Auditoria de la Seguridad

Cr. Luis Elissondo

Seguridad y Auditoria

Auditora Seguridad De la Auditora Seguridad

Con que tipo de controles puedo contar?

Controles Directivos
Controles Detectivos

Controles Preventivos
Controles Recuperacin

Que son las Politicas de Seguridad Informtica?

Una poltica de seguridad informtica es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuacindel personal, en relacin con los recursos y servicios informticos, importantes de la organizacin.
No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el por qu de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa.

Elementos que debe contener una poltica de Seg. Inf.

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.

Ejemplo de una Politica

Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.

Ejemplo de un Procedimiento
Procedimiento de alta de cuenta de usuario Cuando un elemento de la organizacin requiere una cuenta de operacin en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos: Nombre y Apellido Puesto de trabajo Jefe inmediato superior que avale el pedido Descripcin de los trabajos que debe realizar en el sistema Explicaciones breves, pero claras de cmo elegir su password. Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecucin del rea encargada de dar de alta la cuenta, datos como: Tipo de cuenta Fecha de caducidad Fecha de expiracin Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos) Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.

Diagrama para analizar un programa se seguridad

Riesgos
No continuidad del Negocio el acceso indebido a los datos (a veces a travs de redes), la cesin no autorizada de soportes magnticos con informacin crtica (algunos dicen "sensible"), los daos por fuego, por agua (del exterior como puede ser una inundacin, opor una tubera interior), la variacin no autorizada de programas, su copia indebida, y tantos otros,persiguiendo el propio beneficio o causar un dao, a veces por venganza.

Niveles de Trabajo
Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la informacin Consistencia Control de Acceso Auditora

Determinacin de los Riesgos

Qu se necesita proteger
De quin protegerlo Cmo protegerlo

Que hacer con los riesgos

Eliminarlos
Disminuirlos

Transferirlos
Asumir los Riesgos

Fases de la Auditoria
Objetivos , delimitacin de alcance y profundidad del trabajo. Anlisis de posibles fuentes y recopilacin de informacin. Determinacin del plan de trabajo y de los recursos y plazos en caso necesario, as como de comunicacin a la entidad. Determinacin de herramientas o perfiles de especialistas necesarios. Realizacin de entrevistas y pruebas. Analisis de Riesgos y Resultados Discusin del informe Provisional Informe Definitivo

Auditar la Seguridad Fsica

Medidas de Proteccin Fisica Lay Out Riesgos posibles Controles de deteccin Politicas de Backup y almacenamiento Plan de Recuperacin

Auditoria de la Seguridad Lgica

Administracin de Recursos Humanos Politicas de administracin de Usuarios. Asignacin de la contrasea. Longitud, vigencia, repeticin,etc No cesin de clave uso individual

Auditoria del Desarrollo de Aplicaciones

Controles incorporados.

Prueba de la Aplicacin.
Puesta en Produccion

Seguridad en los Datos

Confidencialidad
Disponibilidad e Integridad Ciclo de vida de los Datos

Ciclo de vida de la Informacin

Eliminacin Generacin

Registro

Modificacin / Consulta

Auditoria de Redes y Comunicaciones

Conexiones Cifrado Salidas gateway y routers Correo Electrnico Pginas WEB Firewalls

Auditoria de la continuidad de las operaciones

Plan de Contigencia Completitud Divulgacin Actualizacin Plan de Recuperacin

Fuentes de la Auditora
Politicas, estndares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, plizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios

Desarrollo del caso prctico

Conclusiones y Preguntas

E-mail: luiseli@rec.unicen.edu.ar