Una auditoría de seguridad de la información es una auditoría del nivel de seguridad de la información en una organización. Es una revisión y examen independiente de los registros del sistema, las actividades y los documentos relacionados. Estas auditorías tienen como objetivo mejorar el nivel de seguridad de la información, evitar diseños de seguridad de la información inadecuados y optimizar la eficiencia de las salvaguardas y los procesos de seguridad. [1]
Dentro del amplio alcance de la auditoría de seguridad de la información existen múltiples tipos de auditorías, múltiples objetivos para diferentes auditorías, etc. Lo más común es que los controles que se auditan se puedan categorizar como técnicos , físicos y administrativos . La auditoría de seguridad de la información cubre temas que van desde la auditoría de la seguridad física de los centros de datos hasta la auditoría de la seguridad lógica de las bases de datos, y destaca los componentes clave que se deben buscar y los diferentes métodos para auditar estas áreas.
Cuando se centra en los aspectos de la tecnología de la información (TI) de la seguridad de la información, se puede considerar como parte de una auditoría de tecnología de la información . A menudo se la denomina auditoría de seguridad de la tecnología de la información o auditoría de seguridad informática. Sin embargo, la seguridad de la información abarca mucho más que la TI.
El auditor es responsable de evaluar el nivel actual de madurez tecnológica de una empresa durante la primera etapa de la auditoría. Esta etapa se utiliza para evaluar el estado actual de la empresa y ayuda a identificar el tiempo, el costo y el alcance necesarios para una auditoría. En primer lugar, es necesario identificar los requisitos mínimos de seguridad: [2]
El auditor debe planificar la auditoría de una empresa basándose en la información obtenida en el paso anterior. Planificar una auditoría ayuda al auditor a obtener evidencia suficiente y apropiada para las circunstancias específicas de cada empresa. Ayuda a predecir los costos de auditoría a un nivel razonable, asignar la mano de obra y el cronograma adecuados y evitar malentendidos con los clientes. [3]
Un auditor debe estar adecuadamente informado sobre la empresa y sus actividades comerciales críticas antes de realizar una revisión del centro de datos. El objetivo del centro de datos es alinear las actividades del centro de datos con los objetivos de la empresa, manteniendo al mismo tiempo la seguridad e integridad de la información y los procesos críticos. Para determinar adecuadamente si se está logrando el objetivo del cliente, el auditor debe realizar lo siguiente antes de realizar la revisión:
En el siguiente paso, el auditor describe los objetivos de la auditoría y luego lleva a cabo una revisión del centro de datos corporativo. Los auditores consideran múltiples factores relacionados con los procedimientos y actividades del centro de datos que potencialmente identifican riesgos de auditoría en el entorno operativo y evalúan los controles establecidos para mitigar esos riesgos. Después de realizar pruebas y análisis exhaustivos, el auditor puede determinar adecuadamente si el centro de datos mantiene controles adecuados y está operando de manera eficiente y eficaz.
A continuación se presenta una lista de objetivos que el auditor debe revisar:
El siguiente paso es recopilar evidencia para cumplir con los objetivos de auditoría del centro de datos. Esto implica viajar al lugar del centro de datos y observar los procesos dentro del centro de datos. Se deben llevar a cabo los siguientes procedimientos de revisión para cumplir con los objetivos de auditoría predeterminados:
Una vez finalizado el examen de auditoría, las conclusiones de la auditoría y las sugerencias de medidas correctivas se pueden comunicar a las partes interesadas responsables en una reunión formal. Esto garantiza una mejor comprensión y apoyo de las recomendaciones de la auditoría. También ofrece a la organización auditada la oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas.
Redactar un informe después de una reunión de este tipo y describir dónde se han alcanzado acuerdos sobre todas las cuestiones de auditoría puede mejorar enormemente la eficacia de la auditoría. Las conferencias de salida también ayudan a ultimar recomendaciones que sean prácticas y factibles. [4]
El informe de revisión del centro de datos debe resumir las conclusiones del auditor y tener un formato similar al de un informe de revisión estándar. El informe de revisión debe tener la fecha de finalización de la investigación y los procedimientos del auditor. Debe indicar en qué consistió la revisión y explicar que una revisión solo proporciona "garantía limitada" a terceros.
Por lo general, un informe de revisión del centro de datos consolida la totalidad de la auditoría. También ofrece recomendaciones sobre la implementación adecuada de las medidas de seguridad físicas y asesora al cliente sobre las funciones y responsabilidades adecuadas de su personal. Su contenido puede incluir: [5]
El informe puede incluir opcionalmente clasificaciones de las vulnerabilidades de seguridad identificadas durante la realización de la auditoría y la urgencia de las tareas necesarias para abordarlas. Se pueden utilizar clasificaciones como “alta”, “baja” y “media” para describir la urgencia de las tareas. [6]
Generalmente las auditorías de seguridad informática las realizan:
El Oficial de Seguridad de la Información (ISO) es un puesto relativamente nuevo que ha surgido en las organizaciones para hacer frente a las consecuencias del crecimiento caótico de la tecnología de la información y la comunicación en red. El papel del ISO ha sido muy confuso, ya que el problema que se creó para abordar no estaba claramente definido. El papel de un ISO se ha convertido en el de seguir la dinámica del entorno de seguridad y mantener la postura de riesgo equilibrada para la organización. [8]
Las auditorías de sistemas de información combinan los esfuerzos y las habilidades de los campos de la contabilidad y la tecnología. Los profesionales de ambos campos dependen unos de otros para garantizar la seguridad de la información y los datos. Con esta colaboración, la seguridad del sistema de información ha demostrado aumentar con el tiempo. En relación con la auditoría de sistemas de información, el papel del auditor es examinar los controles de la empresa del programa de seguridad. Además, el auditor revela la eficacia operativa de estos controles en un informe de auditoría. La Asociación de Auditoría y Control de Sistemas de Información (ISACA) , una organización profesional de Tecnología de la Información, promueve la adquisición de experiencia a través de varias certificaciones. [9] Los beneficios de estas certificaciones son aplicables al personal externo e interno del sistema. Algunos ejemplos de certificaciones que son relevantes para las auditorías de seguridad de la información incluyen:
El auditor debe plantear ciertas preguntas para comprender mejor la red y sus vulnerabilidades. En primer lugar, el auditor debe evaluar el alcance de la red y cómo está estructurada. Un diagrama de red puede ayudar al auditor en este proceso. La siguiente pregunta que debe plantearse es qué información crítica debe proteger esta red. Cosas como los sistemas empresariales, los servidores de correo, los servidores web y las aplicaciones host a las que acceden los clientes suelen ser áreas de atención. También es importante saber quién tiene acceso y a qué partes. ¿Los clientes y los proveedores tienen acceso a los sistemas de la red? ¿Pueden los empleados acceder a la información desde casa? Por último, el auditor debe evaluar cómo está conectada la red a las redes externas y cómo está protegida. La mayoría de las redes están conectadas al menos a Internet, lo que podría ser un punto de vulnerabilidad. Estas son preguntas fundamentales para proteger las redes.
Cuando se tiene una función que se ocupa de dinero entrante o saliente, es muy importante asegurarse de que las funciones estén segregadas para minimizar y, con suerte, prevenir el fraude. Una de las formas clave de garantizar una segregación de funciones adecuada desde una perspectiva de sistemas es revisar las autorizaciones de acceso de las personas. Algunos sistemas, como SAP, afirman que cuentan con la capacidad de realizar pruebas de segregación de funciones, pero la funcionalidad proporcionada es elemental, requiere la creación de consultas que consumen mucho tiempo y está limitada solo al nivel de transacción con poco o ningún uso de los valores de objeto o campo asignados al usuario a través de la transacción, lo que a menudo produce resultados engañosos. Para sistemas complejos como SAP, a menudo se prefiere utilizar herramientas desarrolladas específicamente para evaluar y analizar conflictos de segregación de funciones y otros tipos de actividad del sistema. Para otros sistemas o para múltiples formatos de sistema, debe controlar qué usuarios pueden tener acceso de superusuario al sistema, lo que les otorga acceso ilimitado a todos los aspectos del sistema. Además, desarrollar una matriz para todas las funciones que destaque los puntos en los que se ha infringido la segregación de funciones adecuada ayudará a identificar posibles debilidades materiales al verificar los accesos disponibles de cada empleado. Esto es tan importante, si no más, en la función de desarrollo como en la de producción. Asegurarse de que las personas que desarrollan los programas no sean las autorizadas para llevarlos a producción es fundamental para evitar que programas no autorizados entren en el entorno de producción, donde pueden utilizarse para perpetrar fraudes.
Al evaluar la necesidad de que un cliente implemente políticas de cifrado para su organización, el auditor debe realizar un análisis del riesgo y el valor de los datos del cliente. Las empresas con múltiples usuarios externos, aplicaciones de comercio electrónico e información confidencial de clientes y empleados deben mantener políticas de cifrado estrictas destinadas a cifrar los datos correctos en la etapa adecuada del proceso de recopilación de datos. [11]
Los auditores deben evaluar continuamente las políticas y los procedimientos de cifrado de sus clientes. Las empresas que dependen en gran medida de los sistemas de comercio electrónico y las redes inalámbricas son extremadamente vulnerables al robo y a la pérdida de información crítica durante la transmisión. Las políticas y los procedimientos deben documentarse y ejecutarse para garantizar que todos los datos transmitidos estén protegidos.
El auditor debe verificar que la administración tiene controles establecidos sobre el proceso de gestión de cifrado de datos. El acceso a las claves debe requerir un doble control, las claves deben estar compuestas de dos componentes separados y deben mantenerse en una computadora que no sea accesible para programadores o usuarios externos. Además, la administración debe certificar que las políticas de cifrado garantizan la protección de los datos al nivel deseado y verificar que el costo de cifrar los datos no exceda el valor de la información en sí. Todos los datos que se requiera mantener durante un período prolongado deben cifrarse y transportarse a una ubicación remota. Deben existir procedimientos para garantizar que toda la información sensible cifrada llegue a su ubicación y se almacene correctamente. Por último, el auditor debe obtener la verificación de la administración de que el sistema de cifrado es sólido, no atacable y cumple con todas las leyes y regulaciones locales e internacionales.
Tal como suena, una auditoría de seguridad lógica sigue un formato en un procedimiento organizado. El primer paso en una auditoría de cualquier sistema es tratar de entender sus componentes y su estructura. Al auditar la seguridad lógica, el auditor debe investigar qué controles de seguridad están implementados y cómo funcionan. En particular, las siguientes áreas son puntos clave en la auditoría de la seguridad lógica:
La seguridad de la red se logra mediante varias herramientas, incluidos firewalls y servidores proxy , cifrado , seguridad lógica y controles de acceso , software antivirus y sistemas de auditoría como la gestión de registros.
Los firewalls son una parte muy básica de la seguridad de la red. Suelen colocarse entre la red local privada e Internet. Los firewalls proporcionan un flujo de tráfico que puede autenticarse, supervisarse, registrarse y generar informes. Algunos tipos diferentes de firewalls incluyen firewalls de capa de red, firewalls de subredes protegidas, firewalls de filtrado de paquetes, firewalls de filtrado dinámico de paquetes, firewalls híbridos, firewalls transparentes y firewalls de nivel de aplicación.
El proceso de cifrado implica convertir texto simple en una serie de caracteres ilegibles, conocidos como texto cifrado . Si el texto cifrado es robado o obtenido durante su tránsito, el lector no podrá leer el contenido. Esto garantiza una transmisión segura y resulta extremadamente útil para las empresas que envían o reciben información crítica. Una vez que la información cifrada llega a su destinatario, se implementa el proceso de descifrado para restaurar el texto cifrado a texto simple.
Los servidores proxy ocultan la dirección real de la estación de trabajo del cliente y también pueden actuar como un firewall. Los firewalls de servidores proxy tienen un software especial para aplicar la autenticación. Los firewalls de servidores proxy actúan como intermediarios para las solicitudes de los usuarios.
Los programas antivirus como McAfee y Symantec localizan y eliminan contenido malicioso. Estos programas de protección antivirus ejecutan actualizaciones en tiempo real para garantizar que cuentan con la información más reciente sobre los virus informáticos conocidos.
La seguridad lógica incluye salvaguardas de software para los sistemas de una organización, como el acceso mediante ID de usuario y contraseña, la autenticación, los derechos de acceso y los niveles de autoridad. Estas medidas tienen como objetivo garantizar que solo los usuarios autorizados puedan realizar acciones o acceder a la información en una red o una estación de trabajo.
Las vulnerabilidades en los sistemas de TI de una organización no suelen atribuirse a debilidades técnicas, sino que están relacionadas con el comportamiento individual de los empleados dentro de la organización. Un ejemplo sencillo de esto es el de los usuarios que dejan sus computadoras desbloqueadas o que son vulnerables a ataques de phishing . Como resultado, una auditoría de seguridad de la información exhaustiva con frecuencia incluirá una prueba de penetración en la que los auditores intentarán obtener acceso a la mayor parte posible del sistema, tanto desde la perspectiva de un empleado típico como de un tercero. [13] Una auditoría de comportamiento garantiza que se implementen medidas preventivas, como un seminario web sobre phishing, donde se informa a los empleados sobre qué es el phishing y cómo detectarlo.
Las auditorías de aseguramiento de sistemas y procesos combinan elementos de las auditorías de infraestructura de TI y de seguridad de aplicaciones/información y utilizan diversos controles en categorías como Integridad, Precisión, Validez (V) y Acceso restringido (CAVR). [14]
La seguridad de las aplicaciones se centra en tres funciones principales:
En lo que respecta a la programación, es importante garantizar que exista una protección física y de contraseñas adecuada en los servidores y mainframes para el desarrollo y la actualización de sistemas clave. Tener seguridad de acceso físico en el centro de datos o la oficina, como credenciales electrónicas y lectores de credenciales, guardias de seguridad, puntos de estrangulamiento y cámaras de seguridad, es de vital importancia para garantizar la seguridad de las aplicaciones y los datos. Luego, es necesario tener seguridad en torno a los cambios en el sistema. Estos suelen tener que ver con el acceso de seguridad adecuado para realizar los cambios y con la implementación de los procedimientos de autorización adecuados para extraer los cambios de programación desde el desarrollo hasta la prueba y, finalmente, la producción.
En el caso del procesamiento, es importante que existan procedimientos y controles para controlar algunos aspectos diferentes, como la introducción de datos falsificados o erróneos, el procesamiento incompleto, las transacciones duplicadas y el procesamiento fuera de plazo. Una forma de garantizar esto es asegurarse de que la información ingresada se revise aleatoriamente o de que todo el procesamiento tenga la aprobación adecuada. Es importante poder identificar el procesamiento incompleto y asegurarse de que existan los procedimientos adecuados para completarlo o eliminarlo del sistema si se trata de un error. También deben existir procedimientos para identificar y corregir las entradas duplicadas. Por último, cuando se trata de un procesamiento que no se realiza en el momento oportuno, se debe hacer un seguimiento de los datos asociados para ver de dónde proviene la demora e identificar si esta demora genera o no algún problema de control.
Por último, en lo que respecta al acceso, es importante tener en cuenta que mantener la seguridad de la red contra el acceso no autorizado es uno de los principales objetivos de las empresas, ya que las amenazas pueden provenir de varias fuentes. En primer lugar, se trata de un acceso interno no autorizado. Es muy importante disponer de contraseñas de acceso al sistema que se deban cambiar con regularidad y que exista una forma de rastrear el acceso y los cambios para poder identificar quién realizó qué cambios. Se debe registrar toda la actividad. El segundo ámbito que debe tenerse en cuenta es el acceso remoto, es decir, las personas que acceden al sistema desde el exterior a través de Internet. La configuración de cortafuegos y la protección con contraseñas para los cambios de datos en línea son fundamentales para protegerse contra el acceso remoto no autorizado. Una forma de identificar las debilidades en los controles de acceso es hacer que un pirata informático intente piratear el sistema, ya sea entrando en el edificio y utilizando una terminal interna o pirateando desde el exterior a través de un acceso remoto.
Una auditoría de seguridad de la información se puede definir examinando los diferentes aspectos de la seguridad de la información. Los profesionales externos e internos de una institución tienen la responsabilidad de mantener e inspeccionar la idoneidad y eficacia de la seguridad de la información. Como en cualquier institución, hay varios controles que se deben implementar y mantener. Para proteger la información, se espera que una institución aplique medidas de seguridad para evitar la intervención externa. En general, los dos conceptos de seguridad de aplicaciones y segregación de funciones están conectados de muchas maneras y ambos tienen el mismo objetivo: proteger la integridad de los datos de las empresas y prevenir el fraude. En el caso de la seguridad de las aplicaciones, tiene que ver con la prevención del acceso no autorizado al hardware y al software mediante la implementación de medidas de seguridad adecuadas, tanto físicas como electrónicas. En el caso de la segregación de funciones, se trata principalmente de una revisión física del acceso de las personas a los sistemas y al procesamiento y de garantizar que no haya superposiciones que puedan dar lugar a fraudes. El tipo de auditoría que realiza la persona determina los procedimientos y pruebas específicos que se deben ejecutar durante todo el proceso de auditoría.