Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Índice

Anuncio 
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Índice
páginas
Introducción ............................................................................
2
El plan auditor informático .....................................................
2-3
Metodología ............................................................................
3-5
Etapas de la metodología de auditoría ....................................
5-18
a) Definición de ámbito y objetivos ............................
5
b) Diagnóstico .............................................................
5-10
c) Etapa de justificación .............................................
10-12
d) Etapa de adecuación ...............................................
12-14
e) Etapa de formalización ...........................................
14-15
f) Etapa de desarrollo e implantación ..........................
15-18
g) Presentación del informe final ................................
18
Bibliografía .............................................................................
19
1
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Introducción
Para entender la necesidad de la realización de auditorías informáticas es necesario
comprender el papel destacado y creciente de las tecnologías de información en nuestra
sociedad. Con esta mayor importancia ha ido incrementándose también la sofisticación
de los sistemas que les dan apoyo. La complejidad y dimensiones que han adquirido
estos sistemas han hecho que sea crítica la implantación de normas y procedimientos
para su utilización, desarrollo, implantación y mantenimiento.
La auditoría informática vela por el adecuado cumplimiento de las normas que rigen los
sistemas informáticos y por que el sistema informático:

Funcione de manera continuada.

Sirva a los objetivos para los que fue diseñado.

Sea seguro.

Haga una utilización de los recursos óptima.
Nuestro trabajo se centra en el tercero de los objetivos. En este documento abordaremos
la elaboración de una metodología para la realización de la auditoría informática de la
seguridad de una intranet.
Una intranet es una infraestructura basada en los estándares y tecnologías de Internet
que soporta el compartir información dentro de un grupo bien definido y limitado.
Aunque una intranet sea una red privada en la que se tengan grupos bien definidos y
limitados, no se encuentra a salvo de ataques que pudiesen poner en riesgo la
información que maneja.
La mayor preocupación de la mayoría de los ejecutivos y directivos respecto a la
implantación de una intranet es la seguridad. Al igual que en otros aspectos de la
implementación de una intranet, los asuntos más complicados en la seguridad no son de
carácter técnico, sino organizacional o estratégico.
El plan auditor informático
El plan auditor informático es el documento en que se define esta función y el trabajo
que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado
con la estrategia organizativa y con el resto de los planes auditores.
En un plan auditor diferenciamos:

Funciones: Ubicación de la auditoría informática dentro de la empresa, sus
funciones, estructura del departamento y recursos que aglutina.
2
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema

Procedimientos: Manera en que se realizarán las distintas tareas de las
auditorías.

Tipos de auditorías que se realizan.

Sistema de evaluación y los aspectos que evalúa.

Lista de distribución de informes.

Seguimiento de las acciones correctoras.

Planes de trabajo y su periodicidad.
El plan auditor informático se concreta en la práctica, entre otros aspectos, en una
metodología de trabajo que determina los hitos desde el inicio de la auditoría
informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la
manera de alcanzarlos.
Metodología
La auditoría informática debe respaldarse en un proceso formal que asegure su previo
entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en
la empresa. Al igual que otras funciones en el negocio, la auditoría informática efectúa
sus tareas y actividades mediante una metodología.
No es recomendable fomentar la dependencia en el desempeño de esta importante
función sólo con base en la experiencia, habilidades, criterios y conocimientos sin una
referencia metodológica. Contar con un método garantiza que las cualidades de cada
auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta
calidad y de acuerdo a estándares predeterminados.
La función de auditoría informática ha de contar también con un desarrollo de
actividades basado en un método de trabajo formal, que sea entendido por los auditores
y complementado con técnicas y herramientas propias de la función.
El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el
que obtengan los resultados esperados por la empresa, siguiendo un plan.
Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito de
los proyectos de auditoria en informática; además, se requiere un buen dominio y uso
constante de los siguientes aspectos complementarios:
·
Técnicas
·
Herramientas de productividad
·
Habilidades personales
·
Conocimientos técnicos y administrativos
3
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
·
Experiencia en los campos de auditoría e informática
·
Conocimiento de los factores del negocio y del medio externo al mismo
·
Actualización permanente
·
Comunicación constante con asociaciones nacionales e internacionales
relacionadas.
El uso de un proceso de trabajo metodológico y estándar en la función de auditoría
informática genera las siguientes ventajas:
-
Los recursos orientan sus esfuerzos a la obtención de productos y servicios de
calidad, con características y requisitos comunes para todos los responsables.
-
Las tareas y productos terminados de los proyectos se encuentran definidos y
formalizados en un documento al alcance de los auditores informáticos.
-
Se facilita en alto grado la administración y seguimiento de los proyectos, pues
la metodología obliga a la planificación detallada de cada proyecto bajo criterios
estándares.
-
Facilita la superación profesional y humana de los individuos, ya que orienta los
esfuerzos hacia la especialización, responsabilidad, estructuración y depuración
de las funciones del auditor.
-
El proceso de capacitación o actualización en el uso de un proceso metodológico
es más ágil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente
definidas.
Requisitos para el éxito del proceso metodológico
Contar con una metodología formalmente documentada no es garantía de que los
proyectos de auditoría informática tendrán éxito; pero, no cumplir con las siguientes
condiciones conducirá a la función de auditoría informática a que sus proyectos no
cumplan con los tiempos, costos o resultados esperados:
-
Aprobación de la metodología por la alta dirección.
-
Adecuación de la metodología a los requerimientos específicos del negocio
(cuidado con reducir tareas y eliminar productos importantes con el fin de
ahorrar tiempo o por criterios personales; es útil apoyarse en un asesor experto).
-
Documentación o actualización de la metodología.
-
Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel
de participación de cada individuo involucrado).
-
Elaboración de los planes de auditoría informática según la metodología.
4
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
-
Verificación del uso formal de la metodología en cada proyecto.
-
Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo
actualizaciones relevantes a la metodología.
Etapas de la metodología de auditoría
La metodología de auditoría de seguridad de la Intranet se estructura en seis etapas que
detallamos a continuación:
a) Definición de ámbito y objetivos:
Lo primero que debe tener en cuenta una auditoría son los requerimientos del sistema:
¿Necesitan disponibilidad las 24 horas de los siete días de la semana o sólo un horario
limitado?
¿Cuáles son los requerimientos del acceso? ¿Está limitado el acceso a al intranet a la
alta dirección o pueden acceder todos los empleados? ¿Pueden acceder clientes,
proveedores o accionistas?
¿Cuántos usuarios utilizan en promedio la intranet en las puntas de actividad?
¿Qué cantidad de datos hay almacenados?
¿Existe obligación legal de almacenar datos durante un período de tiempo determinado?
¿Existen datos personales o extremadamente confidenciales que requieran una especial
protección?
¿Qué criticidad tienen los datos almacenados para nuestro negocio en caso de acceso de
competidores u otros intrusos, o si se destruyen los datos?
A partir de estos requerimientos, partiendo de que nuestro objetivo es la seguridad de la
intranet, se establecerá los asuntos, infraestructura y personal que integran la intranet y
que serán objeto de la auditoría.
b) Diagnóstico:
El siguiente paso que tiene que dar el auditor informático dentro de las empresas o
instituciones al efectuar un proyecto de auditoría informática es hacer un diagnóstico del
negocio, que incluye a la alta dirección y las áreas usuarias.
Se busca la opinión de la primera para poder saber el grado de satisfacción y confianza
que tienen en los productos, servicios y recursos de informática en el negocio.
También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro
lado son muy importantes las oportunidades que puede ofrece la informática para hacer
más competitivo el negocio.
5
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Las actividades del auditor informático deben quedar bien definidas en los componentes
formales que integran cualquier trabajo dentro de una organización.
En esta fase, se visualizan los primeros síntomas, los cuales posteriormente pueden ser
los más relevantes.
Conocimiento del negocio:
El auditor en informática debe conocer e interiorizarse en el tipo de organización que
actúa: la misión, estrategias, planes y el nivel jerárquico de la función de informática;
también es importante saber las entidades externas a la empresa que se relacionan con
cada área de la misma.
Apoyo al negocio:
El auditor informático debe tener una idea global del grado de apoyo y satisfacción que
existe en el negocio, y saber hacia donde se orienta el soporte de la función de
informática. Por ejemplo, se deben conocer de manera general los siguientes aspectos:
·
La participación de la informática en los proyectos clave para el negocio,
·
Imagen de informática ante la alta dirección,
·
Grado de satisfacción que existe por los servicios prestados por la informática,
·
Expectativas que tiene el negocio sobre la función de la informática,
·
Debilidades y fortalezas de informática
·
Otros de interés específico del auditor
Áreas de oportunidad:
Aquí se detectan las características que van a facilitar la implementación de soluciones
brindadas por informática y que tendrán un gran impacto sobre alguna función o
gerencia del negocio. También se pueden proponer acciones inmediatas o a corto plazo,
de las cuales se podrá obtener beneficios directos.
En esta fase preliminar el estudio es corto en tiempo y general en su investigación. Es
muy importante mencionar que las propuestas de las áreas de oportunidad deben ser
analizadas y documentadas antes de ponerlas en práctica.
Diagnóstico de informática
Aquí el auditor se coordina directamente con el responsable de la función de
informática.
Conocimiento de la función de informática:
6
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
En esta parte el auditor conocerá la estructura interna de informática, funciones,
objetivos, estrategias, planes y políticas.
La tecnología de software y hardware es en la que se apoya para llevar a cabo su
función dentro del negocio.
Las entrevistas deben hacerse con el responsable de informática. El auditor debe ser
profesional y ético en su trabajo para brindarles seguridad de que al final de su tarea
beneficiará a los que lo contrataron.
El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de
proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditoría;
puede tener a uno o más auditores) desarrolle una buena comunicación con el personal
de informática en esta etapa.
Es clave remarcar y evaluar los servicios que presta informática a las diferentes áreas
del negocio y en los distintos niveles organizacionales, estos servicios pueden ser
ejecutados por personal externo y coordinados por informática.
Observación:
Para obtener toda la información posible sobre el diagnóstico del negocio y de
informática, el auditor se apoyara sobre cuestionarios detallados.
Debemos analizar las áreas siguientes:
Seguridad física:
Al examinar la seguridad física el auditor deberá estar preocupado por la localización
física del sistema y desde dónde se puede acceder al mismo.
Para la mayoría de los sistemas, tiene sentido instalar el servidor de datos y servidor
web en una habitación con aire acondicionado que no tenga ventanas y sea de difícil
acceso (preferiblemente con acceso controlado por algún lector de tarjetas de seguridad
o sistema de claves de seguridad).
Para sistemas más críticos, puede ser también importante limitar los poseedores de esas
tarjetas y cambiar el código de acceso a la habitación de los servidores de manera
regular.
En función del nivel de seguridad requerido, pude ser necesario comprobar que los
guardias de seguridad están formados para la defensa contra intrusos.
Para sistemas con requerimientos de alta disponibilidad y alta criticidad para el negocio,
es crucial asegurar que la totalidad del sistema ha sido duplicado en prevención de
desastres, de manera que se pueda cambiar al sistema de reserva en caso necesario.
Es importante comprobar que el sitio de reserva es tan seguro como el principal.
7
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Procedimientos, roles y responsabilidades:
Es fundamental asegurar que las políticas puestas en práctica en la Intranet para
asegurar la auditoría y trazabilidad se usan de manera efectiva. Algunos sistemas
requerirán, por motivos legales u operacionales, un registro de transacciones mayor que
otros, pero todos deberán registrar los intentos de acceso a la red fallidos y su
procedencia (IP u otro identificador).
¿Existen procedimientos implantados para asegurar que los “audit. logs” o registros de
auditoría de la actividad del sistema se revisen en busca de indicios de actividades
maliciosas? ¿Quién los lleva a cabo? ¿Con qué frecuencia? ¿Son efectivos?
¿Existen normas que eviten que las contraseñas de acceso puedan ser descubiertas
fácilmente? Por ejemplo, ¿es obligatorio que las claves de acceso tengan ocho
caracteres que combinen letras y números? ¿Fuerza el sistema a cambiar las claves de
acceso regularmente?
El software antivirus más efectivo no puede enfrentarse a un virus tan nuevo para la que
no exista antídoto todavía. ¿Se han implantado procedimientos sobre lo que debe
hacerse si se descubre un ataque de un virus? ¿Deben cerrarse los servidores de correo
ante una eventualidad como esta? ¿Y los servidores web?.
En estos casos ¿a quién se debe informar del ataque? ¿Quién es el responsable de
decidir lo seria que es la amenaza?.
Es importante que el auditor contraste que los procedimientos no sólo están escritos en
un documento y olvidados, sino que existe un conocimiento aceptable por parte de los
responsables de su ejecución.
Identificación, autenticación y acceso:
Un auditor debe vigilar no sólo las rutas físicas al sistema (hardware), sino también las
lógicas, esto es, desde qué redes se puede acceder al sistema y de qué manera. ¿Existe
una red privada virtual que permita el acceso al área local (LAN) desde fuera del
edificio físico? ¿Se permite el acceso al sistema desde sitios web? ¿Puede el personal
acceder a la Intranet desde sus hogares?
Para cada punto de acceso lógico el auditor debe comprobar que existen medios
efectivos de identificar y autenticar los grupos de usuarios a los que se permite acceder
desde el mismo.
Dependiendo del nivel de seguridad requerido esto puede implicar simplemente usar
usuarios y claves de acceso, emisión de passwords de un solo uso, uso de claves de
encriptación SSL almacenadas en sus PCc o usar claves SET residentes en una tarjeta
leída por un lector especial.
Donde no sea necesario cambiar claves a menudo, pero los datos son confidenciales, se
pueden combinar las claves de acceso con otros medios orientados a autenticar al
usuario como las tarjetas de coordenadas u la identificación de la dirección IP del
equipo.
8
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Es importante ver lo bien que se gestionan las sesiones, cuentas y accesos. ¿Caducan las
sesiones, tras un período de inactividad? Este mecanismo evita el uso no autorizado de
un PC en el que un usuario haya dejado la sesión abierta.
¿Se borran las cuentas de antiguos usuarios de manera regular? ¿Se controla
adecuadamente quien puede crear nuevas cuentas de usuario? ¿Se corresponden los
perfiles de acceso con las tareas que desempeñan los usuarios que los detentan?.
Requerimientos de la arquitectura técnica:
El auditor debe garantizar que la arquitectura técnica puede soportar el nivel de
seguridad requerido.
La arquitectura técnica de una intranet se diseña para permitir el acceso sólo a usuarios
internos a sistemas y datos internos. Con este escenario, un firewall o servidor proxy
puede facilitar la puerta de acceso a través de la cual los empleados puedan acceder a
Internet, pero nadie pueda acceder al sistema interno desde Internet. El firewall se puede
utilizar también para restringir los tipos de contenidos a los que pueden acceder en
Internet los usuarios internos. Los empleados con conexiones móviles generalmente
usarán una red privada virtual para el acceso. Es importante que el auditor compruebe
todas las rutas de acceso y salida de la intranet, para asegurar que sólo puedan acceder
usuarios autorizados.
Debe comprobarse que no existan puertas falsas o “back doors” a la intranet desde la
extranet (si existe) a través de las cuales un hacker pueda acceder a los sistemas
internos. Una de las back doors más comunes en este escenario es no haber
deshabilitado FTP en el servidor web de la extranet.
El auditor debe comprobar la integridad de los datos permanece intacta incluso, si el
sitio fallase por alguna razón. Esto implica examinar la manera en que se estructuran las
transacciones dentro de la base de datos, para asegurar que cuando existan transacciones
parciales, o bien se pueden retrotraer si lleva a inconsistencias o que el usuario tenga
alguna manera de completar la transacción cuando el sitio se recupere.
Es interesante sugerir, dentro de la auditoría, técnicas que eviten la caída de la intranet,
como una planificación adecuada o la utilización de sistemas redundantes.
El balanceo de carga debe ser también considerado. El balanceo puede implicar un
grupo de servidores web que trabajan juntos y se reparten la carga o simplemente
repartir los datos en diferentes bases y servidores de bases de datos, dependiendo de
donde se prevean los “cuellos de botella”.
Para los casos en que la intranet se caiga, puede ser prudente que el auditor sugiera
mejoras en la estrategia de recuperación/ backup utilizada e investigar el plan de
recuperación de desastres.
El auditor de seguridad deberá tener muy en cuenta la manera en que se desarrolla el
software que se utilizará en el sistema que está siendo auditado. Muchos de los
9
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
problemas de seguridad están relacionados con errores incorporados en la fase de
programación.
Los procesos de diseño, desarrollo, revisión del código, pruebas y cambios se deben
revisar cuidadosamente para asegurar que han sido configurados para evitar la
incorporación de errores al sistema.
Deben responderse preguntas como las siguientes:
¿Vigilan los desarrolladores, administradores de bases de datos y administradores de la
red del riesgo de “agujeros” de seguridad?
¿Se mantienen al día dichos empleados vía cursos, listas de correos, grupos de Internet,
etc.?
¿Están implantadas buenas prácticas de codificación que contemplen tratamiento de
errores, caducidad de sesiones y condiciones excepcionales?
¿Se revisa la seguridad de los diseños y los programas adecuadamente antes de ser
probados?
¿Incluyen las pruebas aspectos de seguridad?
Software antivirus:
Una organización que se tome la seguridad seriamente tendrá políticas de escaneo de
virus.
Las políticas asegurarán que todos los PCs que accedan a la red tengan instalado
software antivirus que se actualiza de manera frecuente.
Después de una desconexión del escaneado de virus, el sistema debe ser escaneado con
anterioridad a volver a ser conectado a la intranet.
Los servidores de ficheros y servidores web, deben tener también instalado software
antivirus.
c) Etapa de justificación:
Una vez finalizada la etapa anterior, el auditor informático se centrará en elaborar un
documento que es fundamental para la aprobación del proyecto.
El documento contiene tres partes que contemplan: las áreas que se auditarán (matriz de
riesgo), el tiempo sugerido para hacerlo (plan de auditoría informática) y el visto bueno
(compromiso ejecutivo).
Matriz de riesgo:
El objetivo principal es detectar las áreas de mayor peligro en relación con informática y
que requieren una revisión formal y oportuna. Ejemplos de las áreas susceptibles a
auditar:
10
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
·
Administración de informática (misión, organización, servicios, etc.)
·
Usuarios de informática (comunicación e integración, proyectos conjuntos)
·
Sistemas de información (planeación, desarrollo, operación)
·
Mantenimiento (hardware, software, telecomunicaciones)
·
Redes locales (administración, instalación, operación/ seguridad)
·
Software (administración y legalización de lenguajes de programación, sistemas
operativos)
·
Seguridad (hardware, software/ aplicaciones)
·
Investigación tecnológica (metodologías, técnicas, herramientas, capacitación)
Procedimiento de análisis y elaboración de la matriz:
Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a
través del diagnóstico de la situación actual de informática. Las áreas que se van a
diagnosticar pueden variar según el tamaño y estructura del negocio.
El auditor debe utilizar los elementos de medición y evaluación posibles sin caer en un
análisis detallado, ya que solo se trata de detectar la problemática principal de cada área.
Si se producen dificultades de considerable importancia de algún elemento evaluado, se
deben tomar acciones inmediatas para eliminar o minimizar el problema.
También hay que determinar el nivel de riesgo que existe en cada área de la función de
informática, ya que son susceptibles a una evaluación y control para asegurar que se
desarrolle de acuerdo con los estándares, políticas y procedimientos que se le asignaron
según su función.
Plan de auditoría informática:
Una vez elaboradas, revisadas y documentadas la matriz de riesgos, se procede a la
formulación del plan general de informática, que consiste en plantear las tareas más
importantes que se ejecutarán durante cierto período al efectuar la auditoría.
Este plan se deriva de los siguientes elementos: Áreas de oportunidad, matriz de riesgos
y las prioridades de la alta dirección, de auditoría y de informática.
El líder del proyecto debe:
·
Estimar el tiempo necesario para auditar cada área determinada en la matriz de
riesgo
·
Analizar y definir los aspectos más relevantes que se evaluarán
11
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
·
Asignar prioridades a cada área por revisar o evaluar
·
Establecer fechas estimadas de inicio y terminación por área de revisión
·
Establecer fechas de revisión formales e informales
·
Definir responsables directos por etapas de proyecto
El plan detallado se lleva a cabo, posteriormente, en la etapa de adecuación.
Compromiso ejecutivo
Es la ultima tarea de esta etapa y su objetivo principal es obtener el visto bueno
(aprobación) inicial de la alta dirección y demás responsables para continuar con el
proyecto de auditoría.
d) Etapa de adecuación:
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría
informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la
referencia de los estándares, políticas y procedimientos de auditoría que siempre son
aceptados y recomendados por las asociaciones relacionadas con el proceso.
A continuación se mencionan los elementos que se deben contemplar antes de iniciar
formalmente la revisión de las áreas aprobadas en la etapa anterior.
Objetivos y requerimientos de éxito por cada área que se auditará:
Luego de terminar las etapas preliminares y de justificación, el auditor podrá definir
mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de
riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en
el plan de auditoría informática.
Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades,
requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado
a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones
y responsabilidades, así como estimar gastos y el numero de personas de las áreas
usuarias y de informática que participarán en el proyecto.
Así, ya es posible estimar, con bastante precisión, los aspectos o componentes que se
deben evaluar por cada área de informática durante el desarrollo de la etapa de
adecuación.
Plan detallado del proyecto de auditoría informática
Es una de las tareas más importantes de la etapa de adecuación, ya que en ella se define
cada detalle de los elementos del proyecto; se especifican las tareas, productos
terminados, responsables, fechas, etc., que serán validados y aprobados en la etapa de
formalización para arrancar el proyecto.
12
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Hay dos tipos de planes detallados con orientación diferente y objetivo común:
·
Plan interno: Le corresponde al líder de proyecto y su propósito es hacer un
seguimiento interno a las tareas y responsabilidades de los auditores en
informática.
·
Plan detallado de auditoria en informática: Se especifica el detalle emanado del
plan general de auditoría informática definido en la fase de justificación.
Los datos mencionados en este plan pretenden ser guía del proyecto de auditoría desde
el punto de vista del cliente, ya que describen tareas, productos terminados,
responsables, involucrados, fechas de revisión, etc.
Definición de técnicas y herramientas
Esta es una parte muy importante para el buen desempeño de la auditoría informática
que consiste en definir las técnicas y herramientas fundamentales para revisar
eficientemente cada área seleccionada.
Un claro ejemplo son los software que incluyen un conjunto de técnicas como análisis,
documentación, muestreo, etc., resultan elementos indispensables para asegurar la
calidad y confiabilidad de la auditoría.
La experiencia profesional que se haya obtenido en cada una de las áreas (desarrollo,
telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace más viable la
auditoría como la definición de soluciones.
Adecuación a la alta política de empresa
Todas las tareas realizadas por la auditoría informática deben cumplir con los
estándares, políticas y procedimientos establecidos por las asociaciones profesionales
relativas a la misma; también se cumplirán con los de las empresas donde se preste el
servicio durante la gestión de auditoria.
Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en
el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicación de
los estándares, políticas y procedimientos más convenientes a las necesidades actuales y
futuras del área de especialización a la que se dedican.
Definido y detallado el plan, el auditor procederá con objetividad y disciplina a
establecer referencias cruzadas entre los estándares, políticas y procedimientos
generalmente aceptados y cada uno de los componentes de informática que se auditarán.
Elaboración de cuestionarios
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante
el desarrollo de su evaluación; de los mismos derivan entrevistas, visitas a los centros de
cómputo o departamentos usuarios.
13
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Los cuestionarios representan una herramienta de gran valor para el auditor informático;
se estructuran de manera que funcionan como guía para verificar la confiabilidad de la
información del personal entrevistado; además, permiten percibir el grado de
cumplimiento de estándares, políticas y procedimientos que generalmente son
aceptados.
e) Etapa de formalización:
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la
empresa y de la función de informática; en ellas se detectaron las debilidades y
fortalezas más relevantes, también se definió la planeación y proyección de las áreas
que requieren ser auditadas, y se documentaron las adecuaciones.
En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el
desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el
responsable de auditoría informática), de manera tal que, su función es justificar el
desarrollo del proyecto basándose en lo que se hizo en las etapas anteriores.
1) Verificación de prioridades, restricciones y alcance del proyecto:
La verificación, validación, clasificación y documentación de las prioridades,
restricciones y alcances del proyecto tienen un alto valor para el auditor informático, ya
que mediante su realización se clarifica el rumbo, límites y cobertura que tendrá el
proyecto.
Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas,
donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas
validez el documento, se necesita las firmas de conformidad de cada participante.
Prioridades: Son las acciones que deben llevarse a cabo antes que las demás sugeridas
para el proyecto. Por ejemplo, la urgencia de mejorar algún hecho que perjudica en alto
grado al negocio.
Restricciones: Son los hecho o circunstancias que no se identifican con facilidad y que
ocurren o pueden ocurrir durante el transcurso de la auditoría y que afectan directa o
indirectamente al proyecto. Generalmente son limitaciones o carencias que no se
podrían resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto
para asignar recursos al proyecto.
Alcance: Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los resultados
(productos terminados). Lo que no se mencione aquí no se obtendrá durante el proyecto.
2) Presentación formal del plan de auditoría informática:
Esta tarea es la más importante para el líder del proyecto y el responsable de la auditoría
informática, ya que se justificara la continuidad del proceso. Las actividades
fundamentales del responsable de esta tarea son:
·
Asegurarse de contar con toda la información resumida y presentable, ya que su
principal audiencia será la alta dirección.
14
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
·
Revisarla y verificarla con este último.
·
Concertar en una cita en una fecha y lugar apropiados.
·
Ser fluido, claro y contundente en la presentación.
·
Asegurar el entendimiento de la audiencia de los datos presentados.
3) Aprobación formal del proyecto:
Esta no es una tarea que demande mucho tiempo a pesar de ser una de las más
importantes, ya que en ella surge la aprobación formal del proyecto de auditoría.
Dado el visto bueno de los involucrados, la responsabilidad de la función de auditoría
informática es mas clara y evidente.
4) Compromiso ejecutivo:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta dirección, los
usuarios clave, el responsable de informática y el de la auditoría se comprometan a lo
largo del proyecto, desde ese momento hasta el desarrollo e implantación de las
acciones recomendadas por auditoría informática en su informe final.
f) Etapa de desarrollo e implantación:
En esta etapa, el auditor informático va a ejercer su función de manera práctica, es decir,
comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus
conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con
el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
Comprende los siguientes puntos:
· Concertación de fechas:
Fechas de entrevistas, de visitas y de aplicación de cuestionarios. La acción es
inmediata y hay que corroborar las fechas aprobadas o actualizadas. Las visitas se
realizan con el objetivo de validar el uso de políticas y procedimientos de seguridad y
control, como el registro de acceso a centros de cómputo y áreas en donde existe
documentación o tecnología importante para el negocio.
Se solicita al responsable de informática una lista con los nombres, puestos y
departamentos del personal de informática y de las áreas usuarias involucradas en el
proyecto.
· Verificación de las tareas y productos involucrados:
El personal involucrado también debe ser revisado al igual que tareas y productos. Se
verifica si la tarea anterior alteró el orden de las acciones mencionadas en el plan
15
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
detallado, y hay que asegurar que los cambios sean mínimos y de bajo impacto en el
plan. También se tienen que documentar los cambios necesarios y justificados.
· Clasificar técnicas y herramientas:
Verificar la lista de métodos, técnicas y herramientas sugeridas por el área auditada,
junto con los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos
para cada área que se auditará. Actualizar cuestionarios sólo si es necesario, y elaborar
la entrevista con base en la experiencia, cuestionarios y necesidades del proyecto.
· Realización de entrevistas y cuestionarios:
Efectuar cada una de las entrevistas en las fechas y horas planeadas y aplicar cada uno
de los cuestionarios en las fechas planeadas. (siempre hay que documentar todo los
hechos). Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros).
Registrar entrevistas y cuestionarios pendientes.
· Efectuar visitas para la verificación:
Hacer visitas a centros de cómputo o a los usuarios de informática. Notificar la visita a
los representantes de dicho departamento. Registrar la información más relevante y
obtener el soporte requerido. Registrar visitas pendientes.
· Elaboración de informes preliminares:
Por lo general son de largo plazo y su información es sacada detalladamente de las
visitas realizadas, comentarios documentados y previamente analizados. Luego se
elabora observaciones y conclusiones de cada uno de los componentes y áreas auditadas
y llenar la hoja de resumen de observaciones y recomendaciones de la auditoría
informática.
· Revisión de estos informes:
Se tiene que verificar detalladamente cada área comprendida con la ayuda de borradores
revisados. Asegurarse de registrar por escrito el soporte requerido para validar cada una
de las observaciones (copias de reporte, documentos fuente, etc.). Y por último,
concertar citas con el responsable de informática y los usuarios para sacar conclusiones.
· Clasificación y documentación de los informes, para su correcta lectura:
Registrar de manera formal cada observación, conclusión y recomendación sugerida,
revisada y aprobada y luego clasificar la información por componente de área auditada.
· Finalización de tareas o productos pendientes:
Se analizará la información emanada de cada entrevista, visita o cuestionario, y luego se
deberá actualizar, documentar y clasificar el informe de la auditoría.
· Elaboración del informe final de la auditoría informática:
16
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Elaborar un informe orientado a la alta dirección y otro mas detallado (que contenga
antecedentes, observaciones, recomendaciones, etc.) para el responsable de informática
y los usuarios clave.
· Presentación a la alta dirección e involucrados clave:
Se debe verificar que los informes sean claros, completos y congruentes entre sí.
Comprobar que se encuentre con el soporte documentado de lo mencionado en los
informes y formalizar la fecha de la presentación de informes a la alta dirección.
· Aprobación del proyecto y compromiso ejecutivo:
Se obtiene la aprobación y el compromiso formal de la alta dirección para luego
elaborar un plan de implantación general de acciones sugeridas y clasificadas por plazos
sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por último se delega
a informática y las áreas usuarias la implantación de las acciones recomendadas.
En este momento nos encontramos en la etapa media del proceso de la auditoría.
La etapa de formalización ya se encuentra determinada, y la etapa de desarrollo se
encuentra en ejecución, para pasar luego a la etapa de implantación.
Esta es la más importante para los involucrados en el proyecto de auditoría informática,
ya que termina la tarea de los auditores y comienza para los responsables de las áreas
usuarias y de informática. Ellos ejecutaran las acciones recomendadas en los informes
detallados y aprobados por la alta dirección. La función del auditor se convierte así en
una labor de seguimiento y apoyo.
Los elementos clave de la etapa de implantación son:
· Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el
responsable de informática):
Se analizan algunos aspectos (recursos humano, materiales tecnológicos, inversiones,
etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados
anteriormente.
· Desarrollo del plan (también a cargo del responsable de informática):
Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la
alta dirección.
· Implantación de las acciones sugeridas por auditoria en informática (responsable de
inf.):
· Primero hay que verificar que se cuente con los recursos estimados en
la tarea anterior.
· Consultar los informes para verificar acciones y tiempos de terminación
17
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
· Elaborar un plan de implantación que tenga:
 Tareas.
 Productos terminados
 Responsables e involucrados
 Fechas de inicio y término
 Fechas de revisión
· Verificar tareas, productos terminados, etc. del plan de implantación
· Ejecutar cada una de las tareas
· Seguimiento a la implantación (esta tarea le corresponde al auditor informático):
Tiene que solicitar el plan de implantación para revisar su congruencia con los informes
de la auditoría informática. Luego, comprobar el cumplimiento formal de las tareas en
los tiempos y formas que considere convenientes para asegurar resultados. Documentar
debilidades y anomalías relevantes. Y por ultimo, sugerir acciones para el cumplimiento
oportuno de la implantación al nivel que se considere pertinente.
g) Presentación del informe final:
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la
elaboración del informe final es el exponente de su calidad. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final, los que
son elementos de contraste entre opinión entre auditor y auditado y que pueden
descubrir fallos de apreciación en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo
que ostente.
Se incorporarán los informes parciales que hayan sido entregados.
A continuación se especificará el ámbito y objetivos de la auditoría.
Se relacionarán una por una las áreas analizadas: su situación, sus debilidades, las
amenazas que implican y sus oportunidades.
Finalmente se relacionan las recomendaciones, su plan de implantación, seguimiento y
control.
El informe tiene especial importancia porque en él ha de resumirse la auditoría
realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la
persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas
copias del informe final como solicite el cliente, la auditoría no hará copias del citado
informe.
18
Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema
Bibliografía
De Pablos, C., Izquierdo, V. “Dirección y gestión de los sistemas de información en la empresa”
ESIC Editorial 2001
Piattini M., Del Peso, E. “Auditoría Informática. Un Enfoque Práctico.” RAMA 1998.
Martín, A., de Quinto, F. “Manual de seguridad en Internet. Soluciones técnicas y jurídicas.”
Fundación una Galicia moderna. IGAPE 2003
Johnston, M “How to Perform a Security Audit” InformIT. Pearson Education 2005
19
Descargar
Anuncio
Anuncio