Auditoria en Sistemas de Informacin

Qu es la auditora de sistemas de informacin?

Es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditoras de seguridad de sistemas informticos permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad. En la auditora se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la informacin tratada por los sistemas.

Objetivos de la auditora

El control de la funcin informtica. El anlisis de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de la Normativa en este mbito. La revisin de la eficaz gestin de los recursos informticos. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin. Seguridad del personal, los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de Tecnologa de informacin. Conocer la situacin actual del rea informtica para lograr los objetivos.

Tipos de auditora

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de

seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujo gramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad y autenticacin. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones: Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Estndares para realizar la auditora

ADACSI: (Asociacin de Auditora y Control de Sistemas de Informacin) tiene como propsito, avanzar en la generacin de estndares globalmente aplicables que satisfagan esta necesidad. El desarrollo y distribucin de estndares es la piedra angular de la contribucin profesional que realiza ISACA a la comunidad de auditores. ISACA: Formado por 95.000 auditores en todo el mundo, en mas de 160 pases donde presta sus servicios. COBIT: (Objetivos de Control para la informacin y Tecnologas relacionadas). La misin es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control aceptados para las tecnologas de la informacin que sean autorizados, actualizados, e internacionales para el uso del da a da de los gestores de negocios y auditores. Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. ISO 27002: se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una norma de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad. ISO 27001: en una organizacin es un proyecto dependiendo del grado de madurez en seguridad de la informacin y el alcance de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En general, es recomendable la ayuda de consultores externos.

Personal que interviene en una auditora

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes. En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas.

Herramientas para realizar auditoras

Cuestionarios: El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos

tipos de informacin es una de las bases fundamentales de la auditora. Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior. El auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. El auditor pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El auditor pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Trazas y/o Huellas: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc. Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los Software para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.

Medidas de seguridad a adoptar en los diferentes niveles

Los niveles de seguridad son los siguientes: 1. Nivel Bsico 2. Nivel Medio 3. Nivel Alto Medidas de Seguridad de nivel bsico: o Sistema de Registro de incidencias. o Relacin actualizada usuarios/recursos autorizados. o Existencia de mecanismos de identificacin y autenticacin de los accesos autorizados. o Restriccin solo a los datos necesarios para cumplir cada funcin. o Gestin de soportes informticos con datos de carcter personal. Inventariados. Con acceso restringido. o Copias de seguridad semanalmente. Medidas de seguridad de nivel medio, adems de lo estipulado para el nivel bajo: o Designacin de uno o varios responsables de seguridad. o Auditora al menos una vez cada dos aos. o Mecanismos para identificacin inequvoca y personalizada de los usuarios. o Limitacin de los intentos de acceso no autorizados. o Medidas de control de acceso fsico a los locales. o Establecimiento de un registro de entradas y salidas de soportes informticos. o Establecimiento de medidas para impedir la recuperacin indebida de informacin contenida en soportes desechados o ubicados fuera de su lugar habitual. o Consignacin en el registro de incidencias de las operaciones de recuperacin de datos, que debern ser autorizados por escrito por el responsable del fichero. Medidas de seguridad de nivel alto, adems de lo indicado para el nivel medio: o Los soportes para distribucin debern tener la informacin cifrada. o Registro de accesos autorizados y denegados. o Guardar estos registros durante 2 aos. o Copias de seguridad guardadas en sitios diferentes. o Transmisiones cifradas. Otras medidas de seguridad exigibles a todos los ficheros: o Los accesos por red estn sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local. o El tratamiento de los datos fuera del local ser autorizado expresamente por el responsable del fichero. o Los ficheros temporales se borrarn una vez usados, tambin se les aplicar el nivel de seguridad pertinente. o El responsable del fichero elaborar el documento de seguridad. o Las pruebas con datos reales seguirn las medidas de seguridad pertinentes.

SOFTWARE DE AUDITORIA 1. ApexSQL Audit http://www.shareit.com/product.html?productid=141573&affiliateid=60660 2. Secure Oracle Auditor (Secure Oracle Auditor) 3.0 http://www.freedownloadmanager.org/es/downloads/auditor%C3%ADa_de_base_de_dato s_gratis/ 3. auditora Zifra 1.08
http://www.zifra.es/

4. AUDITWorks http://www.primatech.com/index.php/software/AUDITWorks?gclid=CIH86fWjq7ICFZ SC7QodO2MAGA

Bladdy Agero www.sysama.com