Auditoria de la seguridad
Páginas: 40 (9759 palabras)
Publicado: 21 de diciembre de 2011
Auditoría de la Seguridad
Introducción
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.
Puede haber seguridad sin auditoría, puede existir auditoría de otras áreas, y queda un espacio de encuentro:la auditoría de la seguridad, y cuya área puede ser mayor o menor según la entidad y el momento.
Lo cierto es que cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias,tienen un impacto mucho mayor que hace unos años: de ahí la necesidad de protecciones adecuadas que se evaluarán o recomendarán en la auditoría de seguridad.
(También es cierto que en muchos casos tan necesario o más que la protección de la información puede ser que las inversiones en sistemas y tecnologías de la información estén alineadas con las estrategias de la entidad, huyendo del enfoque de latecnología por la tecnología).
Aunque solemos oír varias expresiones como seguridad informática, seguridad de sistemas y tecnologías de información, seguridad o protección de la información, puestos a elegir, y sin llegar a descartar ninguna, nos quedaríamos con la última, ya que los datos y la información son los activos más estratégicos y valiosos relacionados con los sistemas y el uso de lastecnologías de la información.
La expresión seguridad informática, que es la más usada, puede llegar a relacionarse, sólo con los equipos y los entornos técnicos, como si la información en otros soportes y ambientes no requiera protección, cuando son las propias operaciones de la entidad, el negocio en entidades con ánimo de lucro, lo que requiere protección.
Si no existen suficientes yadecuadas medidas de protección se puede perder información vital, o al menos no estar disponible en el momento requerido (pensemos en diagnósticos de pacientes muy graves o en control de vuelos), las decisiones tomas pueden ser erróneas, o se pueden incumplir contratos e incluso la propia legislación, lo que puede traducirse en grandes multas en el caso de infracciones graves.
Debe evaluarse en laauditoría si los modelos de seguridad están en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones, porque no se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años.
En cuanto a la justificación de la auditoría, sólo decir que tanto la normativa como la auditoría son necesarias: una auditoría no basada en políticas dela entidad auditada (además de las normas para realizar la auditoría) sería subjetiva y hasta peligrosa (aunque en sistemas de información es una situación habitual); y la existencia de normativa sin auditoría podría equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría los accidentes e iría convirtiendo la circulación en caótica y peligrosa.
Los grandes grupos decontroles son los siguientes, además de poderlos dividir en manuales y automáticos, o en generales y de aplicación:
* Controles directivos, que son los que establecen las bases, como las políticas o la creación de comités relacionados o de funciones: de administración de seguridad o auditoría de sistemas de información interna.
* Controles preventivos, antes del hecho, como la identificación devisitar (seguridad física) o las contraseñas (seguridad lógica).
* Controles de detección, como determinadas revisiones de accesos producidos o la detección de incendios.
* Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia.
* Controles de recuperación, que facilitan la vuelta a la...
Introducción
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.
Puede haber seguridad sin auditoría, puede existir auditoría de otras áreas, y queda un espacio de encuentro:la auditoría de la seguridad, y cuya área puede ser mayor o menor según la entidad y el momento.
Lo cierto es que cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias,tienen un impacto mucho mayor que hace unos años: de ahí la necesidad de protecciones adecuadas que se evaluarán o recomendarán en la auditoría de seguridad.
(También es cierto que en muchos casos tan necesario o más que la protección de la información puede ser que las inversiones en sistemas y tecnologías de la información estén alineadas con las estrategias de la entidad, huyendo del enfoque de latecnología por la tecnología).
Aunque solemos oír varias expresiones como seguridad informática, seguridad de sistemas y tecnologías de información, seguridad o protección de la información, puestos a elegir, y sin llegar a descartar ninguna, nos quedaríamos con la última, ya que los datos y la información son los activos más estratégicos y valiosos relacionados con los sistemas y el uso de lastecnologías de la información.
La expresión seguridad informática, que es la más usada, puede llegar a relacionarse, sólo con los equipos y los entornos técnicos, como si la información en otros soportes y ambientes no requiera protección, cuando son las propias operaciones de la entidad, el negocio en entidades con ánimo de lucro, lo que requiere protección.
Si no existen suficientes yadecuadas medidas de protección se puede perder información vital, o al menos no estar disponible en el momento requerido (pensemos en diagnósticos de pacientes muy graves o en control de vuelos), las decisiones tomas pueden ser erróneas, o se pueden incumplir contratos e incluso la propia legislación, lo que puede traducirse en grandes multas en el caso de infracciones graves.
Debe evaluarse en laauditoría si los modelos de seguridad están en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones, porque no se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años.
En cuanto a la justificación de la auditoría, sólo decir que tanto la normativa como la auditoría son necesarias: una auditoría no basada en políticas dela entidad auditada (además de las normas para realizar la auditoría) sería subjetiva y hasta peligrosa (aunque en sistemas de información es una situación habitual); y la existencia de normativa sin auditoría podría equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría los accidentes e iría convirtiendo la circulación en caótica y peligrosa.
Los grandes grupos decontroles son los siguientes, además de poderlos dividir en manuales y automáticos, o en generales y de aplicación:
* Controles directivos, que son los que establecen las bases, como las políticas o la creación de comités relacionados o de funciones: de administración de seguridad o auditoría de sistemas de información interna.
* Controles preventivos, antes del hecho, como la identificación devisitar (seguridad física) o las contraseñas (seguridad lógica).
* Controles de detección, como determinadas revisiones de accesos producidos o la detección de incendios.
* Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia.
* Controles de recuperación, que facilitan la vuelta a la...
Leer documento completo
Regístrate para leer el documento completo.