Auditoria en Sistemas de Información

¿Qué es la auditoría de sistemas de información?

Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales

para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran

presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o

servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes

deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso

secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de

los errores cometidos con anterioridad.

Las auditorías de seguridad de sistemas informáticos permiten conocer en el momento de su

realización cuál es la situación exacta de sus activos de información en cuanto a protección, control

y medidas de seguridad.

En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad,

disponibilidad y auditabilidad de la información tratada por los sistemas.

Objetivos de la auditoría

El control de la función informática.

El análisis de la eficiencia de los Sistemas Informáticos.

La verificación del cumplimiento de la Normativa en este ámbito.

La revisión de la eficaz gestión de los recursos informáticos.

Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.

Seguridad del personal, los datos, el hardware, el software y las instalaciones.

Minimizar existencias de riesgos en el uso de Tecnología de información.

Conocer la situación actual del área informática para lograr los objetivos.

Tipos de auditoría

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de

seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los

flujo gramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad

de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,

confidencialidad y autenticación.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones

de riesgo, y en algunos casos no revelando la situación física de esta.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de

información.

Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en

los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Estándares para realizar la auditoría

ADACSI: (Asociación de Auditoría y Control de Sistemas de Información) tiene como propósito,

avanzar en la generación de estándares globalmente aplicables que satisfagan esta necesidad. El

desarrollo y distribución de estándares es la piedra angular de la contribución profesional que

realiza ISACA a la comunidad de auditores.

ISACA: Formado por 95.000 auditores en todo el mundo, en mas de 160 países donde presta sus

servicios.

COBIT: (Objetivos de Control para la información y Tecnologías relacionadas). La misión es

investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control aceptados para

las tecnologías de la información que sean autorizados, actualizados, e internacionales para el uso

del día a día de los gestores de negocios y auditores. Gestores, auditores, y usuarios se benefician

del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información y decidir el

nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante

el desarrollo de un modelo de administración de las tecnologías de la información.

ISO 27002: se conforma como un código internacional de buenas prácticas de seguridad de la

información, este puede constituirse como una norma de auditoría apoyándose de otros estándares

de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de

seguridad.

ISO 27001: en una organización es un proyecto dependiendo del grado de madurez en seguridad

de la información y el alcance de la organización que va a estar sometido al Sistema de Gestión de

la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores

externos.

Personal que interviene en una auditoría

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal

que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la

optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y

capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe

pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar

el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las

reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un

grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería

casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se

solicite información, nos proporcionen aquello que se esta solicitando, y complementen el grupo

multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática,

sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se deben

tener personas con las siguientes características:

• Técnico en informática.

• Experiencia en el área de informática.

• Experiencia en operación y análisis de sistemas.

• Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en

áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona

tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas

con las características apuntadas.

Herramientas para realizar auditorías

Cuestionarios: El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis

determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.

Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. El auditor pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El auditor pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación.

Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.

Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. En la actualidad, los Software para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Medidas de seguridad a adoptar en los diferentes niveles

Los niveles de seguridad son los siguientes:

1. Nivel Básico 2. Nivel Medio 3. Nivel Alto

Medidas de Seguridad de nivel básico:

o Sistema de Registro de incidencias. o Relación actualizada usuarios/recursos autorizados. o Existencia de mecanismos de identificación y autenticación de los accesos autorizados. o Restricción solo a los datos necesarios para cumplir cada función. o Gestión de soportes informáticos con datos de carácter personal. • Inventariados. • Con acceso restringido. o Copias de seguridad semanalmente.

Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo:

o Designación de uno o varios responsables de seguridad. o Auditoría al menos una vez cada dos años. o Mecanismos para identificación inequívoca y personalizada de los usuarios. o Limitación de los intentos de acceso no autorizados. o Medidas de control de acceso físico a los locales. o Establecimiento de un registro de entradas y salidas de soportes informáticos. o Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. o Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero.

Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio:

o Los soportes para distribución deberán tener la información cifrada. o Registro de accesos autorizados y denegados. o Guardar estos registros durante 2 años. o Copias de seguridad guardadas en sitios diferentes. o Transmisiones cifradas.

Otras medidas de seguridad exigibles a todos los ficheros:

o Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local. o El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. o Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. o El responsable del fichero elaborará el documento de seguridad.

o Las pruebas con datos reales seguirán las medidas de seguridad pertinentes.

SOFTWARE DE AUDITORIA

1. ApexSQL Audit

http://www.shareit.com/product.html?productid=141573&affiliateid=60660

2. Secure Oracle Auditor (Secure Oracle Auditor) 3.0

http://www.freedownloadmanager.org/es/downloads/auditor%C3%ADa_de_base_de_datos_gratis/

3. auditoría Zifra 1.08

http://www.zifra.es/

4. AUDITWorks

http://www.primatech.com/index.php/software/AUDITWorks?gclid=CIH86fWjq7ICFZSC7QodO2MAGA

Bladdy Agüero – www.sysama.com