FASES

Fase 0. Causas de la realizacin del ciclo de

seguridad. Fase 1. Estrategia y logstica del ciclo de seguridad. Fase 2. Ponderacin de sectores del ciclo de seguridad. Fase 3. Operativa del ciclo de seguridad. Fase 4. Clculos y resultados del ciclo de seguridad.

Fase 5. Confeccin del informe del ciclo de seguridad.

Fase 0. Causas de la realizacin del ciclo de seguridad. Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma. El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. CAUSAS: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc. De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo.

Fase 1. Estrategia y logstica del ciclo de seguridad. 1. Designacin del equipo auditor. 2. Asignacin de interlocutores, validadores y decisores del cliente. 3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial. LOS PLANES SE DESARROLLAN DE LA SIGUIENTE MANERA:

1. Eligiendo responsable de la auditoria su propio equipo de trabajo.

2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores

3.Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin

Fase 2. Ponderacin de sectores del ciclo de seguridad.

1. 2. 3.

Asignacin de pesos tcnicos. Asignacin de pesos polticos. Asignacin de pesos finales a los Segmentos y Secciones.

Ciclo de Seguridad. Suma Pesos Segmentos = 100 (con independencia del nmero de segmentos consideradas)
Segmentos Tcnico Polticos Finales Seg1. Normas y Estndares 12 8 10 Seg2. Sistema Operativo 10 10 10 Seg3. Software Bsico 10 14 12 Seg4. Comunicaciones 12 12 12 Seg5. Bases de Datos 12 12 12 Seg6. Procesos 16 12 14 Seg7. Aplicaciones 16 16 16 Seg8. Seguridad Fsica 12 16 14 TOTAL 100 100 100

SEGMENTO8 = SEGURIDAD FISICA

Suma Peso Secciones = 20 (con independencia del nmero de Secciones consideradas) Secciones Tcnicos 6 Polticos 6 Finales 6

Secc1. Datos Secc2. Control de Accesos 5 Secc3. Equipos Secc4. Documentos Secc5. Suministros TOTAL

3
6 2 1 20

4
4 4 3 20 5 3 2 20

Fase 3. Operativa del ciclo de seguridad

1.Preparacin y confirmacin de entrevistas. 2. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma.

A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica: Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones: 1.Autorizaciones 2. Controles Automticos 3. Vigilancia 4. Registro

Control de Accesos: Autorizaciones Preguntas Respuestas Puntos

Control de Accesos: Autorizaciones Preguntas Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Clculo? Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa? Quines saben cuales son las personas autorizadas? Adems de la tarjeta magntica de identifica-cin, hay que pasar otra especial? Se pregunta a las visitas si piensan visitar el Centro de Clculo? Se preveen las visitas al Centro de No, basta que vayan Clculo con 24 horas al menos? acompaados por el Jefe de Explotacin o Director 3 No, vale la primera autorizacin. 3 El personal de vigilancia y el Jefe de Explo-tacin. No, solamente la primera. 4 5 Respuestas Si, el Jefe de Explotacin, pero el Director puede acceder a la Sala con acompaantes sin previo aviso. Una sola. El tcnico permanente de la firma suministradora. 5 Puntos 4

Control de Accesos: Controles Automticos Preguntas Cree Ud. que los Controles Automticos son adecuados? Respuestas Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Quedan registradas todas las entradas y salidas del Centro de Clculo? Al final de cada turno, Se controla el S, y los vigilantes los nmero de entradas y salidas del personal de Operacin? Puede salirse del Centro de Clculo Si, porque existe otra puerta de sin tarjeta magntica? emergen-cia que puede abrirse desde adentro TOTAL CONTROLES AUTOMATICOS 14/20 70% 3 reverifican. 5 No, solamente las del personal ajeno a Operacin. 3 Puntos 3

Control de Accesos: Vigilancia Preguntas Hay vigilantes las 24 horas? Existen circuitos cerrados de TV exteriores? Identificadas las visitas, Se les acompaa hasta la persona que desean ver? Conocen los vigilantes los terminales que deben quedar encendidos por la noche? TOTAL VIGILANCIA 14/20 70% No, sera muy complicado. 2 No. 2 S. S. Respuestas Puntos 5 5

Control de Accesos: Registros Preguntas Existe una adecuada poltica de registros? Respuestas No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Se ha registrado alguna vez a una persona? Se abren todos los paquetes dirigidos a personas concretas y no a Informtica? Hay un cuarto para abrir los paquetes? TOTAL REGISTROS 6/20 30% Si, pero no se usa siempre. 3 Casi nunca. 1 Nunca. 1 Puntos 1

Fase 4. Clculos y resultados del ciclo de seguridad.

1.Clculo y ponderacin de Secciones y Segmentos.. 2.Identificacin de materias mejorables. 3.Priorizacin de mejoras. Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos: Autorizaciones 80% Controles Automticos 70% Vigilancia 70% Registros 30% Promedio de Control de Accesos 62,5%

Ciclo de Seguridad: Segmento 8, Seguridad Fsica. Secciones Seccin 1. Datos Seccin 2. Control de Accesos Seccin 3. Equipos Seccin 4. Documentos Seccin 5. Suministros Peso 6 4 5 3 2 Promedio 57,5% 62,5% 70% 52,5% 47,2%

Seg. 8 = A/B A = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso B = (peso1 + peso2 + peso3 + peso4 + peso5) Seg. 8 = (57,5 * 6)+(62,5 * 4)+(70 * 5)+(52,5 * 3)+(47,2 * 2) / 20 Seg. 8 = 59,85%

EVALUACION FINAL DE LOS ELEMENTOS DEL CICLO

Ciclo de Seguridad. Evaluacin y pesos de Segmentos Segmentos Seg1. Normas y Estndares Seg2. Sistema Operativo Seg3. Software Bsico Seg4. Comunicaciones Seg5. Bases de Datos Seg6. Procesos Seg7. Aplicaciones Seg8. Seguridad Fsica Promedio Total Area de Seguridad Pesos 10 10 12 12 12 14 16 14 100 Evaluacin 61% 90% 72% 55% 77,5% 51,2% 50,5% 59,8% 63,3%

Fase 5. Confeccin del informe del ciclo de seguridad.

1.Preparacin de borrador de informe y Recomendaciones

2.Discusin del borrador con el cliente. 3.Entrega del Informe y Carta de Introduccin.

CICLO DE SEGURIDAD

50,5

59,8

61 90 72

NORMAS Y ESTANDARES SISTEMA OPERATIVO SOFTWARE BASICO COMUNICACIONES BASES DE DATOS

51,2 77,5

55

PROCESOS APLICACIONES SEGURIDAD FISICA

90 80 70 60 50 40 30 20 10 0 Este Oeste Norte

SEGMENTO: CONTROL DE SEGURIDAD NORMAS Y ESTANDARES 61 SISTEMA OPERATIVO 90 SOFTWARE BASICO 72 COMUNICACIONES 55 BASES DE DATOS 77,5 PROCESOS 51,2 APLICACIONES 50,5 SEGURIDAD FISICA 59,8

RESUMEN

SECCION:SISTEMA OPERATIVO SECION X SECION X SECION Y

SECCION: SEGURIDAD FISICA SEG. FISICA DE DATOS CONTROL DE ACCESO EQUIPOS DOCUMENTOS SUMINISTROS

6 4 5 3 2

SECCION CONTROL DE ACCESO AUTORIZACIONES 80 CONTROL AUTOMATICO 70 VIGILANCIA 70 REGISTRO 30