AUDITORÍA DE LA SEGURIDAD

1. INTRODUCCIÓN

Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en
algunas entidades se creó inicialmente la función de auditoria informática para revisar la
seguridad, aunque después se hayan ido ampliando los objetivos.

Grandes grupos de controles:

 Controles directivos, que son los que establecen las bases, como las políticas o la creación de
comités relacionados o de funciones.
 Controles preventivos, antes del hecho, como la identificación de visitar (seguridad física) o las
contraseñas (seguridad lógica).
 Controles de detección, como determinadas revisiones de accesos producidos o la detección de
incendios.
 Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la
recuperación de un archivo dañado a partir de una copia.
 Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o
contingencias, como puede ser un plan de continuidad adecuado.
 2. ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD

 Lo que hemos denominado controles directivos, es decir, los fundamentos de la seguridad: políticas,
planes, funciones, existencia y funcionamiento de algún comité relacionado, objetivos de control,
presupuesto, así como que existen sistemas y métodos de evaluación periódica de riesgos.
 El desarrollo de las políticas: procedimientos, posibles estándares, normas y guías.
 Amenazas físicas externas: inundaciones, incendios, explosiones, corte de líneas o de suministros,
terremotos, terrorismo, huelgas.
 Control de accesos adecuado, tanto físicos como los denominados lógicos, para que cada usuario
pueda acceder a los recursos a que esté autorizado y realizar sólo las funciones permitidas: lectura,
variación, ejecución, borrado, copia.
 Comunicaciones y redes: topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante
virus, éstas también en sistemas aislados, aunque el impacto será menor que en una red.
 El entorno de Producción, entendiendo como tal Explotación más Técnica de Sistemas, y con especial
énfasis en el cumplimiento de contratos en lo que se refiera a protecciones, tanto respecto a terceros
cuando se trata de una entidad que presta servicios, como el servicio recibido de otros, y de forma
especial en el caso de la subcontratación total u outsourcing.
 El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos
desarrollados y que éstos resulten auditables.
 La continuidad de las operaciones.
3. EVALUACIÓN DE RIESGOS

Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que los
eliminen, lo que generalmente no es posible, o que disminuyan la probabilidad de que ocurran los
hechos o mitiguen el impacto.

Para evaluar riesgos hay que considerar, entre otros factores, el tipo de información almacenada,
procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, el marco legal aplicable, el
sector de la entidad, la entidad misma y el momento.

Para ello los auditores disponemos de listas, que normalmente incluimos en hojas de cálculo, o bien
usamos paquetes, y tal vez en el futuro sistemas exentos. El problema sigue siendo la adaptación de los
puntos a cada caso, y asignar el peso que puede tener cada uno de los puntos.
 4. FASES DE LA AUDITORÍA DE SEGURIDAD:

 Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria, así como del
periodo cubierto en su caso.
 Análisis de posibles fuentes y recopilación de información: en el caso de los internos este proceso
puede no existir.
 Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de
comunicación a la entidad.
 Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas
necesarios, sobre todo en la auditoría externa.
 Realización de entrevistas y pruebas.
 Análisis de resultados y valoración de riesgos.
 Presentación y discusión del informe provisional.
 Informe definitivo.
Se evaluarán las protecciones físicas de datos, programas, instalaciones, equipos, redes y soportes, y habrá
que considerar a las personas: que estén protegidas y existan medidas de evacuación, alarmas, salidas
alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la
entidad e incluso en el sector.
En otro punto de la auditoría de la seguridad físicas se analizarán las amenazas pueden ser muy diversas:
sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, aserias importantes,
derrumbamientos, explosiones, así como otros que afectan a las personas y pueda impactar el funcionamiento
de los centros.
Desde perspectiva de las protecciones físicas se considera algunos aspectos, como:
 Ubicación del centro de procesos.
 Estructura, diserto, construcción y distribución de los edificios y de sus plantas.
 Riesgos a los que están expuestos, tanto por agentes externos, casuales o no, como por accesos físicos no
controlados.
 Amenazas de fuego (materiales empleados).
 Controles tanto preventivos como de detección relacionada con los puntos anteriores.
 Además del acceso, en determinados edificios o áreas debe controlarse el contenido de carteras,
paquetes, bolsos o cajas, ya que podrían contener explosivos. Un control para el ingresos de visitas.
 Protección de los soportes magnéticos.
 Fácil y barato obtener copias magnéticas periódicas de datos y de programas frente al perjuicio
Es necesario verificar que cada usuario sólo pueda acceder a los recursos a los que le autorice el propietario,
aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado:
lectura, modificación, borrado, ejecución, trasladando a los sistemas lo que representaríamos en una matriz
de accesos en la que figuraban los sujetos. Desde punto de vista de la auditoria es necesario revisar cómo se
identifican y sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre cuando
se producen transgresiones o intentos: quién se entera y cuándo y qué se hace.
Solución más adecuada por ahora puede consistir en utilizar sistemas de identificación únicos (single sign-on)
que faciliten la administración y el acceso, permitiéndolo o no a según qué usuarios/sistemas/funciones. O se
recomienda pueden crearse situaciones de bloqueo porque sólo exista un administrador.
Aspectos a evaluar respecto a las contraseñas pueden ser:
 Quién asigna la contraseña: inicial y sucesivas.
 Longitud mínima y composición de caracteres.
 Vigencia.
 Control para no asignar las “x” últimas.
 Número de intentos que se permiten al usuario.
 Protección o cambio de las contraseñas iniciales.
 En caso que las contraseñas están cifradas y bajo qué sistema.
 Controles existentes para evitar y detectar caballos de Troya.
 La no-cesión, y el uso individual y responsable de cada usuario
 EXPONENTE:

ACOSTA GONZALES CELESTE

Todos los desarrollos, estar autorizados a distinto nivel según la importancia del desarrollo a abordar,
incluso autorizados por un comité si los costes o los riesgos superan unos umbrales, se revisara la
participación de los usuarios y de los auditores internos.

En caso de un auditoría externa, a que librerías pueden acceder los desarrolladores, si hay separación
suficiente de entornos, la metodología seguida, ciclos de vida, gestión de los proyectos, etc.

En otro aspecto el pase al entorno de explotación real debe estar controlado, significando que la revisión de
programas por parte de técnicos independientes, asegurando de determinar la ausencia de “caballos de
Troya”, bombas lógicas y similares.

Otro aspecto es la protección de los programas, se considera dos puntos que es los programas sean
propiedad de la entidad o que sean realizados por el personal propio o contratado su desarrollo a terceros
Entidades han de cuidar especialmente las medidas de protección en el caso de contratación de servicios: posible
marcado de datos, proceso, impresión de etiquetas, distribución, acciones comerciales, gestión de cobros hasta el
outsourcing más completo, sin descartar la revisión por los auditores, internos o externo, de las instalaciones de la
entidad que provee el servicio.

Se debe revisarse la protección de utilidades o programas especialmente peligrosos, así como control en
generación y cambios posteriores de todo el software de sistemas, y de control de accesos.

Otro aspecto a revisar es el control de los formularios críticos.

La gestión de problemas y cambios y la calidad son aspectos importantes a considerar en la auditoría de seguridad.
9. AUDITORÍA DE LA SEGURIDAD DE LOS DATOS

La protección de los datos puede tener varios enfoques respecto a las características: la confidencialidad,
disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u
otros especialmente sensibles para la LOPD (sobre religión, sexo, raza…), otros datos cuya criticidad viene dada
por la disponibilidad: si se pierden o no se pueden utilizar a tiempo pueden causar perjuicios graves y, en los
casos más extremos poner en peligro la continuidad de la entidad, y finalmente otros datos críticos atendiendo a
su integridad, especialmente cuando su pérdida no puede detectarse fácilmente o una vez detectada no es fácil
reconstruirlos.
Controles en los diferentes puntos del ciclo de vida de los datos:
• Desde el origen del dato, que puede ser dentro o fuera de entidad, y puede incluir preparación, autorización,
incorporación al sistema: por el cliente, por empleados, o bien se captado de otra forma, y debe revisarse
cómo se verifican errores.
• Proceso de los datos: controles de validación, integridad, almacenamiento: que existan copias suficientes,
sincronizadas y protegidas.
• Salida de resultados: controles en transmisiones, en impresión, en distribución, en servicios contratados de
manipulación y en el envío: conciliación previa de salidas con entradas, por personas diferentes, para detectar
errores y posibles intentos de fraude.
• Retención de la información y protección en función de su clasificación: destrucción de los diferentes
soportes que la contengan cuando ya no sea necesaria, o bien desmagnetización.
10. AUDITORÍA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

• En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos
y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados,
por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha
especificado, y más bien para comunicaciones por voz.
• En función de la clasificación de los datos se habrá previsto el uso de cifrado, que en la
auditoría se evaluará o se llegará a recomendar, y se revisarán la generación, longitud,
comunicación, almacenamiento y vigencia de las claves, especialmente de las maestras.
• Deben existir protecciones de distinto tipo, y tanto preventivas como de detección, ante posibles
accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo
el correo electrónico.
• Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate
de transferencia de fondos o comercio electrónico.
Algunos de los puntos complementarios a revisar que:

Tipos de redes y conexiones.

Información y programas transmitidos, y uso de cifrado.
Tipos de transacciones.
Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.
Protección de transmisiones por fax si el contenido está clasificado, si bien es preferible evitar el
uso de este medio en este caso.
Protección de conversaciones de voz en caso necesario.
Transferencia de archivos y controles existentes.
 Consideración especial respecto a las conexiones externas a través de pasarelas (Gateway) y
encaminadores (rowters), así como qué controles existen.
11. AUDITORÍA DE LA CONTINUIDAD DE LAS OPERACIONES

Hablamos de Plan de Contingencia o Plan de Continuidad, frente a otras denominaciones que en

principio descartamos como Recuperación de Desastres o Plan de Desastres (sí nos parece adecuada
Plan de Recuperación ante Desastres, pero las incidencias a prever son también de otros niveles).

En la auditoría es necesario revisar si existe tal plan, si es completo y actualizado, si los diferentes
procesos, áreas y plataformas, o bien si existen planes diferentes según entornos, evaluar en todo caso
su idoneidad, así como los resultados de las pruebas que se hayan realizado, y si permite garantizar
razonablemente que en caso necesario, y a través de los medios alternativos, propios o contratados,
podría permitir la reanudación de las operaciones en un tiempo inferior al fijado por los responsables
del uso de las aplicaciones, que a veces son también los propietarios de las mismas pero podrían no
serlo.
12. FUENTES DE LA AUDITORÍA
Las fuentes estarán relacionadas con los objetivos, y entre ellas pueden estar:

• Políticas, estándares, normas y procedimientos.

• Planes de seguridad.

• Contratos, pólizas de seguros.

• Organigrama y descripción de funciones.

• Documentación de aplicaciones.

• Descripción de dispositivos relacionados con la seguridad.

• Manuales técnicos de sistemas operativos o de herramientas.

• Inventarios: de soporte, de aplicaciones.

• Topología de redes.

• Planos de instalaciones.

• Registros: de problemas, de cambios, de visitas, de accesos lógico producidos.

• Entrevistas a diferentes niveles.

• Archivos.

• Programas.

• La observación: no figura en los manuales pero la consideramos importante.

• Actas de reuniones relacionadas.

• Documentación de planes de continuidad y sus pruebas.

• Informes de suministradores o consultores.

Se requiere para llevar a cabo auditorias de sistemas de
información no está regulado, pero es evidente que son
necesarias una formación y sobre todo una experiencia
acordes con la función, e incluso con las áreas a auditar.
Son imprescindibles en el perfil otras características o
circunstancias comunes, como independencia respecto a
los auditados, madurez, capacidad de análisis y de
síntesis, interés no meramente económico.
Se considera los cuestionarios, las entrevistas, la observación, los muestreos, las CAAT (Computer Aided
Auditing Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la simulación en
paralelo con datos reales y programas de auditor o la revisión de programas.
Harán constar los antecedentes y los objetivos, para que quienes lean el informe puedan verificar que ha habido
una comunicación adecuada, así como que metodología de evaluación de riesgos y estándares se ha utilizado, y
una breve descripción de los entornos revisados para que se pueda verificar que se han revisado todas las
plataformas y sistemas objeto de la auditoría.
En cada punto que se incluya debe explicarse por qué es un incumplimiento o una debilidad, así como alguna
recomendación, a veces abarcando varios puntos.
Es necesario, por tanto, diferenciar puntos muy graves, graves, memorables… u otra clasificación, en definitiva
establecer algunas métricas de seguridad y clasificar los puntos según su importancia y prioridad, que pueden ser
reconsideradas por la Dirección de la entidad a la hora de implantar las medidas, y en algunos casos se puede
llegar a entregar una lista provisional de proyectos de implantación.

Es útil mostrar en algún informe –principalmente los auditores internos-, algunos cuadros que muestren la
evolución, que en algunos casos ha sido útil para demostrar la rentabilidad de una función como
administración de la seguridad o auditoría interna o para evaluar la utilidad de un plan de seguridad.
CONTRATACIÓN DE AUDITORIA EXTERNA
La entidad auditora ha de ser independiente de la auditada en el caso de una auditoria externa: si está ofreciendo a otros servicios a la vez, o piensa
ofrecerlos en el futuro o incluso a veces si ha sido proveedora en el pasado, a menudo puede encontrar dificultades internas para entregar un informe
veraz y completo.

Las personas que vayan a realizar el trabajo han de ser independientes y competentes, según el objetivo: sistemas operativos o plataformas
concretas, por lo que no está de más examinar sus perfiles e incluso mantener alguna entrevista, sin descartar preguntar por sorpresa en una
reunión que aspectos revisarían y que técnicas usarían en el entorno que se les describa.

La auditoría ha de encargarse a un nivel suficiente, normalmente Dirección General o Consejero Delegado, y a este nivel recibir los informes,
porque si no a veces no se cuenta con el respaldo suficiente en las revisiones, y en todo caso puede que si el informe no es favorable quede
escondido, y se ha perdido el dinero y a veces la oportunidad.

Finalmente, a título de curiosidad, en una ocasión se nos pidió que no figurara la palabra auditoria en el informe final, porque había aversión
por el termino, por asociarse en la entidad a los auditores con los verdugos: no es un caso aislado y es impropio.

Recordemos que puede ser necesario dar o mostrar a los auditores todo lo que necesiten para realizar su trabajo, pero nada más, e incluso lo que se
les muestre o a lo que se le permita acceder pude ser con restricciones: solo parte de una base de datos, epígrafes de algunas actas, o simplemente
mostrarles documentación, que no pueden copiar o no pueden sacar de las instalaciones del cliente: se puede exigir una cláusula de confidencialidad, y
raramente se les deben mostrar datos reales confidenciales de clientes, proveedores, empleados u otros, aunque se haga en la práctica con frecuencia.
 RELACION DE AUDITORIA CON ADMINISTRACION
DE SEGURIDAD
Hemos encontrado en más de una ocasión que la misma persona tenía las funciones: de administración de seguridad y
auditoria (informática) interna, lo cual puede parecer bien a efectos de productividad, pero no es admisible respecto a
segregación de funciones, siendo preferible, si la entidad no justifica que dos personas cumplan en exclusiva ambas
funciones, que se cubra solo una, o bien que la persona realice otras funciones complementarias pero compatibles, como
podrían ser algunas relacionadas con calidad.
En entidades grandes la función consta además de corresponsables funcionales o autonómicos.
La función de Administración de Seguridad en parte será interlocutora en los procesos de auditoria de seguridad, si bien los
auditores no podemos perder nuestra necesaria independencia, ya que debemos evaluar el desempeño de la función de
administración de seguridad, desde si sus funciones son adecuadas y están respaldadas por algún documento aprobado a un
nivel suficiente, hasta el cumplimiento de esas funciones y si no hay conflicto con otras.
La función de auditoria de sistemas de información y la de administración de seguridad pueden ser complementarias, si bien
sin perder su independencia: se trata de funciones que contribuyan a una mayor y mejor protección, y resultan como anillos
protectores
Normalmente Administración de seguridad habrá de implantar las recomendaciones de los auditores una vez fijadas las
prioridades por la Dirección de la entidad.
Administración de Seguridad puede depender del área de Sistemas de Información, sobre todo si existe Auditoria de SI
interna, pero si puede estar en peligro su desempeño quizá sea preferible que tenga otra dependencia superior, o al menos
una dependencia funcional de áreas usuarios como puede ser de Dirección de Operaciones o similar; la existencia de un
comité de Seguridad de la Información, o bien de una función de Seguridad Corporativa puede resultar útil.
 SISTEMAS
COMPUTACIO
NALES Y
DISPOSITIVOS
PERIFÉRICOS INFORMACIÓN
CONTRA LOS
INSTITUCIONAL
VIRUS Y BASE DE
INFORMÁTICOS DATOS

SISTEMAS
OPERATIVOS,
CONTRA LA LENGUAJES,
PROGRAMAS,
PIRATERÍA PAQUETERÍAS,
INFORMÁTICA UTILERÍAS Y
DEMÁS SOFTWARE
INSTITUCIONAL

LISTA DE
VERIFICACIÓN
PARA UNA
SISTEMAS DE AUDITORÍA A
LA SEGURIDAD ACTIVOS
REDES, INFORMÁTICOS
SISTEMAS
MAYORES Y
INFORMÁTICA DEL ÁREA DE
PC’s SISTEMAS

PERSONAL
INFORMÁTICO
ARQUITECTURA DE LAS
TELECOMUNICACIONES Y LOS
USUARIOS DEL
SISTEMA
PROTECCIÓN Y
LOS ACCESOS CONVERSACIÓN
DE LOCALES,
A LAS ÁREAS INSTALACIONES,
DE SISTEMAS MOBILIARIO Y
EQUIPOS
 INVENTARIO DE LOS SISTEMAS
OPERATIVOS, LENGUAJES, PROGRAMAS,
PAQUETERÍAS, UTILERÍAS Y DEMÁS
SOFTWARE INSTITUCIONAL

INVENTARIOS DE LOS EQUIPOS

DE CÓMPUTO INVENTARIO DEL PERSONAL
INFORMÁTICO Y USUARIOS
DEL SISTEMA
OTROS INVENTARIOS
RELACIONADOS CON LA
SEGURIDAD
PREVENCIÓN
ANTE CAMBIOS INVENTARIO DE LAS
INVENTARIO DE LAS TECNOLÓGICO MEDIDAS DE SEGURIDAD Y
INSTALACIONES FÍSICAS S PROTECCIÓN PARA LOS
SISTEMAS OPERATIVOS

INVENTARIO DE LOS BIENES

INVENTARIO DE LOS ACCESOS MUEBLES, INMUEBLES,
A LOS SISTEMAS DE REDES O MATERIALES Y CONSUMIBLES
SISTEMAS MAYORES INVENTARIO DE LAS NORMAS, DEL ÁREA DE SISTEMAS
POLÍTICAS, REGLAMENTOS Y MEDIDAS
PREVENTIVAS Y CORRECTIVAS DEL
ÁREA DE SISTEMAS