La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento de información. Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos es vital. Los contratos de seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos o responsabilidades que se pueden derivar para el centro de procesamiento de información una vez detectado y corregido el fallo.
Importancia de la Auditoría Informática
La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores. También permite realizar inventarios, revisar los mecanismos de control y gestión. En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados. Es la que se realiza a lo interno de la empresa.
Proceso de Auditoría
Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.
Elementos a Considerar en la Auditoría de Seguridad Física
- Organigrama de la empresa (para obtener amplia visión de conjunto del centro de proceso).
- Auditoría interna (para conocer auditorías pasadas, relacionadas con la seguridad física).
- Centro de procesamiento e instalaciones (sala del host, de operadores, de impresoras, oficinas, almacenes, de instalaciones eléctricas, de aire acondicionado, de descanso y servicio).
- Equipos y comunicaciones (host, terminales, PC, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones).
- Seguridad física del personal (accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios).
Controles Directivos y Desarrollo de Políticas
Los controles directivos son los fundamentos de la seguridad: políticas, planes, funciones, objetivos de control, presupuesto, así como si existen sistemas y métodos de evaluación periódica de riesgos. El desarrollo de las políticas. procedimientos, posibles estándares, normas y guías.
Amenazas Físicas Externas
Amenazas físicas externas como inundaciones, incendios, explosiones, corte de líneas o suministros, terremotos, terrorismo, huelga. Se considera la ubicación del centro de procesos, de los servidores, PC, computadoras portátiles (incluso fuera de las oficinas); estructura, diseño, construcción y distribución de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosféricos; contenido en paquetes, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; protección de los soportes magnéticos en cuanto a acceso, almacenamiento y transporte.
Lea también: Auditoría de Calidad: Ejemplo y Guía
Controles de Acceso y Protección de Datos
Control de accesos adecuado, tanto físicos como lógicos, que se realicen sólo las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y copia, y quedando las pistas necesarias para el control y la auditoría. Uso de contraseñas, cifrado de las mismas, situaciones de bloqueo. Protección de datos como el origen del dato, proceso, salida de los datos.
Comunicaciones y Redes
Comunicaciones y redes, topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Protección de conversaciones de voz en caso necesario, protección de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrónico, control sobre páginas Web, así como el comercio electrónico.
Entorno de Producción y Desarrollo de Aplicaciones
El entorno de producción, cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. Con el uso de licencias (de los programas utilizados).
Continuidad de las Operaciones
La continuidad de las operaciones, planes de contingencia o de continuidad. No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etcétera.
Marcos de Seguridad y Estándares Internacionales
Hay varios tipos de controles de seguridad que se pueden implementar para proteger hardware, software, redes y datos de acciones y eventos que podrían causar pérdidas o daños. Incluyen las medidas que se toman en colaboración con un proveedor de servicios en la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Los marcos permiten que una organización gestione sistemáticamente los controles de seguridad en diferentes tipos de activos de acuerdo con una metodología probada y generalmente aceptada. El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) creó un marco voluntario en 2014 para proporcionar a las organizaciones orientación acerca de cómo prevenir, detectar y responder a los ciberataques. La organización puede referirse a estos y otros marcos para desarrollar su propio marco de seguridad y políticas de seguridad de TI. Una solución de seguridad es tan fuerte como su eslabón más débil. Una evaluación de los controles de seguridad es un excelente primer paso para determinar dónde existe alguna vulnerabilidad. Las directrices del NIST sirven como un enfoque de mejores prácticas que, cuando se aplican, pueden ayudar a mitigar el riesgo de una brecha de seguridad para su organización.
Lea también: Auditoría y las Líneas de Defensa
Auditorías bajo Estándares Internacionales (ISO/IEC 27000)
La auditoría en seguridad de la información es un proceso sistemático, independiente y documentado que permite evaluar la eficacia de los controles implementados para proteger la información frente a amenazas internas y externas. Dado el incremento sostenido de incidentes de ciberseguridad a nivel global, las auditorías bajo estándares internacionales, como los definidos por la familia ISO/IEC 27000, se han convertido en un componente esencial dentro de los Sistemas de Gestión de Seguridad de la Información (SGSI).
Rol de las normas ISO en el aseguramiento de la información
La Organización Internacional de Normalización (ISO), en conjunto con la Comisión Electrotécnica Internacional (IEC), ha desarrollado un conjunto de normas que permiten estructurar, implementar y auditar controles técnicos y organizativos para la protección de la información. A continuación, se describen las principales normas ISO aplicables en contextos de auditoría en seguridad.
ISO/IEC 27001 - Auditoría de SGSI
La ISO/IEC 27001 define los requisitos para establecer, implementar, mantener y mejorar un SGSI. Analizar los tratamientos de riesgo seleccionados y su eficacia residual. Su enfoque permite articular auditorías con objetivos específicos como continuidad de negocio, protección de datos personales o ciberresiliencia.
ISO/IEC 27032 - Ciberseguridad
La ISO/IEC 27032 se centra en la seguridad en el ciberespacio, abarcando amenazas que exceden los límites del SGSI tradicional. Integración del sistema de incidentes con el SGSI general.
ISO/IEC 27701 - Gestión de la privacidad
Extiende los requisitos de la ISO/IEC 27001 hacia la protección de la privacidad, convirtiéndose en un marco para establecer un Sistema de Gestión de Información de Privacidad (SGIP). Medidas técnicas y organizativas para proteger datos personales.
Lea también: Auditorías Ambientales: Una Guía
ISO 28000 - Seguridad en la cadena de suministro
Dirigida a organizaciones con cadenas logísticas complejas, la ISO 28000 aborda la seguridad operacional y física de los procesos de suministro. Verificación de controles físicos, tecnológicos y contractuales.