentales del éxito de la auditoría. La adecuación comienza con la completa cooperación del entrevistado. Si esta no se produce, el responsable lo hará saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerárquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificación.
La entrevista concreta suele abarcar Subsecciones de una misma Sección tal vez una sección completa. Comenzada la entrevista, el auditor o auditores formularán preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qué, si son más de una las personas entrevistadas.
Las Checklist’s son útiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la información correspondiente.
Simultáneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aquél, que indefectiblemente deberán ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la información facilitada por el auditado, se deberá recabar nueva información y reverificar los resultados de las pruebas auditoras.
La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el cliente y el análisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarán en el informe final.
A continuación, un ejemplo de auditoría de la Sección de Control de Accesos del Segmento de Seguridad Física:
Vamos a dividir a la Sección de Control de Accesos en cuatro Subsecciones:
- Autorizaciones
- Controles Automáticos
- Vigilancia
- Registros
En las siguientes Checklists, las respuestas se calificarán de 1 a 5, siendo1 la más deficiente y 5 la máxima puntuación.
Control de Accesos: Autorizaciones |
||
Preguntas |
Respuestas |
Puntos |
¿Existe un único responsable de implementar la política de autorizaciones de entrada en el Centro de Cálculo? | Si, el Jefe de Explotación, pero el Director puede acceder a la Sala con acompañantes sin previo aviso. |
4 |
¿Existe alguna autorización permanente de estancia de personal ajeno a la empresa? | Una sola. El técnico permanente de la firma suministradora. |
5 |
¿Quiénes saben cuáles son las personas autorizadas? | El personal de vigilancia y el Jefe de Explotación. |
5 |
Además de la tarjeta magnética de identificación, ¿hay que pasar otra especial? | No, solamente la primera. |
4 |
¿Se pregunta a las visitas si piensan visitar el Centro de Cálculo? | No, vale la primera autorización. |
3 |
¿Se preveen las visitas al Centro de Cálculo con 24 horas al menos? | No, basta que vayan acompañados por el Jefe de Explotación o Director |
3 |
TOTAL AUTORIZACIONES |
24/30 80% |
Control de Accesos: Controles Automáticos |
||
Preguntas |
Respuestas |
Puntos |
¿Cree Ud. que los Controles Automáticos son adecuados? | Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. |
3 |
¿Quedan registradas todas las entradas y salidas del Centro de Cálculo? | No, solamente las del personal ajeno a Operación. |
3 |
Al final de cada turno, ¿Se controla el número de entradas y salidas del personal de Operación? | Sí, y los vigilantes los reverifican. |
5 |
¿Puede salirse del Centro de Cálculo sin tarjeta magnética? | Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro |
3 |
TOTAL CONTROLES AUTOMATICOS |
14/20 70% |
Control de Accesos: Vigilancia |
||
Preguntas |
Respuestas |
Puntos |
¿Hay vigilantes las 24 horas? | Sí. |
5 |
¿Existen circuitos cerrados de TV exteriores? | Sí. |
5 |
Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver? | No. |
2 |
¿Conocen los vigilantes los terminales que deben quedar encendidos por la noche? | No, sería muy complicado. |
2 |
TOTAL VIGILANCIA |
14/20 70% |
Control de Accesos: Registros |
||
Preguntas |
Respuestas |
Puntos |
¿Existe una adecuada política de registros? | No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. |
1 |
¿Se ha registrado alguna vez a una persona? | Nunca. |
1 |
¿Se abren todos los paquetes dirigidos a personas concretas y no a Informática? | Casi nunca. |
1 |
¿Hay un cuarto para abrir los paquetes? | Sí, pero no se usa siempre. |
3 |
TOTAL REGISTROS |
6/20 30% |
Cálculos y Resultados del Ciclo de Seguridad
FASE 4. Cálculos y resultados del ciclo de seguridad
- Cálculo y ponderación de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan.
- Identificación de materias mejorables.
- Priorización de mejoras.
En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditoría de Seguridad.
El trabajo de levantamiento de información está concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltaría calcular el porcentaje de bondad de cada área; éste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes.
Una vez realizado los cálculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuación para lograrlas.
Cálculo del ejemplo de las Subsecciones de la Sección de Control de Accesos:
Autorizaciones 80%
Controles Automáticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos %
A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad:
Ciclo de Seguridad. Evaluación y pesos de Segmentos |
||
Segmentos |
Pesos |
Evaluación |
Seg1. Normas y Estándares |
10 |
61% |
Seg2. Sistema Operativo |
10 |
90% |
Seg3. Software Básico |
12 |
72% |
Seg4. Comunicaciones |
12 |
55% |
Seg5. Bases de Datos |
12 |
77,5% |
Seg6. Procesos |
14 |
51,2% |
Seg7. Aplicaciones |
16 |
50,5% |
Seg8. Seguridad Física |
14 |
59,8% |
Promedio Total Area de Seguridad |
100 |
63,3% |
Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad:
- Valoración de las respuestas a las preguntas específicas realizadas en las entrevistas y a los cuestionarios formulados por escrito.
- Cálculo matemático de todas las subsecciones de cada sección, como media aritmética (promedio final) de las preguntas específicas. Recuérdese que las subsecciones no se ponderan.
- Cálculo matemático de la Sección, como media aritmética (promedio final) de sus Subsecciones. La Sección calculada tiene su peso correspondiente.
- Cálculo matemático del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso.
- Cálculo matemático de la auditoría. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.
Finalmente, se procede a mostrar las áreas auditadas con gráficos de barras, exponiéndose primero los Segmentos, luego las Secciones y por último las Subsecciones. En todos los casos sé referenciarán respecto a tres zonas: roja, amarilla y verde.
La zona roja corresponde a una situación de debilidad que requiere acciones a corto plazo. Serán las más prioritarias, tanto en la exposición del Informe como en la toma de medidas para la corrección.
La zona amarilla corresponde a una situación discreta que requiere acciones a medio plazo, figurando a continuación de las contenidas en la zona roja.
La zona verde requiere solamente alguna acción de mantenimiento a largo plazo.
Nula | Pobre | Insuficiente | Suficiente. | Adecuado | buena | Excel. | |||||||||
Confección del Informe del Ciclo de Seguridad
Fase5. Confección del informe del ciclo de seguridad
- Preparación de borrador de informe y Recomendaciones.
- Discusión del borrador con el cliente.
- Entrega del Informe y Carta de Introducción.
Ha de resaltarse la importancia de la discusión de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporará al Informe Final.
Las Recomendaciones del Informe son de tres tipos:
- Recomendaciones correspondientes a la zona roja. Serán muy detalladas e irán en primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de modo que sea simple verificar el cumplimiento de la misma por parte del cliente.
- Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irán priorizadas.
- Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una acción sencilla y económica pueda originar beneficios importantes.
Conclusión
En conclusión tenemos que la seguridad informática se resume, por lo general, en cinco objetivos principales:
ü Integridad: garantizar que los datos sean los que se supone que son
ü Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian
ü Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
ü Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
ü Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.