UNIDAD ACADMICA IV

AUDITORIA DE LA SEGURIDAD INFORMTICA La dependencia que tienen actualmente los negocios de las tecnologas de la informacin obliga a la bsqueda de mtodos, tcnica y medios que ayuden a mantener la seguridad del funcionamiento correcto de los sistemas de informacin utilizados de tales tecnologas. La seguridad de los sistemas de informacin se apoya principalmente en tres conceptos: disponibilidad, integridad y confidencialidad, que para mantenerlos en un nivel aceptable es necesario dedicar recursos y normalmente presupuesto econmico, lo que convierte al mantenimiento de la seguridad en una tarea de gestin. En la primera parte del presente fascculo se definen algunos conceptos utilizados en la seguridad de los sistemas de informacin, se detallan algunos mecanismos que ayudan a mantener la seguridad y por ltimo se detalla la importancia del anlisis de riesgo en la seguridad informtica; en la segunda parte se detalla las fases de una auditoria de seguridad informtica, se detalla tambin la importancia de la seguridad fsica y lgica y los aspectos que debemos tener en cuenta en relacin con las otras reas de las tecnologas de informacin, como el desarrollo de sistemas de informacin, redes, comunicaciones, etc. 4.1 FUNDAMENTOS DE LA SEGURIDAD INFORMTICA La creciente dependencia de las empresas, y de la sociedad en general, de las tecnologas de la informacin y las comunicaciones, as como el entorno cada vez ms complejo en que estas se desarrollan, ha provocado la aparicin de vulnerabilidades en los recursos utilizados, que deben minimizar con las medidas de seguridad oportunas. 4.1.1 QU ES LA SEGURIDAD INFORMATICA? La seguridad informtica, generalmente consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi. La seguridad informtica busca la proteccin contra los riesgos liados a la informtica. Los riesgos son en funcin de varios elementos: Las amenazas que pesan sobre los activos a proteger. Las vulnerabilidades de estos activos. Su sensibilidad, la cual es la conjuncin de diferentes factores: la confidencialidad, disponibilidad o accesibilidad. 4.1.2 SEGURIDAD DE LA INFORMACIN Los datos y la informacin son los activos ms estratgicos y valiosos relacionados con los S I y el uso de las TI. Segn la ISO: Es la preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, no repudio y fiabilidad pueden ser tambin consideradas segn [IS O/IEC 27002:2005].

4.1.3 COMP ONENTES DE LA SEGURIDAD INFORMTICA En diversas iniciativas internacionales, incluidas las emprendidas por la organizacin ISO (Internaciontal Estndar Organization) con sus guas, se han clarificado los componentes fundamentales de la seguridad desde la perspectiva de la modelizacin. As se distinguen: los activos, las amenazas, las vulnerabilidades, los riesgos, los impactos y las salvaguardas. A. ACTIVO DE INFORMACIN En relacin con la seguridad de la informacin, se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [IS O/EC 13335-1:2004]: cualquier cosa que tiene valor para la organizacin. Ejemplo: Ficha Medica de un paciente B. RIESGO Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la posibilidad de un evento y sus consecuencias. C. AMENAZA Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. D. VULNERABILIDAD Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. E. IMP ACTO El impacto es la medida del ao producido a la organizacin por un incidente posible. Se centra sobre los activos y por tanto puede medirse econmicamente. F. CONTROL Las polticas, procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. G. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SCSI) (Ingles: ISMS)Sistema de gestin de la seguridad de la informacin. Segn [IS O/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitores, revisa, mantiene y mejora la seguridad de la informacin. 4.1.4 QUE ES C-I-A? Son los principios de seguridad, que en general se suele decir que son los tres objetivos fundamentales de la seguridad informtica: CONFIDENCIALIDAD (Ingles: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 13335-1:2004]: caracterstica/propiedad por la informacin no est disponible o revelada a individuos, entidades, o procesos no autorizados. INTEGRIDAD (Ingles: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de

salvaguardar la exactitud y completitud de los activos. DISPONIBILIDAD (Ingles: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [IS O/IEC 13335-1:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

Figura 4.1: Triangulo ID

4.1.5 EL ANLISIS Y L A GESTIN DE RIESGOS El anlisis y gestin de riesgos es un mtodo formal para investigar los riesgos de un sistema de informacin y recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. A su vez es una salvaguarda preventiva que intenta buscar ordenadamente otras salvaguardas para proteger el sistema de informacin. El anlisis de riesgos introduce un enfoque riguroso y consecuente para la investigacin de los factores que contribuyen a los riesgos. En general implica la evaluacin del impacto que una violacin de la seguridad tendra en las empresas; seala los riegos existentes, identificando las amenazas que afectan al sistema informtico: y la determinacin de las vulnerabilidades del sistema a dichas amenazas. Su objetivo es proporcionar una medida de las posibles amenazas y vulnerabilidades del sistema de manera que los medios de seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al mnimo las posibles prdidas. La gestin de riesgos es un proceso separado que utiliza los resultados de la anlisis de riesgos para seleccionar e implantar las medidas de seguridad (salvaguardas) adecuadas para controlar los riesgos identificados. 4.2 AUDITORIA DE SEGURIDAD INFORMTICA Para muchos, la seguridad sigue siendo el rea principal a auditar. En algunas entidades, se cre inicialmente la funcin de auditoria informtica para revisar la seguridad, aunque despus hayan ido ampliando los objetivos. Puede haber seguridad sin auditoria, puede existir auditoria de otras reas y queda un espacio de encuentro: la auditoria de la seguridad, pudiendo sta rea ser mayor o menor segn la entidad y el momento.

Figura 4.2: Encuentro entre seguridad y auditoria

4.2.1 MODELOS DE SEGURIDAD Deben evaluarse si estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. No se puede auditar con conceptos, tcnicas o recomendaciones de hace algunos aos. 4.2.2 JUSTIFICACIN DE LA AUDITORIA Tanto la normativa como la auditoria son necesarias: una auditora no basada en polticas de la entidad auditada sera subjetiva y hasta peligrosa la existencia de normatividad sin auditora sera equivalente a la no existencia de polica de trnsito Grupos de Controles Adems de poderlos dividir en controles manuales y automticos, o en controles generales y de aplicacin, los dividimos en: Controles directivos, establecen las bases, como las polticas, o la creacin de comits relaciones o de funciones: de administracin de seguridad o auditora de sistemas de informacin interna. Controles preventivos, antes del hecho, como la identificacin de las visitas (seguridad fsica) o las contraseas (seguridad lgica). Controles de deteccin, como determinadas revisiones de accesos producidos o la deteccin de incendios. Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperacin de un archivo daado a partir de una copia. Controles de recuperacin, que facilitan la vuelta a la normalidad despus de accidentes o contingencias, como puede ser un plan de continuidad adecuado. Objetivos de Control respecto de la seguridad Son las declaraciones sobre el resultado final deseado o propsito general a ser alcanzado mediante las protecciones y los procedimientos de control. Cada entidad ha de definir sus propios objetivos de control en cuanto a seguridad y otras reas, y crear y mantener un Sistema de Control Interno que pueda garantizar que se cumplan los objetivos de control. Los auditores son los ojos y odos de la Direccin, que a menudo no puede o no debe, o no sabe cmo realizar las verificaciones o evaluaciones. En los informes se recomendar la implantacin o refuerzo de controles, y en algunos casos incluso la supresin de algn control, si resulta redundante o ya no es necesario. El Sistema de Control Interno ha de basarse en las polticas y se implanta con el apoyo de herramientas. A menudo encontramos en las auditoras que existe la implantacin parcial de controles de acceso lgico a travs de paquetes o sistemas basada en el criterio de los tcnicos y no de la normativa, o bien habiendo partido sta de los tcnicos si n aprobaciones de otro nivel En realidad, el control interno no est generalizado fuera de los procesos que implican gastos, sin embargo existen riesgos tan importantes o ms que las prdidas monetarias directas,

relacionados con la gestin adecuada de los recursos informticos o con la propia proteccin de la informacin, que podran suponer prdidas muy importantes para la entidad Cuando existe un sistema de control interno adecuado, los procesos de auditora, especialmente si son peridicos, son revisiones necesarias pero ms rpidas, con informes ms breves En cambio, si el sistema de control interno es dbil, la auditora llevar ms tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las recomendaciones son mucho menores. Podramos hacer una analoga con la situacin de un paciente que se somete a un chequeo luego de varios aos si n control 4.2.3 REAS QUE PUEDE CUBRIR LA AUDITORA DE LA SEGURIDAD Los controles directivos, es decir, los fundamentos de la seguridad: polticas, planes, funciones, existencia y funcionamiento de algn comit relacionado, objetivos de control, presupuesto, as como mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas: procedimientos, posibles estndares, normas y guas, si n ser suficiente que existan estas ltimas. El marco jurdico aplicable, as como las regulaciones o los requerimientos aplicables a cada entidad. Otro aspecto es el cumplimiento de los contratos Amenazas fsicas externas: inundaciones, incendios, explosiones, cortes de lneas o de suministros, terremotos, terrorismo, huelgas... Control de accesos adecuado, tanto fsicos como lgicos, para que cada usuario pueda acceder a los recursos a que est autorizado y realice slo las funciones permitidas y quedando las pistas necesarias para control y auditora, tanto de los accesos producidos al menos a los recursos ms crticos como los intentos en determinados casos. Proteccin de datos: lo que fije la LOPD en cuanto a los datos de carcter personal bajo tratamiento automatizado, y otros controles en cuanto a los datos en general, segn la clasificacin que exista, la designacin de propietarios y los riesgos a que estn sometidos. Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el impacto ser menor que en una red El entorno de produccin, entendiendo como tal la explotacin ms tcnica de sistemas, y con especial nfasis en los elementos de contratos en lo que se refiere a protecciones, tanto cuando se refiera a terceros cuando se trata de una entidad que presta servicios, como el servicio recibido de otros, y de forma especial en el caso de subcontratacin total o outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables y tambin la continuidad de las operaciones. Estas reas, casi todas tienen puntos de enlace y partes comunes: comunicaciones con control de acceso, cifrado con comunicaciones y soportes, datos con soportes y con comunicaciones, explotacin con varias de ellas, y as en otros casos. 4.2.4 EVALUACIN DE RIESGOS Se trata de identificar los riesgos. Cuantificar su probabilidad e impacto, y analizar medidas de que los eliminen o que disminuyan la probabilidad de su ocurrencia o mitigar su impacto. Para evaluar estos riesgos haya que considerar, entre otros factores: El tipo de informacin almacenada, procesada y transmitida La criticidad de las aplicaciones La tecnologa usada El marco legal aplicable El sector de la entidad, la entidad misma y el momento

Es necesario revisar si se han considerado amenazas, y de todo tipo: Errores y negligencias en general. Desastres naturales Fallos de instalaciones Fraudes o delitos

Y que puedan traducirse en daos a: Personas Datos Programas Redes Instalaciones

Debemos pensar que las medidas deben considerarse como inversiones en seguridad, y transmitir a los auditores que adems tiene un impacto favorable en la imagen de las entidades. La proteccin no ha de basarse en slo en dispositivos y medios fsicos, si no en formacin e informacin adecuada al personal, empezando por la mentalizacin a los directivos. El factor humano es el principal a considerar. Es necesaria una separacin de funciones: es peligroso que una misma persona realice una transaccin, la autorice y revise despus los resultados, porque podra planificar un fraude o encubrir cualquier anomala, y sobre todo equivocarse y no detectarse. Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos. Si la entidad auditada est en medio de un proceso de implantacin de la seguridad, la evaluacin se centrar en los objetivos, los planes, que proyectos hay en curso y los medios usados o previstos. En la auditoria externa se trata de saber si la entidad, a travs de funciones como administracin de la seguridad, auditoria interna, ha evaluado de forma adecuada los riesgos. Al hablar de seguridad de seguridad se habla de sus tres dimensiones clsicas: confidencialidad, integridad, y disponibilidad de la informacin. Confidencialidad.- se cumple cuando solo las personas autorizadas, pueden conocer los datos o la informacin correspondiente. La integridad.- consiste en que solo los usuarios autorizados puedan variar (modificar o borrar) los datos, deben quedar pistas para control posterior de auditoria. La disponibilidad.- se alcanza si las personal autorizadas pueden acceder a la informacin a la que estn autorizadas. 4.2.5 FASES DE LA AUDITORIA DE SEGURIDAD Con carcter general para una auditoria informtica pueden ser: Concrecin de los objetivos y del alcance y profundidad de la auditoria. Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos. Adaptacin de cuestionarios y a veces consideracin de herramientas Realizacin de entrevistas y pruebas Anlisis de resultados y valoracin de riesgos Presentacin y discusin del informe provisional

 Informe definitivo 4.2.6 AUDITORIA DE LA SEGURIDAD FSICA Se evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto las personas. Las amenazas son muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios inundaciones, averas importantes, derrumbamientos, explosiones, axial como otros que afecten a las personas y puedan impactar el funcionamiento de los centros, tales como errores, negligencias, etc. Desde la perspectiva de las protecciones fsicas algunos aspectos a considerar son: Ubicacin del Centro de procesamiento de datos, de los servidores locales, y de cualquier elemento a proteger, como tambin los terminales. Estructura, diseo, construccin y distribucin de los edificios. Riesgos a los que estn expuestos, tanto por agentes externos, causales o no, como por acceso fsico no controlados. Amenazas de fuego, riesgo por agua, problemas en el suministro elctrico. A dems del acceso, debe controlarse el contenido de carteras, paquetes, bolsas o cajas. Se evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto las personas. Proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y posible transporte, adems de otras protecciones no fsicas, todo bajo unos sistemas de inventario, as como de documentos impresos y de cualquier tipo de informacin clasificada. 4.2.7 AUDITORA DE LA SEGURIDAD LGICA Es necesario verificar que cada usuario solo pueda accedes a los recursos que el propietario lo autorice. (Disco, aplicacin, BD, librera de programa, tipo de transaccin, programas). As como (lectura, modificacin, borrado, ejecucin). Revisar cmo se identifican, autentifican los usuarios, as como quien los autoriza y cmo; adems de verificar quien se entera, cuando y que se hace cuando ocurre una transgresin. El mtodo ms utilizado es la contrasea, consideraciones: Quien asigna la contrasea: inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia. Nmero de intentos que se permiten al usuario. Si las contraseas estn cifradas y bajo qu sistema. Proteccin y cambio de contraseas iniciales. Controles existentes para evitar detectar caballos de Troya. La no-cesin y el uso individual y responsable a partir de la normativa

Cuando se cuenta con distintos sistemas los cuales requieren identificacin. Los usuarios pueden tener las mismas contraseas, lo cual supone una vulnerabilidad si la proteccin es desigual. Lo ms adecuado es utilizar sistemas de autentificacin nicos. Debemos verificar que el proceso de alta es realizado segn la normativa en vigor, as como las variaciones y bajas, y que los usuarios siguen activos y cuales inactivos y porque. Otra debilidad es si pueden crearse situaciones de bloqueo. Porque solo existe un administrador. Se recomienda la existencia de algn usuario no asignado con perfil especial y contrasea protegida que puedan ser utilizadas en caso de emergencia. Todas las operaciones debern quedar registradas para control y auditorias

4.2.8 AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES Todos desarrollo debe estar autorizado a distinto nivel segn la importancia e incluso autorizadas por un comit si los costes o los riesgos superan unos umbrales Se revisara la participacin de usuarios y auditores internos, a que libreras puedan acceder, si hay separacin suficiente de entornos, metodologas, ciclo de vida, gestin de proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o tengan transacciones econmicas o de riesgo especial, trminos de contrato y cumplimiento, seleccin y uso de paquetes, pruebas a distinto nivel, mantenimiento posterior, as como desarrollo de usuarios final. El pase al entorno de explotacin real, debe estar controlado, no descartndose la revisin del programa. Para descartar caballos de Troya, bombas lgicas y similares adems de la calidad. Proteccin de los programas, (propios, y las que tienen licencias). 4.2.9 AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN Las entidades han de cuidar especialmente las medias de proteccin en caso de contrataciones de servicios: (Impresiones de etiquetas, outsourcing, etc.), sin destacar que en el contrato se prevea la revisin por los auditores internos o externos de las instalaciones de la entidad que prev el servicio. Debe revisarse la proteccin de utilidades o programas especialmente peligrosos, as como el control de la generacin y cambios posteriores de todo el software del sistema y de forma especial el de control de acceso. Revisar el control de formularios crticos, control de problemas y cambios y la calidad. 4.2.10 AUDITORA DE LA SEGURIDAD DE LOS DATOS La proteccin de los datos pueden tener barios enfoques. Confidencialidad. Como datos mdicos. Disponibilidad. Si se pierden o pueden utilizarse a tiempo. Integridad. Cuando su perdida no puede detectarse fcilmente o no es fcil recuperarlo. Controles en los diferentes ciclos de vida de los datos. Desde el origen de datos, que puede ser dentro o fuera de la entidad y puede incluir preparacin, autorizacin, incorporacin al sistema Proceso de los Datos: controles de validacin integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: Controles en transmisiones, en impresoras, en distribuciones, en servicios contratados de manipulacin y en l envi; conciliacin previa de salidas con entradas por personas diferentes. Para detectar errores y posibles intentos de fraudes Retencin de la informacin y Proteccin en funcin de su clasificacin: destruccin de los diferentes soportes que las contengan cuando ya no sea necesario o bien des magnetizacin. Es necesaria la designacin de propietarios, clasificacin de los datos, e incluso de muescas para poder detectar usos no autorizados, as como la proteccin, controles y auditoria del SGBD. En cuanto a la clasificacin de datos o informacin debe revisarse quien la ha realizado, segn qu criterio y estndares.(no suele ser prctico que haya ms de 4 o 5 ni veles). En aplicaciones Cliente-servidor es necesario verificar los controles en varios puntos y no solo

en la central. Y a veces en plataformas heterogenia con niveles y caractersticas de seguridad muy diferentes. Tambin pueden usarse BD distribuidas, lo que puede aadir complejidad al sistema y a los controles a establecer. Si entra en los objetivos se analizara la destruccin de la informacin clasificada sea fsica o lgica. Y donde se almacena la informacin antes de ser destruido. Si son lgicas deben seguir un procedimiento adecuado y ser sometidos a varias grabaciones antes de ser utilizados. En el caso necesario de transporte debe ser por canales seguros cifrados o en compartimiento cerrados sin que el transportista tenga las llaves 4.2.11 AUDITORA DE LA SEGURIDAD EN LAS COMUNICACIONES Y REDES En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes son propiedad de la entidad y no deben utilizarse para otros fines no autorizados, salvo emergencias. En habr previsto en uso de cifrado. Se evaluara y se llegar a recomendar, y se revisarn la generacin, longitud, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario solo debe recibir en el men lo que pueda seleccionar. Y cargar nicamente los programas autorizados. Siendo los tcnicos autorizados los nicos que podrn modificar las configuraciones. Debe existir proteccin de distinto tipo, as como detecciones de accesos no autorizados (externas o internas), y frente a virus por diferentes vas de infeccin. Se revisaran las redes cuando existan repercusiones econmicas (transferencias de fondos o correo electrnico). Puntos complementarios: Tipo de redes y conexiones. Informacin de programas transmitidos, y uso de cifrado. Tipo de transacciones. Tipo de terminales y proteccin: fsica, lgica, llamadas de retorno. Proteccin de conversaciones de voz en caso necesario. Proteccin de transmisiones por fax si el contenido est clasificado. Consideraciones especiales a travs de gateway y routers. Internet e Intranet. Separacin de dominios y medidas de control especiales como normas y cortafuegos. El correo Electrnico. Tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin y no para fines personales. Proteccin de programas. El uso no adecuado de programas propietarios o de los que tengan licencia. El control sobre las pginas Web. Quien puede modificarlos y desde donde. Para evitar la publicidad acerca de seguridad. Es necesarios que queden registrados los accesos a la red para facilitar los trabajos de control y auditorias. 4.2.12 AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES Es uno de los puntos que nunca se deber pasa por alto, estamos hablando de los planes de contingencia, no basta con ver los manuales si no que es imprescindible ver si funciona con las garantas necesarias y cubrir los requerimientos de tiempos all denominados. Se debe evaluar su idoneidad as como los resultados de las pruebas que se han realizados, si las revisiones no nos aportan garanta suficientes debemos sugerir pruebas complementarios o hacerlo constar en el informe e incluso indicarlos en el apartado de limitaciones. Es fundamental la existencia de copias actualizadas de recursos vitales en un lugar distante y

de consideracin adecuada tanto fsica como de proteccin. No debe existir copia del plan fuera de las inhalaciones primarias En caso de los sistemas distribuidos es necesario conocer el caractersticas del centro o sistemas alternativos y deben revisarse si la capacidad de proceso, la de comunicacin y la de almacenamiento del sistema del sistema alternativo sean suficientes, as como las medidas de proteccin. 4.2.13 REGULACIN DE AUDITORA CON ADMINISTRACIN DE SEGURIDAD La funcin de Administracin de seguridad en parte ser interlocutora en los procesos de auditora de seguridad, si bien los auditores no podemos perder nuestra necesaria independencia, ya que podemos evaluar el desempeo de la funcin de administracin de seguridad, desde si sus funciones son adecuadas y estn respaldadas por algn documento aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no hay conflicto con otras. La funcin de auditora de sistemas de informacin y de la administracin de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor proteccin, y resulta como anillos protectores, como se muestra en la figura: 4.3 CONCLUSIONES Se espera que siga la tendencia y las entidades vayan entendiendo cada vez ms la utilidad de la proteccin de informacin y de la auditora. Tambin es cierto que han surgido bastantes entidades suministradoras que han incluido la seguridad y la auditora entre sus posibles servicios o simplemente han aceptado trabajos, en ambos casos sin disponer de expertos. Por otra parte hemos podido verificar que la auditora de la seguridad informtica, su filosofa, as como sus tcnicas y mtodos, interesan cada vez ms a los responsables de sistemas de informacin, a veces para conocer cmo pueden evaluar los auditores sus reas, por a menudo saber cules pueden ser los riesgos y que controles implantar.

La seguridad sigue siendo el rea ms importante a auditar, la importancia de la informacin especialmente relacionada con los sistemas basadas en el uso de la tecnologa de la informacin y comunicaciones, tienen un impacto mayor que hace unos aos, de ah las necesidades de protecciones adecuadas que se evalan y recomiendan en la auditora de seguridad. Los grandes grupos de control son los siguientes: controles directivos, controles preventivos controles de deteccin, c ontroles correctivos, controles de recuperacin. Cada entidad a definir sus propios objetivos de control en cuanto a seguridad de otras reas y crear y mantener un sistema de control interno (funciones, procesos, actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de control. El sistema de control interno ha de basarse en las polticas y se implanta con apoyo de herramientas, lo que encontramos a menudo en las auditoras que lo que existe es ms bien la implantacin parcial de control de acceso lgico a travs de paquetes o sistemas basados en el criterio de los tcnicos pero no sustentadas en normativa. Desde la perspectiva de la auditora de la seguridad es necesario revisar si se han considerado las amenazas, o bien evaluarlas si es el objetivo, y de todo tipo; errores y negligencias en general desastres naturales, fallos de instalaciones, o bien fraudes o delitos y que pueden traducirse en fallos a personas, datos, programas redes instalaciones y

otros activos. En auditora de seguridad fsica se evaluarn las protecciones fsicas de datos, programas , instalaciones , equipos redes, y soportes y por supuesto habr que considerar a las personas que estn protegidas y existan medidas de evacuacin, alarmas , salidas alternativas as como que no estn expuestas a riesgos superiores a los considerando admisibles en la entidad. Las amenazas pueden ser sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios inundaciones , averas importantes derrumbamientos , explosiones , as como otros que afectan a las personas y pueden impactar el funcionamiento de los centros tales como errores, negligencias , huelgas epidemias o intoxicaciones. En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son de propiedad de la entidad y no deben usarse para otros fines no autorizados por seguridad y por productividad, tal vez salvo emergencias concretas si as se han especificado. En el informe se hacen constar los antecedentes y los objetivos, para que quines lean el informe puedan fijarse que ha habido una comunicacin adecuada as como que metodologa de evaluacin de riesgos y estndares se han utilizado.