EVALUACION DE RIESGOS
INTRODUCCION
Debe evaluarse en la auditora si los modelos de
seguridad estn en consonancia con las nuevas
arquitecturas, las distintas plataformas y las
posibilidades de las comunicaciones, porque no se
puede auditar con conceptos, tcnicas o recomen
daciones de hace algunos aos.
los grandes grupos de controles son los siguientes:
Controles directivos, que son los que establecen las
bases.
Controles preventivos, antes del hecho.
Controles de deteccin.
Controles correctivos, para rectificar errores.
Controles de recuperacin, que facilitan la vuelta a
la normalidad.
FASES DE LA AUDITORA DE SEGURIDAD
Concrecin de los objetivos y delimitacin
del alcance y profundidad de la auditora
Anlisis de posibles fuentes y recopilacin de
informacin.
Determinacin del plan de trabajo y de los
recursos y plazos en caso necesario.
Adaptacin de cuestionarios, y a veces
consideracin de herramientas o perfiles de
especialistas necesarios.
AREAS QUE PUEDE CUBRIR
Se trata de identificar los riesgos, cuantificar su
probabilidad e impacto, y analizar medidas que los
eliminen -lo que generalmente no es posible- o que
disminuyan la probabilidad de que ocurran los hechos
o mitiguen el impacto. Para evaluar riesgos hay que
considerar, entre otros factores, el tipo de informacin
almacenada, procesada y transmitida.
Para ello los auditores disponemos de listas, que
normalmente incluimos en hojas de clculo, o bien
usamos paquetes, y tal vez en el futuro sistemas
exentos.
AUDITORIA DE LA SEGURIDAD
Realizacin de entrevistas y pruebas.
Anlisis de resultados y valoracin de riesgos.
Presentacin y discusin del informe
provisional.
Informe definitivo.
Las reas generalmente
citadas son:
Los fundamentos de la seguridad: polticas, planes,
funciones, existencia
El desarrollo de las polticas: procedimientos, posibles
estndares, normas y guas, sin ser suficiente que existan
estas ltimas.
Amenazas fsicas extremas: inundaciones, incendios,
explosiones, corte de lneas o de suministros, terremotos,
terrorismo y huelgas.
Control de accesos adecuado, tanto fsicos como los
denominados lgicos, para que cada usuario pueda
acceder a los recursos a que est autorizado
Proteccin de datos: lo que fije la LOPD en cuanto a los
datos de carcter personal.
Comunicaciones y redes: topologa y tipo de
comunicaciones.
El entorno de Produccin, entendiendo como tal
Explotacin ms Tcnica de Sistemas.
El desarrollo de aplicaciones en un entorno seguro.
 AUDITORA DE LA SEGURIDAD FSICA
Desde la perspectiva de las protecciones fsicas algunos
aspectos a considerar son :
Estructura, diseo, construccin y distribucin de los
edificios.
Riesgos a los que estn expuestos, tanto por agentes
externos.
Controles tanto preventivos como de deteccin
relacionados con los puntos anteriores.
Proteccin de los soportes magnticos en cuanto a
acceso.
Adems del acceso, en determinados edificios debe
controlarse el contenido de carteras, paquetes, bolsos o
cajas.
Amenazas de fuego; riesgos por agua: por accidentes
atmosfricos o por averas en las conducciones
AUDITORA DE LA SEGURIDAD YEL
DESARROLLO DE APLICACIONES
Todos los desarrollos deben estar
autorizados a distinto nivel segn la
importancia del desarrollo a abordar,
incluso autorizados por un comit si los
costes o los riesgos superan unos
umbrales.
Otro aspecto es la proteccin de los
programas, al menos desde dos
perspectivas: de los programas, que sean
propiedad de la entidad, realizados por el
personal propio o contratado su
desarrollo a terceros, como el uso
adecuado de aquellos programas de los
que se tenga licencia de uso.
AUDITORA DE LA SEGURIDAD LGICA
Algunos de los aspectos a evaluar respecto a las contraseas pueden ser:
Quin asigna la contrasea: inicial y sucesivas.
Longitud mnima y composicin de caracteres.
Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo.
Control para no asignar las "x" ltimas.
Nmero de intentos que se permiten al usuario.
Si las contraseas estn cifradas y bajo qu sistema.
Proteccin o cambio de las contraseas iniciales que llegan en los sistemas.
Controles existentes para evitar y detectar caballos de Troya.
La no-cesin, y el uso individual y responsable de cada usuario, a partir de la normativa.
AUDITORIA DE LA SEGURIDAD
AUDITORIA DE LA SEGURIDAD DE LOS DATOS
Controles en los diferentes puntos del ciclo de vida de los
AUDITORA DE LA SEGURIDAD EN EL datos, que es lo que ha de revisarse en la auditora:
REA DE PRODUCCIN
Desde el origen del dato, que puede ser dentro o fuera de
Las entidades han de cuidar la entidad, y puede incluir preparacin, autorizacin,
especialmente las medidas de incorporacin al sistema.
proteccin en el caso de Proceso de los datos: controles de validacin, integridad,
contratacin de servicios. almacenamiento: que existan copias suficientes y
Tambin debe revisarse la sincronizadas
proteccin de utilidades o Salida de resultados: controles en transmisiones, en
programas especialmente impresin, en distribucin, en servicios contratados de
peligrosos. manipulacin y en el envo.
Otro aspecto a revisar es el control Retencin de la informacin y proteccin en funcin de su
de los formularios crticos. clasificacin: destruccin de los diferentes soportes que la
contengan cuando ya no sea necesaria.
 AUDITORIA DE LA SEGURIDAD