Se trata de identificar los riesgos, cuantificar su Debe evaluarse en la auditora si los modelos de probabilidad e impacto, y analizar medidas que los seguridad estn en consonancia con las nuevas eliminen -lo que generalmente no es posible- o que Las reas generalmente arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones, porque no se disminuyan la probabilidad de que ocurran los hechos citadas son: o mitiguen el impacto. Para evaluar riesgos hay que puede auditar con conceptos, tcnicas o recomen considerar, entre otros factores, el tipo de informacin daciones de hace algunos aos. almacenada, procesada y transmitida. Para ello los auditores disponemos de listas, que los grandes grupos de controles son los siguientes: normalmente incluimos en hojas de clculo, o bien Los fundamentos de la seguridad: polticas, planes, Controles directivos, que son los que establecen las usamos paquetes, y tal vez en el futuro sistemas funciones, existencia bases. exentos. Controles preventivos, antes del hecho. El desarrollo de las polticas: procedimientos, posibles estndares, normas y guas, sin ser suficiente que existan Controles de deteccin. estas ltimas. Controles correctivos, para rectificar errores. Controles de recuperacin, que facilitan la vuelta a la normalidad. AUDITORIA DE LA SEGURIDAD Amenazas fsicas extremas: inundaciones, incendios, explosiones, corte de lneas o de suministros, terremotos, terrorismo y huelgas.
Control de accesos adecuado, tanto fsicos como los
denominados lgicos, para que cada usuario pueda FASES DE LA AUDITORA DE SEGURIDAD acceder a los recursos a que est autorizado
Proteccin de datos: lo que fije la LOPD en cuanto a los
Concrecin de los objetivos y delimitacin datos de carcter personal. Realizacin de entrevistas y pruebas. del alcance y profundidad de la auditora Comunicaciones y redes: topologa y tipo de comunicaciones. Anlisis de posibles fuentes y recopilacin de Anlisis de resultados y valoracin de riesgos. informacin. El entorno de Produccin, entendiendo como tal Explotacin ms Tcnica de Sistemas. Determinacin del plan de trabajo y de los Presentacin y discusin del informe recursos y plazos en caso necesario. provisional. El desarrollo de aplicaciones en un entorno seguro.
Adaptacin de cuestionarios, y a veces
consideracin de herramientas o perfiles de Informe definitivo. especialistas necesarios. AUDITORA DE LA SEGURIDAD FSICA
Desde la perspectiva de las protecciones fsicas algunos AUDITORA DE LA SEGURIDAD LGICA
aspectos a considerar son : Estructura, diseo, construccin y distribucin de los Algunos de los aspectos a evaluar respecto a las contraseas pueden ser: edificios. Quin asigna la contrasea: inicial y sucesivas. Riesgos a los que estn expuestos, tanto por agentes Longitud mnima y composicin de caracteres. externos. Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo. Controles tanto preventivos como de deteccin Control para no asignar las "x" ltimas. relacionados con los puntos anteriores. Nmero de intentos que se permiten al usuario. Proteccin de los soportes magnticos en cuanto a Si las contraseas estn cifradas y bajo qu sistema. acceso. Proteccin o cambio de las contraseas iniciales que llegan en los sistemas. Adems del acceso, en determinados edificios debe Controles existentes para evitar y detectar caballos de Troya. controlarse el contenido de carteras, paquetes, bolsos o La no-cesin, y el uso individual y responsable de cada usuario, a partir de la normativa. cajas. Amenazas de fuego; riesgos por agua: por accidentes atmosfricos o por averas en las conducciones AUDITORIA DE LA SEGURIDAD AUDITORIA DE LA SEGURIDAD DE LOS DATOS AUDITORA DE LA SEGURIDAD YEL DESARROLLO DE APLICACIONES Controles en los diferentes puntos del ciclo de vida de los AUDITORA DE LA SEGURIDAD EN EL datos, que es lo que ha de revisarse en la auditora: Todos los desarrollos deben estar REA DE PRODUCCIN autorizados a distinto nivel segn la Desde el origen del dato, que puede ser dentro o fuera de importancia del desarrollo a abordar, Las entidades han de cuidar la entidad, y puede incluir preparacin, autorizacin, incluso autorizados por un comit si los especialmente las medidas de incorporacin al sistema. costes o los riesgos superan unos proteccin en el caso de Proceso de los datos: controles de validacin, integridad, umbrales. contratacin de servicios. almacenamiento: que existan copias suficientes y Otro aspecto es la proteccin de los Tambin debe revisarse la sincronizadas programas, al menos desde dos proteccin de utilidades o Salida de resultados: controles en transmisiones, en perspectivas: de los programas, que sean programas especialmente impresin, en distribucin, en servicios contratados de propiedad de la entidad, realizados por el peligrosos. manipulacin y en el envo. personal propio o contratado su Otro aspecto a revisar es el control Retencin de la informacin y proteccin en funcin de su desarrollo a terceros, como el uso de los formularios crticos. clasificacin: destruccin de los diferentes soportes que la adecuado de aquellos programas de los contengan cuando ya no sea necesaria. que se tenga licencia de uso. AUDITORIA DE LA SEGURIDAD