2.1 PLANEACIÓN DE LA AUDITORIA INFORMÁTICA
2.1.1 RECONOCER LAS NORMAS Y
ESTÁNDARES RELACIONADOS CON PROYECTOS DE T.I.
Algunas normas y estándares relacionados con proyectos de Tecnologías de
la Información se presentan a continuación.
Existen entidades internacionales reconocidas, que se preocupan por
realizar metodologías, normas, estándares, modelos y/o directrices, enfocados a
los desarrolladores como a los adquiridores de software. Entre las principales
se puede mencionar a (Fernando Hurtado, 2011) :
·
SEI (Software Engineering Institute - Instituto de
Ingeniería de Software)
·
IEEE (Institute of Electrical and Electronics
Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)
·
ISO (International Organization for Standarization
- Organización Internacional de Estandarización)
·
SPICE (Software Process Improvement and Capability
dEtermination Mejoramiento de procesos de Software y determinación de
capacidad).
Sin embargo, iniciaremos RECORDANDO la norma más común a nivel
internacional:
2.1 .1.1
ISO 9000
Surge debido a
la retroalimentación de los usuarios, el desarrollo de los modelos de
evaluación y mejora continua, así como las críticas especializadas que requieren un estándar con las siguientes
CARACTERÍSTICAS (Jimenez) :
·
Emplee una aproximación de gestión basada en el
proceso.
·
Sea compatible con otros sistemas de gestión.
·
Incluya requisitos para la mejora continua del
sistema de calidad.
·
Coincida con las necesidades de los participantes
externos.
·
Sea amigable al usuario y al cliente.
2.1.1.2 ISO
9126
El estándar ISO-9126
establece que cualquier componente de la calidad del software puede ser
descrito en términos de una o más de seis características básicas que se
presentan en la tabla 1.1 donde se muestra la pregunta central que atiende cada
una de estas características (Jimenez)
2.1.2 IDENTIFICAR LAS FASES DE LA AUDITORÍA INFORMÁTICA.
Los servicios de
auditoría en general constan de las siguientes fases (Rivera, 1988) :
PREPARACIÓN
·
Planeación
·
Investigación
·
Lista
de Chequeo
EJECUCIÓN
·
Reunión
de apertura (Entrevista)
·
Recolección
pruebas (Análisis Documentos/Registros)
·
Reunión
cierre (Observación de actividades en área)
·
Hallazgo
de auditoria
INFORME
·
Solicitud de acciones correctivas
·
Informe final
·
Seguimiento acciones correctivas
Una vez vistas las fases, se hace notar que durante la ejecución de una
auditoria informática se debe determinar la conformidad y eficacia para cumplir
con ciertos puntos exclusivos en una auditoria informática:
·
Enumeración de redes, topologías y protocolos
·
Identificación de los sistemas operativos
instalados
·
Análisis de servicios y aplicaciones
·
Detección, comprobación y evaluación de
vulnerabilidades
·
Medidas específicas de corrección
·
Recomendaciones sobre implantación de medidas
preventivas.
2.1.3 DEFINIR LOS ELEMENTOS DE LA PLANEACIÓN DE LA
AUDITORÍA EN INFORMÁTICA
Algunos Elementos de la planeación de la Auditoria Informática se ponen
a continuación:
·
Objetivo y alcance de la auditoria.
·
Personas (o
funciones) a ser auditadas.
·
Elementos del sistema de calidad aplicables.
·
Documentos de referencia aplicables.
·
Miembros del equipo auditor.
·
Idioma (si es aplicable).
·
Lugar y fecha de la auditoria.
·
Tiempo de reunión de apertura y cierre
·
Requisitos de confidencialidad.
·
Distribución del informe y fecha esperada de
publicación.
2.1.3.1 ACTIVIDADES
PROPIAMENTE DICHAS DE LA AUDITORIA
La auditoria Informática general se realiza por áreas generales
o por áreas específicas. Si se examina por grandes temas, resulta evidente la
mayor calidad y el empleo de más tiempo total y mayores recursos (Garcia,
Auditoria Informatica) .
Cuando la auditoria se realiza por áreas específicas, se abarcan
de una vez todas las peculiaridades que afectan a la misma, de forma que el
resultado se obtiene más rápidamente y con menor calidad.
Técnicas de Trabajo:
- Análisis de la información recabada del auditado.
- Análisis de la información propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulación.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estándares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditoría (Generadores de Programas).
- Matrices de riesgo.
2.1.4 LISTAS
DE VERIFICACIÓN
Derrotero con los aspectos a ser auditados y que permite ir registrando
durante su ejecución, las diversas observaciones y hallazgos encontrados (Atehortua, 2005) .
RECOMENDACIONES PARA LA LISTA DE VERIFICACIÓN:
·
Evaluación del conocimiento del auditado
·
Disponibilidad del procedimiento
·
Verificación del cumplimento de la norma
·
Observar auditorias anteriores
2.2 EVALUACIÓN
DE LA SEGURIDAD.
2.2.1 IDENTIFICAR
LOS MODELOS DE SEGURIDAD
El esquema presentado resume y agrupa todas las actividades y se debe
entender que muchas de ellas llevaran un ciclo continuo de mejora.
A continuación se presenta una descripción
de cada una de las fases y actividades que ellas consideran:
Detección de Necesidades: Corresponde
al levantamiento de todas las actividades relacionadas con los impactos que la
organización pueda tener en relación con su seguridad de la información.
Análisis
de Riesgo: Corresponde a evaluar todos los
potenciales riesgos en los cuales se pueda ver envuelta
la organización por aspectos emanados de
las TIC y que impactan en la seguridad de la información.
Apoyo
Directivo: Corresponde a la presentación del
resultado de las etapas anteriores con el fin de conseguir el apoyo para
concretar la implementación de la seguridad de la información (presupuestos,
personal, capacitación, etc.)
OSI: La organización debe designar a un OSI para que realice, apoye,
dirija y pueda llevar el control de implementación y posterior seguimiento a
todo el modelo de seguridad de la información. Además el OSI estará presente en
todas las actividades y con énfasis en la fase de aplicación en la cual
participa en forma activa en todas las actividades que se indican de aquí en
adelante.
Confección
PSI: Corresponde al diseño de las Políticas de
Seguridad de la Información de la organización. o Confección de procedimientos,
instructivos y registros: Corresponde al desarrollo de documentos que
formalicen como se deben realizar las actividades y que información es la que
se debe retener como evidencia para dar conformidad a las PSI.
Controles
TIC: En esta etapa se diseñan y definen los
procesos, objetivos de control, controles y evidencias formales de las
actividades de seguridad que darán sustento a los procesos de revisiones o
auditorias del modelo.
Evaluación
y auditoria: En esta etapa se debe realizar,
preparar y desarrollar la revisión que avale que todos los procesos de TI se
están cumpliendo y llevando a cabo adecuadamente, lo cual será evaluado por el
mismo proceso de auditoría (interna y/o externa).
Evidencia: En esta etapa se busca verificar de manera adecuada que todos los
registros de TI para todos sus procesos y controles estén disponibles para
cualquier tipo de revisión, particularmente a los procesos de auditoría. O
Informes: Esta etapa contempla la confección de informes del proceso de
revisión que derivarán en actividades de mejora al modelo y con 251 revisiones
por parte de la dirección de la organización que permitan confeccionar
adecuados planes de acción.
Planes
de Acción: Esta etapa consiste en la aplicación de
los planes de acción conforme a los plazos y actividades que fueron indicados
en el proceso de auditoría. Estos planes de acción pueden conformar la revisión
y ajustes de todo tipo de actividades ya sea a nivel de procesos de seguridad,
de evidencias, de políticas o de cualquier otra actividad que sea identificada.
Sensibilización: Esta etapa (incluida en ambas fases del modelo) permite entregar
constante información (alertas) a la organización sobre la importancia de
mantener la seguridad de la información y el resguardo de todas las actividades
de TI. Recibe un apoyo directo de la dirección de la organización.
2.2.2 IDENTIFICAR
LAS ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD
Se incluyen las que con carácter general pueden formar partes de los
objetivos de una revisión de la seguridad, si bien esta puede abarcar solo
partes de ella si así se ha determinado ante mano.
En una auditoria de otros aspectos- y por tantos en otros capítulos de
esta misma obra- pueden seguir revisiones solapadas con la seguridad; así, a la
hora de revisar las operaciones de desarrollo, normalmente se verá si se
realizan en un entorno seguro y protegido y lo mismo a la hora de revisar la
exploración, o el área técnica de sistemas, la informática de usuario final,
las bases de datos… y en general cualquier área.
Las áreas generales citadas, algunas de las cuales se aplican des pues
son:
Lo que hemos denominado controles directivos, es decir los fundamentos
de seguridad: políticas, planes, funciones…etc.
El desarrollo de las políticas.
Amenazas físicas externas.
Control de accesos adecuados tanto físicos como los denominados lógicos.
Comunicaciones y redes: topologías y tipos de comunicaciones, protección
antivirus.
El entorno de producción, entendido como tal explotación más técnica de
sistemas y con especial énfasis en los cumplimientos de contratos.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que estos resulten auditables.
No se tratan de ares no relacionadas, sino que todas tienen puntos de en
laces y por partes comunes: comunicación control de accesos, cifrados con
comunicaciones y soportes, datos con soportes y con comunicaciones, explotación
con varias de ellas, y así en otros casos. (Alanís, (1998).)
2.2.3 IDENTIFICAR
LAS FASES DE LA AUDITORÍA DE SEGURIDAD
Con carácter general pueden ser:
·
Concreción de los objetivos y de limitación del
alcance y profundidad de la auditoria, así como el periodo cubierto en su caso.
·
Análisis de posibles fuentes y recopilación de
información: en el caso de los internos este proceso puede no existir.
·
Determinación del plan de trabajo y de los recursos
y plazos en casos necesarios, así como en la comunicación en la entidad.
·
Adaptación de cuestionarios, y a veces
consideración de herramientas o perfiles de especialistas necesarios, sobretodo
en la auditoria externa.
·
Realización de entrevistas y pruebas.
·
Análisis de resultados y valoración de riesgos.
·
Presentación y discusiones del informe provisional.
·
Informe definitivo. (Alanís, (1998).)
2.2.4 DEFINIR LA AUDITORÍA DE LA SEGURIDAD
FÍSICA (UBICACIÓN, INSTALACIÓN ELÉCTRICA), LÓGICA, DE LOS DATOS
(ENCRIPTAMIENTO, EN COMUNICACIÓN Y REDES, EN EL PERSONAL.
Se evaluaran las protecciones físicas de datos, programas instalaciones,
equipos redes y soportes, y por supuesto habrá que considerar a las personas,
que estén protegidas y existan medidas de evacuación, alarmas, salidas
alternativas, así como que no estén expuestas a riesgos superiores a los
considerados admisibles en la entidad e incluso en el sector.
Amenazas
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de
distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos,
explosiones, así como otros que afectan a las personas y pueden impactar el
funcionamiento de los centros, tales como errores, negligencias, huelgas,
epidemias o intoxicaciones.
Protecciones físicas
algunos aspectos a considerar:
·
Ubicación del centro de procesos, de los servidores
locales, y en general de cualquier elemento a proteger.
·
Estructura, diseño, construcción y distribución de
los edificios y de sus platas.
·
Riesgos a los accesos físicos no controlados.
·
Amenaza de fuego, problemas en el suministro
eléctrico.
·
Evitar sustituciones o sustracción de quipos,
componentes, soportes magnéticos, documentación u otros activos. (Alanís, (1998).)
2.2.5 DEFINIR
PLANES DE CONTINGENCIA Y PROCEDIMIENTOS DE RESPALDO PARA CASOS DE DESASTRE.
El objetivo del proceso de planeación de la recuperación en caso de
desastre es:
Disminuir el impacto de un desastre en las operaciones de la
institución. En ocasiones no es posible evitar un desastre natural, sin embargo
sí podemos disminuir su impacto y definir las actividades de recuperación que
permitan reanudar las actividades normales en el tiempo más corto posible. (Corrales, s.f.)
Es mejor tener un procedimiento preestablecido que improvisar en caso de
un desastre porque cuando se actúa bajo presión se cometen más errores. En la siguiente
figura mostramos un diagrama del procedimiento que puede establecerse: (Corrales, s.f.)
