Auditoría de Seguridad 

Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia, ya que día con día abarca diferentes aspectos de las actividades cotidianas y sin duda alguna, su influencia en las instituciones es de suma importancia debido a los altos índices de vulnerabilidad y daños ocasionados por la falta de una cultura al tema de la seguridad, lo que provoca un aumento en los niveles de riesgo. Se puede destacar que la seguridad impacta como problemática en aspectos organizacionales, de diseño y tecnológicos, entre otros. 

En el ámbito organizacional, las instituciones con frecuencia olvidan considerar la función de seguridad de manera formal, desde su misma estructura orgánica, lo cual genera la ausencia de funciones y responsabilidades relacionadas con la misma; los canales de comunicación se tornan oscuros y discrecionales para atender los incidentes de seguridad, por lo que generalmente se basan en medios informales y poco comprobables.
Por lo anterior, se ha identificado que los esquemas de seguridad carecen de consistencia, ya que no se encuentran alineados a la organización, lo que implica que dichas actividades no están definidas en el respectivo marco de referencia que regula el funcionamiento de la organización, tales como manuales de organización, políticas, procedimientos, etc, y de forma natural, nadie asume la responsabilidad de los riesgos, ni la implantación de medidas de seguridad, ya que generalmente se adoptan de manera parcial, una vez que el riesgo se ha materializado.

Sin embargo, la ausencia de una cultura preventiva, ocasiona que no se valoricen los beneficios inmediatos de realizar inversiones razonables en el tema de seguridad, lo que se traduce en algún momento de la existencia de la institución, en pérdidas no sólo económicas, sino de imagen.
Desde el punto de vista tecnológico, aún cuando el software y hardware son elementos de soporte a las operaciones de la institución, si no se encuentran inmersas en un proyecto de seguridad, difícilmente se obtienen los resultados esperados. Si consideramos que los avances tecnológicos no cubren el 100% de las necesidades en seguridad y además existe una excesiva confianza en este tipo de soluciones, ingresamos al ámbito de “ojala no pase nada” lo cual induce a afrontar riesgos sin conocimiento de causa.

En este orden de ideas, la situación real suele ser que en las empresas se implementan soluciones de seguridad de acuerdo a aspectos específicos, que no contemplan una adecuada definición de estrategias, normas, procedimientos, etc., que fortalezcan los sistemas de control enfocados a asumir determinado nivel de riesgo y así fortalecer la toma de decisiones correspondientes.

Actualmente, y dados los avances tecnológicos que han venido surgiendo, se constata que cada vez es más prioritario para los proveedores, legisladores, auditores, usuarios y accionistas el contar elementos que permitan controlar y evaluar los diferentes aspectos de la tecnológica de la información, principalmente lo relacionado con la seguridad, ya que se reconoce como factor crítico para el éxito y la supervivencia de las organizaciones, que su infraestructura en tecnologías de información sea administrada efectivamente. Lo anterior, debido a que la disposición de la información sin restricciones de tiempo, distancia y velocidad, hacen que se genere una creciente dependencia en información en los sistemas que proporcionan la misma; que exista una gran vulnerabilidad, amenazas y ataques que están dirigidos a bloquear la información que se produce y una gran escala y el costo de las inversiones actuales para la generación y seguridad de la información.
En todo el mundo y principalmente para la mayoría de la empresas, la información y la tecnología que la soporta, representan los activos más valiosos de la misma, ya que verdaderamente la información y sus sistemas se encuentran incrustados en las mismas, desde los usuarios finales, hasta su infraestructura tecnológica.
En este sentido, las empresas tanto del sector público como del privado, han venido reconociendo los beneficios potenciales que la tecnología puede brindar, y se ha creado una carrera desenfrenada en la que el éxito de las organizaciones, depende de cómo se comprenden, administren, regulen y se controlen los riesgos asociados con la implementación de recursos de tecnología y su vinculación con los procesos de negocios de las organizaciones.

Por lo anterior, los administradores se encuentran atados al paradigma de determinar la inversión razonable en tecnología y su control, y la forma en la cual se debe equilibrar la relación de riesgo e inversión controlada en un ambiente tecnológico, el cual es absolutamente impredecible.
Con el fin de contar con elementos que permitan mantener la relación de riesgos e inversiones controladas y en equilibrio, el concepto de control y regulación ha generado en la actualidad conceptos confusos en la tarea ardua de implementar buenos controles en tecnologías de información, los cuales soporten exitosamente la cadena de valor de cada una de las organizaciones.

Para lograr determinar una evaluación adecuada con respecto a los controles en tecnologías de información, de manera sustancial, los auditores han tenido que tomar el liderazgo en estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a la administración, acerca de los controles internos que garantizan razonablemente la confiabilidad de la información que en ellos que se genera y por ende el cumplimiento de sus metas y objetivos.

En este sentido, la auditoría de seguridad deberá valorar aspectos relacionados con los sistemas operativos, software comercial, de comunicaciones, de bases de datos, de proceso, de aplicaciones e indudablemente las instalaciones y aspectos físicos. A continuación se describen algunos puntos que deben contemplarse al realizar una auditoría de seguridad y determinar si existen controles adecuados para proteger la integridad y confiabilidad de los equipos, software e información, contra usos y modificaciones no autorizados, por daño y/o pérdida.

ORGANIZACIONAL

• Determinar si las responsabilidades relativas a la seguridad física y lógica se encuentran debidamente asignadas.
• Revisar las normas, políticas y procedimientos dictados para garantizar la seguridad de los activos del centro (equipo, software e información) y determinar si estos definen claramente las responsabilidades de los usuarios, administradores y personal en general.
• Determinar si las tareas asignadas garantizan la seguridad de los activos y si son difundidas y entendidas en forma correcta. Verificar asimismo, que éstas sean consistentes con las políticas de seguridad comúnmente aceptadas.
• Determinar el grado de conocimiento general de los grupos usuario e informático sobre la importancia de la seguridad física y lógica de los activos para su adecuada salvaguarda.
• Revisar el organigrama para determinar si existe una área responsable de la administración de la seguridad e información.

SEGURIDAD FISICA

Ubicación Física de las Instalaciones.
Determinar si la ubicación del centro de cómputo es adecuada para proteger la integridad de los activos (equipo, software e información).

Verificar que la sala de cómputo tenga una ubicación física segura, considerando que de preferencia esté ubicada en un lugar alejado de aeropuertos, instalaciones eléctricas (ej. radares, micro-ondas, etc.), áreas urbanas en mal estado, tráfico pesado, materiales volátiles, gasolineras etc.

Que de preferencia esté ubicada en el centro de la construcción, es decir, no cerca de las paredes exteriores ni en el sótano ni en el último piso.

Obtener un plano de las instalaciones y realizar las siguientes acciones:
• Identificar todos los posibles accesos a las instalaciones, por ej. Techos, ventanas no necesarias, etc.
• Determinar si estos accesos son restringidos por el uso de llaves, tarjetas o de otros dispositivos de seguridad.
• Si se usa una clave o cualquier otro medio que active un código interno, verificar que este se cambie periódicamente.

Visitar la sala de cómputo y verificar que no existen señales exteriores que indiquen su ubicación a extraños.

Revisar el directorio telefónico y la documentación emitida por la organización, para asegurarse de que la ubicación la sala de cómputo no es identificable a través de ella.

Acceso a las Instalaciones

Determinar si las medidas de seguridad implementadas para regular el acceso a las instalaciones son adecuadas.
Verificar que existan procedimientos, tales como los que describen a continuación, para regular el acceso a las instalaciones.
• Eliminar puertas no esenciales al centro de cómputo, ubicando una sola puerta de acceso con control continuo.
• Colocar, donde sea necesario, un guardia o recepcionista, en el punto de entrada durante todo el tiempo que el centro de cómputo esté trabajando.
• De ser posible, utilizar una sola ruta de evacuación en caso de emergencia.
• Equipar todos los puntos de entrada y salida con mecanismos de control de acceso.
• Restringir el acceso al área de computadoras sólo al personal autorizado.
• Requerir que todas las personas autorizadas a efectuar operaciones dentro del área de computadoras se registren en una bitácora, en donde indiquen su nombre, firma, propósito y hora de entrada y de salida.
• Identificar al personal autorizado a través de una credencial con fotografía.
• No permitir el acceso al área de cómputo a los programadores o analistas, excepto bajo condiciones estrictas de control.
Determinar si los procedimientos para prevenir el acceso de personal no autorizado, son adecuados y si se aplican en todos los accesos posibles.

Obtener una lista del personal autorizado para accesar las instalaciones y determinar si su acceso es necesario, verificar si ésta lista es regularmente revisada para decidir si el acceso de este personal sigue siendo válido.

Observar el funcionamiento de las instalaciones en diferentes oportunidades y a diversos horarios para verificar que únicamente se permite el acceso a personal autorizado.

Asegurarse de que cuando la sala de cómputo se encuentre vacía exista una vigilancia permanente, ya sea a través de observación directa o por la existencia de alarmas o monitores que prevengan el acceso no autorizado.

Realizar visitas no anunciadas al centro de cómputo, particularmente en el segundo y tercer turno, para comprobar la efectividad de las medidas de seguridad para el control de acceso.

Verificar que el acceso al equipo del centro de cómputo sólo lo realice el personal autorizado.

Visitas Guiadas.

Asegurar que cualquier persona con acceso temporal, porte su identificación y se encuentre debidamente acompañada por un miembro del personal autorizado.

Verificar que existan procedimientos para identificar y acompañar a los visitantes durante el tiempo que permanezcan en las instalaciones.

Verificar que se supervisan estrechamente las visitas autorizadas, mediante mecanismos de control tales como:
• Todos los visitantes a los cuales se les otorgó permiso para realizar una visita por el centro de cómputo, deben ser acompañados por personal autorizado.
• No permitir visitas en grupos difíciles de controlar.
• Recuperar todas las tarjetas de identificación dadas a los visitantes.

Protección contra Incendios.

Determinar si las previsiones contra incendio del centro de cómputo están acordes con los estándares generalmente aceptados para tales medidas de protección.

Revisar los estándares generalmente aceptados para protección contra incendio que publican las organizaciones nacionales e Internacionales y verificar si las medidas que se adoptan en el centro de cómputo están de acuerdo con estos estándares, por ejemplo:
• Que no exista material combustible en las instalaciones de la sala de cómputo.
• Que los cableados eléctrico y de comunicaciones se encuentren protegidos con material aislante y bajo el piso falso.
• Que la parte inferior del piso falso se encuentre en buen estado y libre de polvo.
• Que exista un sistema contraincendio o que al menos haya extinguidotes, así como verificar su vigencia.
• Que dentro de la sala de cómputo exista señalización de evacuación de emergencia y que se realicen simulacros de evacuación periódicamente.

Determinar a través de entrevistas con el administrador del centro de cómputo y sus colaboradores, que tanto conocen y piensan que son adecuadas las medidas contra incendio del centro, comparadas contra los estándares generalmente aceptados.

Revisar ocasionalmente el seguro contra incendio de la organización, para verificar su vigencia.
Requerir la apreciación del jefe de bomberos sobre lo adecuado de la póliza, de acuerdo con las medidas contra incendio implementadas en el centro y los cambios planeados.
Inspeccionar el centro de cómputo para determinar si se aplican las medidas contra incendio.

Entrenamiento en Procedimientos de Seguridad y su Difusión.

Asegurarse de que el personal del centro de cómputo recibe entrenamiento periódico sobre procedimientos y controles de seguridad.

Verificar que el personal recibe un entrenamiento adecuado sobre los procedimientos que deberán seguir en caso de emergencia por fuego, agua o cualquier otro incidente que cause alarma.

Determinar por observación directa y entrevistas, si el personal del departamento de servicios tiene conocimiento de la ubicación de las alarmas contra incendio, extinguidores, interruptores regulares y auxiliares de electricidad, interruptores de aire acondicionado, mascarillas y cualquier otro dispositivo de emergencia que ellos pudieran usar.

Condiciones de Proceso.

Verificar la existencia de equipo de aire acondicionado y si las operaciones realizadas en el centro lo ameritan, que exista otro equipo de respaldo.

Verificar que exista equipo de energía ininterrumpible (UPS) y que su mantenimiento preventivo y correctivo sea llevado por medio de una bitácora de mantenimiento.

Verificar que existan medidores de temperatura (termómetros) y ésta sea menor de 20 ºC y mayor de 17 ºC, así como medidores de humedad relativa la que deberá ser mayor de 40% y menor de 80%.

Verificar que elementos tales como: luz solar, lluvia, viento, etc., no incidan directamente sobre los equipos de la sala de cómputo.

Verificar que los manuales de administración de los equipos estén bien protegidos y solo puedan ser accesados por personal autorizado.

Verificar que exista suficiente espacio físico dentro de las instalaciones de la sala de cómputo, de acuerdo a la densidad de equipos y a los planes a futuro.

SEGURIDAD LOGICA.

Administración de Passwords.

Garantizar que el acceso lógico al equipo esté restringido por procedimientos y políticas de acceso utilizando passwords.
Verificar que existan procedimientos autorizados para la asignación y actualización de las claves de acceso a los equipos.

Solicitar al administrador de los equipos las listas, tablas o matrices de las claves de acceso y verificar si se incluyen las claves de acceso a dispositivos periféricos (discos, impresoras, unidades de cinta etc.).

Revisar los procedimientos para la administración de passwords y determinar sí:
• Están definidas de acuerdo a una norma establecida.
• La solicitud y autorización se hace por escrito.
• Las características de longitud, composición (que permita letras mayúsculas y minúsculas, números y caracteres especiales), encriptado, etc. son adecuadas para que estos no sean fácilmente deducidos.
• Prevén que los passwords no sean difundidos en forma inadvertida, ni desplegados durante el proceso de acceso a la red o impresos en alguna salida.
• Prevén que los passwords sean almacenados en archivos encriptados.
• Contemplan políticas de cambio frecuente de éstos. Por ej. usar una fecha de expiración asociada a los passwords o limitar su uso a un número determinado de accesos para obligar su cambio.
• Prevén la eliminación de las claves de acceso de aquellos individuos que cesan su relación de trabajo con la empresa.
• Prevén la desconexión automática cuando transcurren algunos minutos de haber realizado el último acceso al sistema (última instrucción tecleada).
• Prevén la suspensión del código de acceso, o la deshabilitación del equipo en caso que haya varios intentos de acceso fallidos durante el mismo día.
• Especifican la aplicación de sanciones por el mal uso de los passwords y divulgación de estos a otras personas.

Corroborar que el personal (operativo y usuario) está consciente de los riesgos y problemas derivados de divulgar su clave de acceso, por ej. el posible mal uso de la información.

Verificar la aplicación de las sanciones especificadas en los procedimientos para la divulgación y mal uso de los passwords.

Determinar si los usuarios son restringidos a terminales específicas o a días y horarios específicos.

Verificar que el acceso al equipo de monitoreo es controlado, mediante prácticas tales como:
• Limitar el número de usuarios y ejercer un estricto control de las actividades que realizan.

Determinar si el departamento usuario valida periódicamente los permisos, alcance y estratificación de las claves de acceso asignadas a cada uno de sus miembros.

Comprobar que durante el proceso de información crítica se efectúan comprobaciones periódicas que permitan certificar la identidad y permanencia del usuario, mediante información que solo él conozca. por ej.:
• Dirección anterior.
• Fecha y/o lugar de nacimiento de algún miembro de la familia.
• Color de ojos de alguien de su familia.

Acceso a la Información.

Asegurar que el acceso a la información está restringido con la adecuada estratificación de niveles de acceso
Determinar si los procedimientos prevén que las claves asignadas a los usuarios consideren el nivel de acceso para:
• Equipos
• Archivos
• Programas de las aplicaciones
• Comandos del sistema operativo, etc.

Verificar la existencia de la documentación mediante la cual se justificaron las asignaciones de claves de acceso a los equipos e información.

Verificar que existan procedimientos para la asignación de claves de acceso temporal o de emergencia. Determinar si es necesario obtener una autorización especial para este tipo de accesos y si este tipo de autorizaciones se limitan a un periodo dado y si se informa de ello a la administración. Verificar que estos accesos temporales se concedan con poca frecuencia.

Verificar que los procedimientos de autorización para la ejecución de procesos cubren los siguientes elementos:
1. Recursos o protección de objetos.
Implementar autorizaciones a diferentes niveles con la finalidad de proteger adecuadamente la integridad y confidencialidad de datos y programas, por ejemplo:
• Archivos, base de datos o programas
• Un grupo particular de registros dentro de una base de datos
• Un registro en particular o categorías de registros dentro de la base de datos o archivo.
• Un campo particular o categorías de campos dentro de una base de datos o archivo.
• Diferentes tipos de procesos, etc.

1. Perfiles.
• Verificar que existan procedimientos para la asignación de perfiles de acceso a los sistemas.
Verificar que exista una bitácora automatizada, en la que se registren:
• Todos los intentos de acceso al sistema, válidos e inválidos
• Todos los requerimientos hechos al sistema para respaldar programas, datos, o transacciones.
• Todas las modificaciones de datos críticos o programas.
Verificar que:
• Existan procedimientos para detectar las posibles violaciones.
• La seguridad de la bitácora está protegida.
Periódicamente se revise la bitácora por el supervisor indicado.

Dentro de este tipo de auditoría, se pueden considerar los siguientes tipos de análisis, los cuales diferentes empresas realizan en el mercado, entre las que destacan:

Diagnósticos

Análisis completo de los sistemas desde Internet (o Test de Intrusión) identificando las vulnerabilidades críticas y no críticas, así como recomendaciones de seguridad, instrucciones para arreglar las vulnerabilidades adjuntando parches de seguridad necesarios, o recomendando versiones apropiadas del software que usa el cliente.

Monitoreo en Línea

Instalación en los sistemas del cliente de un software propio para el seguimiento remoto diario de las posibles incidencias de seguridad, así como la propuesta de planes de acción de emergencia.

Forenses

Análisis de la superficie del disco duro programados, aleatorios, o puntuales (bajo sospecha de anormalidad), con el fin de asegurar la integridad de los registros, y de que estos no han sido manipulados por un intruso, es decir, rastrear el uso autorizado de los datos almacenados en diferentes tipos de dispositivos.

Sistemas de Alertas y Vigilancia Tecnológica

Si vigilan las vulnerabilidades que afecten sistemas en operación y en caso de algún acceso no autorizado, se generan reportes de alertas a diferentes niveles descriptivos.

CONCLUSIÓN

Para lograr determinar una evaluación adecuada con respecto a los controles en tecnologías de información y en particular lo relacionado a la seguridad, de manera sustancial, los auditores han tenido que tomar el liderazgo en estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a la administración, acerca de los controles internos que garantizan razonablemente la confiabilidad de la información que en ellos que se genera y por ende el cumplimiento de sus metas y objetivos.