Caso Practico de una Auditoria de Seguridad Informatica ciclo de seguridad

A continuacin, un caso de auditora de rea general para proporcionar una visin ms desarrollada y amplia de la funcin auditora. Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms importantes de aqul. Ciclo de Seguridad El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica. Para ello, se fijan los supuestos de partida: El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos. Los segmentos se dividen en: Secciones. Las secciones se dividen en: Subsecciones. De este modo la auditora se realizara en 3 niveles. Los segmentos a auditar, son: Segmento Segmento Segmento Segmento Segmento Segmento Segmento Segmento 1: 2: 3: 4: 5: 6: 7: 8: Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad de cumplimiento de normas y estndares de Sistema operativo de Software. de Comunicaciones. de Base de Datos. de Proceso. de Aplicaciones. Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin. A su vez, las actividades auditoras se realizan en el orden siguiente:

1.

Comienzo del proyecto de Auditora Informtica

2. Asignacin del equipo auditor 3. Asignacin del equipo interlocutor del cliente. 4. Cumplimentacin de formularios globales y parciales por parte del cliente. 5. Asignacin de pesos tcnicos por parte del equipo auditor. 6. Asignacin de pesos polticos por parte del cliente. 7. Asignacin de pesos finales a segmentos y secciones. 8. Preparacin y confirmacin de entrevistas. 9. Entrevistas, confrontaciones y anlisis y repaso de documentacin. 10. Calculo y ponderacin de subsecciones, secciones y segmentos. 11. Identificacin de reas mejorables. 12. Eleccin de las reas de actuacin prioritaria. 13. Preparacin de recomendaciones y borrador de informe

14. Discusin de borrador con cliente. 15. Entrega del informe

Fase 0 : Causas de realizacin de una Auditora de Seguridad Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma. El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc. De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo. Fase 1 : Estrategia y logstica del ciclo de Seguridad Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3: Fase 1. Estrategia y logstica del ciclo de seguridad 1. Designacin del equipo auditor. 2. Asignacin de interlocutores, validadores y decisores del cliente 3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial Fase 2 : Clculos y Resultados del Ciclo de Seguridad Clculos y resultados del ciclo de seguridad 1. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan. 2. Identificacin de materias mejorables. 3. Priorizacin de mejoras. En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditora de Seguridad.

Fase 3 : Confeccin del Informe del Ciclo de Seguridad Confeccin del informe del ciclo de seguridad 1. Preparacin de borrador de informe y Recomendaciones 2. Discusin del borrador con el cliente 3. Entrega del Informe y Carta de Introduccin

Ha de resaltarse la importancia de la discusin de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporar al Informe Final. Las Recomendaciones del Informe son de tres tipos: 1. Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn en primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se har de modo que sea simple verificar el cumplimiento de la misma por parte del cliente. 2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irn priorizadas. 3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una accin sencilla y econmica pueda originar beneficios importantes.