Definición del Entorno

En los últimos años, las empresas que no se preocupan por incluir controles dentro de sus sistemas de cómputo, han sufrido y sufrirán lamentables pérdidas. Los ejecutivos se van acostumbrando a tomar decisiones basadas en los reportes o “pantallazos” que genera el computador. Imagínese que los gerentes pierdan la confianza en reportes generados por el computador por falta de certeza o seguridad en la información que se le es brindada. Es necesario que los usuarios tengan controles cruzados de sus sistemas. Muchas veces el usuario ni es entrenado, ni entiende el cambio, por lo que es necesario que el auditor interno de la empresa, deba de indicar ¿Qué controles cruzados debería de llevar el usuario?. La tendencia es que los gobiernos y ejecutivos de empresas confíen cada vez más en los auditores internos para proteger a las compañías.

En este capítulo se entenderá lo que es auditoría financiera. Parecería que en cierta medida nos estamos alejando del tema y del curso, lo cual no es exactamente cierto. Si desmenuzamos el contenido de auditoría y su evolución podemos observar que el concepto aparece inamovible y son su objeto y finalidad lo que puede variar.

Auditoría

Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación de los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado [Gabriel Baudes – Ing. De Software III].

Conceptualmente, la auditoría es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.

Podemos descomponer este concepto en los elementos fundamentales que a continuación se especifican:

• Contenido: una opinión.
• Condición: profesional.
• Justificación: sustentada en determinados procedimientos.
• Objeto: una determina información obtenida en un cierto soporte.
• Finalidad: determinar si presenta adecuadamente la realidad o esta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

En todo caso, es una función que se da a posteriori, en relación con actividades ya realizadas, sobre las que hay que emitir una opinión.

Clases de Auditoría

El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, determinan el tipo de auditoría de que se trata.

Clase	Contenido	Objeto	Finalidad
Financiera	Opinión	Cuentas anuales	Presentan la realidad
Informática	Opinión	Sistemas de aplicación, recursos informáticos, planes de contingencia, etc.	Operatividad eficiente y según normas establecidas
Gestión	Opinión	Dirección	Eficacia, eficiencia, economicidad
Cumplimiento	Opinión	Normas establecidas	Las operaciones se adecuan a estas normas

Procedimientos

La opinión profesional, elemento esencial de la auditoría, se fundamenta y justifica por medio de unos procedimientos específicos, los cuales proporcionarán una seguridad razonable de lo que se afirma.

Como es natural, cada tipo de auditoría posee sus propios procedimientos para alcanzar el fin previsto, aun cuando en muchos casos puedan coincidir.

Inicialmente, cuando el objeto de auditoría eran cuentas contables, los documentos financieros a auditar eran relativamente cortos y contenían escasas operaciones. Los procedimientos de arriba hacia abajo eran suficientes y viables.

Con el crecimiento, fusiones y aparición de nuevas empresas, las operaciones de estas se multiplicaban enormemente, lo que trajo como resultado que el método tradicional de auditoría resultara laborioso, largo, ineficaz y económicamente inviable.

No era posible verificar la totalidad de las muy cuantiosas operaciones, y por lo tanto había que reducir el campo de acción del auditor a una parte de la numerosa información.

Al no someterse a revisión todas y cada una de las operaciones, cabe la posibilidad de que se escape a la atención del auditor alguna irregularidad significativa (casual o voluntaria).

Variación del Objeto

Es innegable e indiscutible que, con mayor o menor profundidad, la gestión de las empresas ha experimentado un cambio sustancial y hoy se utiliza la Tecnología de la Información (TI) en todo proceso contable.

Se ha introducido un nuevo elemento cualitativo en el objeto de la auditoría: el uso de las Tecnologías de Información en los sistemas, basada en las ventajas que aporta la informatización respecto al trabajo manual.

La auditoría financiera sigue siendo auditoría financiera, con la diferencia de que en su objeto, el mismo de siempre, se ha introducido la TI.

Se presenta la alternativa al auditor de utilizar los listados de los archivos magnéticos o electrónicos como fuente de información o acceder directamente a dichos archivos y proceder a su análisis.

La TI, que incide en los procedimientos que el auditor ha de aplicar, proporciona paralelamente medios de ejecutarlos en forma eficiente y directa. Las CAATS (técnicas de auditoría asistidas por computador) ponen a disposición del auditor una amplia variedad de herramientas que no solo viabilizan los nuevos procedimientos, sino que mejoran sensiblemente su aplicación y amplían la gama posible.

Evolución

Canadian Institute of Chartered Accountants define un camino hacia la plena institución de un sistema de auditoría informatizado.

Las firmas de auditorías más avanzadas han cubierto las dos primeras etapas y actualmente algunas intentan adentrarse en la tercera. La auditoría se convierte en una herramienta para la construcción de realidades políticas y económicas donde la auditoría y la consultoría se entrelazan.

Control Interno y Auditoría de Sistemas

Introducción

Tradicionalmente, en materia de control interno se adoptaba un enfoque bastante restringido, limitados a los controles contables internos. En tanto se relacionaba con la informática financiera, el control interno era un tema que interesaba principalmente al personal financiero de la organización y, por supuesto, al auditor externo. El concepto de control interno de mucha gente no incluía muchas de las actividades operativas claves destinadas a prevenir los riesgos efectivos y potenciales a los que se enfrentan las organizaciones.

Durante el último quinquenio, la prensa ha informado sobre muchos escándalos relativos a errores en el otorgamiento de créditos con la garantía de inmuebles inexistentes o extremadamente sobrevalorados, debido a la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y muchos otros conocidos fallos de los controles que han afectado a empresas de diferentes sectores.

La mayoría de las empresas están adoptando varias iniciativas como:

• La reestructuración de los procesos empresariales.
• La gestión de calidad total.
• El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto.
• La contratación externa (outsourcing).

El mundo en general va cambiando cada vez más rápido, sometiendo a las empresas a la acción de la creciente necesidad de acceder a los mercados mundiales, la consolidación de industrias, la intensificación de la competencia, y las nuevas tecnologías. Algunas de las tendencias que influyen sobre las empresas son:

• La globalización.
• La diversificación de actividades.
• La eliminación de ramas del negocio no rentables o antiguas.
• La introducción de nuevos productos, como respuesta a la competencia.
• Las fusiones y formación de alianzas estratégicas.

Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar cambios de control significativos deben de reevaluar y reestructurar sus sistemas de controles internos. Deben de actuar de manera proactiva antes de que surjan los problemas, tomando medidas audaces para su propia tranquilidad y garantizar a los accionistas, comités y público que los controles internos de la empresa están adecuadamente diseñados para afrontar los retos del futuro y asegurar la integridad en el momento actual.

Los centros de informática de las empresas cada vez adquieren mayor importancia, puesto que estos dan soporte a los sistemas de información del negocio (volumen de recursos, presupuesto que manejan, etc.). Por lo tanto, aumenta la complejidad de control interno y auditoría, surgiendo como figuras organizativas, las figuras de control interno y auditoría de sistemas.

La auditoría ha cambiado considerablemente en los últimos años debido al impacto que ha venido obrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de conocer y estar actualizados en los sistemas informáticos se vuelve cada vez más apremiante, si bien los conceptos básicos de la profesión no han variado.

Los auditores de sistemas aportan conocimientos especializados, así como su familiaridad con la tecnología informática.

En muchas organizaciones, el auditor ha dejado de centrarse en la evaluación y comprobación de los resultados de procesos, desplazando su atención a la evaluación de riesgos y la comprobación de controles sobre dichos sistemas. Muchos de los controles se incorporan en programas informáticos o se realizan por parte de la función informática de la organización, representado por el control interno informático.

Las Funciones de Control Interno y Auditoría de Sistemas

Control Interno Informático

El Control Interno informático controla que diariamente todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de la Organización y/o la Dirección Informática, así como los requerimientos legales.

La misión del control interno informático es asegurar que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

El Control Interno Informático suele ser un staff del Departamento de Informática y/o Sistemas y está dotado del personal y recursos de acuerdo a los objetivos que se les encomiende.

Como principales objetivos podemos indicar los siguientes:

• Comprobar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar al trabajo de auditoría.
• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.

Realizar en los diferentes sistemas (centrales, departamentos, redes locales, PC’s, etc.) y entornos informáticos (producción, desarrollos o pruebas) el control de las diferentes actividades operativas sobre:

• El cumplimiento de procedimientos y normas.
• Vigilancia sobre el control de cambios y versiones de software.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia de desarrollo y mantenimiento del software y del servicio informático.
• Controles en la redes de comunicaciones.
• Controles sobre el software base.
• Controles en los sistemas microinformáticos.
• La seguridad informática.
• Licencias y relaciones contractuales con terceros.
• Asesorar y transmitir cultura sobre los riesgos informáticos.

Auditoría de Sistemas

La auditoría de sistemas es la verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación, con el propósito de evaluar su efectividad y presentar recomendaciones a la gerencia.

El examen y evaluación de los procesos del área de Procesamiento Automático de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarla, de esta manera se podría definir también la Auditoría de Sistemas.

Algunos autores proporcionan otros conceptos, pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

El objeto sometido a estudio, sea cual sea su soporte y la finalidad con que se realiza el estudio, determina el tipo de auditoría de que se trata.

Control Interno y Auditoría de Sistemas

Muchos de los responsables del control interno Informático, recibieron formación el seguridad informática tras su paso por la formación de auditoría. Numerosos auditores se pasan al campo del control interno informático debido a las grandes similitudes de los objetivos profesiones de control y auditoría.

Aunque ambas figuras tienen objetivos comunes, existen diferencias que es conveniente ver.

	CONTROL INTERNO INFORMÁTICO	AUDITOR INFORMÁTICO
SIMILITUDES	Conocimientos especializados en Tecnología de Información, verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.
DIFERENCIAS	Análisis de los controles en el día a día. Informa a la Dirección del Departamento de Informática. El alcance de sus funciones es únicamente sobre el departamento de Informática.	Análisis de un momento informático determinado. Informa a la Dirección General de la Organización. Personal Interno / externo. Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.

Sistema de Control Interno Informático

Definición y Tipos de Controles Internos

Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”.

Los controles, cuando se diseñan, desarrollan e implementan, han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último, habrá que analizar el coste-riesgo de su implantación.

Objetivos de los Controles Informáticos

• Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
• Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento, por ejemplo, el registro de intentos de acceso no autorizado, el registro de la actividad diaria para detectar errores u omisiones, etc.
• Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias, por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.

A medida que los sistemas informáticos se han vuelto más complejos, los controles informáticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos.

Por ejemplo, en los actuales sistemas informáticos puede ser difícil ver la diferencia entre la seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.

La relación que existe entre los métodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:

• Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas.
• Objetivo de control de seguridad de los programas: garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.

Implantación de un Sistema de Controles Internos Informáticos

Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos independientes. Por ello, es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber dónde pueden implantarse los controles, así como para identificar posibles riesgos.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

• Entorno de Red: esquema de la red, descripción de la configuración de hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los computadores de entorno de base de datos que soportan aplicaciones críticas y consideraciones relativas a la seguridad de red.
• Configuración del Computador Base: configuración del soporte físico, entorno del sistema operativo, entornos, bibliotecas de programas y conjunto de datos.
• Entorno de Aplicaciones: proceso de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.
• Productos y Herramientas: software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
• Seguridad del Computador Base: identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

• Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
• Administración de sistemas: control sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de redes.
• Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
• Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados probados.

Control Interno y Auditoría

• Política de Seguridad
• Plan de Seguridad
• Normas y Procedimientos
• Medidas Tecnológicas Implantadas

Seguridad de Sistemas, Metodología de Auditoría Informática y Control Interno

Seguridad de los Sistemas de Información

“El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados…. Y aun así tengo mis dudas.” ¹

La seguridad de todo o nada. No existen sistemas 100% seguros. Cotidianamente realizamos innumerables acciones expuestas a diferentes riesgos: conducimos el coche, montamos en bici, volamos en avión, andamos de noche por la calle, pagamos con tarjetas de crédito en restaurantes, en fin, son tantas las cosas que hacemos sujetas a riesgo que no podríamos enumerarse todas. Y a pesar de ello, las seguimos haciéndolo, confiamos en nuestra pericia al conducir, en la tecnología de los modernos automóviles, etc. Ponerse el cinturón, o llevar un airbag no evitará el accidente, pero mitigará el daño si se produce. Aunque nosotros sabemos que ni los coches, ni los aviones son 100% seguros, seguimos usándolos. ¿Por qué? Porque, aunque sea de una manera inconsciente, realizamos un sencillo análisis de riesgos y decidimos seguir adelante o no.

Uno sabe que no debería caminar de noche por la calle más peligrosa de la ciudad o meter a un desconocido a casa. A veces nos equivocamos en la evaluación del riesgo, a veces se producen fallos técnicos, nos precipitamos y no hemos reflexionado previamente. La vida puede verse como una constante toma de decisiones en la que se evalúa el riesgo y se actúa en consecuencia.

La informática se ha extendido en todas las actividades profesionales y humanas según afirma el reglamento 460/2004 de la Comunidad Europea sobre la creación de la Agencia Europea de seguridad de las Redes de la Información. Las redes de comunicaciones y los sistemas de información se han convertido en el factor esencial en el desarrollo económico y social. La informática y las redes se están convirtiendo en recursos omnipresentes. Por consiguiente, la seguridad de las redes y los sistemas de información, y en particular su disponibilidad, es un asunto que preocupa cada vez más a la sociedad. Pocas deben ser las empresas que no se hayan informatizado mínimamente.

Por desgracia, paralelamente al crecimiento del uso de la informática y de las redes de comunicación, se multiplica el número de incidentes de seguridad. Cuando mayor es el volumen de información procesada y transferida, mayor es el riesgo derivado de su pérdida, alteración o revelación.

La seguridad de la Información tiene por objetivo proteger los sistemas informáticos frente a las amenazas a los que están expuestos. La aplicación de medidas de seguridad debe realizarse de manera planificada, racional, para evitar dirigir esfuerzos allí donde no hacía falta o no destinar recursos allí donde más falta hacían. Para que las medidas y mecanismos de protección resulten eficaces, deben de integrarse dentro de un sistema más amplio de gestión de la seguridad de la información. Sin un plan director que guíe los esfuerzos de protección de los activos de la organización, por mucho dinero que se invierta en seguridad nunca se alcanzarán niveles de seguridad satisfactorios.

De todo esto podemos desprender que la seguridad de la información es la disciplina que se encarga de gestionar el riesgo dentro de los sistemas informáticos.

NORMATIVA: debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico.

ORGANIZACIÓN: es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que sin él, nada es posible.

METODOLOGÍAS: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos, este es el segundo más importante.

PROCESAMIENTO: son los procedimientos operativos de las distintas áreas de la empresa. La tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: “UNA HERRAMIENTA NUNCA ES UNA SOLUCIÓN SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR”.

TECNOLOGÍAS DE SEGURIDAD: es donde están todos los elementos ya sean hardware o software, que ayudan a controlar un riesgo informático.

LAS HERRAMIENTAS DE CONTROL: son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.

Expectativas y Contextos de Seguridad

Por ejemplo, imagine que se ha comprado un candado para proteger la funda de su portátil. Una falsa expectativa en torno al candado sería esperar que nadie puede robarle el portátil: se equivoca, podrían llevárselo con candado incluido. Otra falsa expectativa sería confirmar en que nadie puede abrir la funda, simplemente podrían cortarla con una herramienta afilada. Por lo contrario, una expectativa realista sería que ningún compañero de trabajo podría acceder a su portátil mientras esta se encuentra en la funda. La probabilidad de que ellos lo roben o rompan la funda casi es nula, por lo que su expectativa se verá cumplida.

Como podrá verse, una misma medida de seguridad, en el ejemplo un candado, puede resultar adecuada o inadecuada en función de las expectativas y del contexto donde se aplica. Si el objetivo de seguridad es “Mis compañeros de trabajo no accedan a mi portátil”, entonces el candado es la solución adecuada. Si el objetivo de seguridad es “Ningún ladrón robará mi portátil” entonces el candado es insuficiente. En este caso, una medida adecuada sería utilizar unas esposas. Si el objetivo es “Ningún asesino profesional robará mi portátil”, las esposas seguramente resultarán ineficientes, para este caso posiblemente necesitaría un camión blindado custodiado por guardias armados.

Cada medición de seguridad deberá de aplicarse de acuerdo a un contexto determinado y solo podrá satisfacer unas determinadas expectativas.

Tan ridículo sería utilizar un camión blindado para proteger la portátil de una secretaria, como utilizar un candado para protegerlo de una banda armada.

Las medidas de seguridad no pueden entenderse fuera del contexto en el que se aplican ni al margen de las expectativas que buscan satisfacer. Si el objetivo es “Nadie accederá a los datos de mi portátil”, entonces la medida más adecuada será cifrar el disco; podrán robarle el portátil, pero no acceder a su información.

Otro factor que no puede dejarse de considerar para aplicar diversas medidas de seguridad son su coste de adquisición, de mantenimiento, de operación, facilidad de uso, aceptación de los usuarios, la percepción de los clientes, efectividad, etc.

La mayoría de las medidas de seguridad resultan insuficientes si se implantan aisladamente, por lo que deben de combinarse con muchas otras. Individualmente protegen de ciertas amenazas, mientras colectivamente protegen de todas las amenazas esperadas. Adviértase que no se dijo de todas las amenazas imaginables, sino solamente frente a aquellas amenazas que se consideran realistas.

Gestión de Riesgo

Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar deben reducirse a niveles aceptables. La determinación de este dependerá en gran medida de los objetivos de la organización, el valor de sus activos, de su dimensión y del presupuesto de seguridad. Lo más sorprendente es que en muchas organizaciones, esta reducción de riesgo se puede implementar con muy poco esfuerzo y una modesta inversión. Contrariamente de lo que se puede pensar, ni todas las amenazas de seguridad se deben a ataques maliciosos ni todos los ataques provienen desde el exterior. En primer lugar, los principales problemas de seguridad reales a los que se ven afectados los activos no tienen que ver con ataques informáticos, sino con fallos de software y hardware, errores de programación y/o administración, robo, fraude, derechos de autor o ingeniería social, por nombrar algunas.

En segundo lugar, los usuarios internos suponen la mayor fuente de amenazas, son los que mejor conocen el sistema, poseen acceso a veces ilimitado al mismo, saben cuáles son los activos más valiosos, en definitiva, pueden causar el mayor daño con la mayor impunidad.

En consecuencia, no todas las medidas de seguridad deben de basarse en la adquisición de hardware o software, sino también en la organización de tareas y responsabilidades, en la gestión racional de procesos y en la formación y concientización del personal.

El riesgo no puede eliminarse completamente, pero puede reducirse.

La seguridad de la información trata, por tanto, de proteger activos, tangibles, como por ejemplo, discos duros, o una base de datos con la información de clientes, como los intangibles, como por ejemplo la reputación, la privacidad, etc.

Antes de lanzarse ciegamente a implantar medidas de seguridad que no se sabe muy bien qué es lo que van a proteger ni contra qué, se debe de realizar un labor previa de análisis:

• Identificar cuáles son los activos a proteger de la organización. ¿Qué activos son los más valiosos? ¿Cuál es su valor? ¿Cuánto cuesta reponerlos si se pierden o degradan? ¿Es posible reponerlos?
• Identificar a las amenazas a las que están expuestas los activos: ¿Cuáles son las amenazas? ¿Qué agentes pueden realizar esas amenazas? ¿En qué circunstancias pueden producirse?
• Identificar los riesgos que suponen las amenazas para los activos: ¿Cuál es la probabilidad de que ocurra una amenaza? ¿Cuál es el coste tangible o intangible si una amenaza se materializa en un ataque?
• Identificar y evaluar el coste de las contramedidas a implantar para reducir o mitigar el riesgo: ¿De qué manera puede mitigarse el riesgo? ¿Cuánto cuesta implantar una contramedida? ¿Cuál es su eficiencia?

Como se verá, este análisis no es nada sencillo, y debido a su complejidad existen numerosas metodologías para la evaluación de riesgos, cada una haciendo hincapié en uno u otro aspecto. Una de las mayores dificultades prácticas en toda evaluación consiste en cuantificar el valor de los activos y costes asociados a los riesgos. Suelen utilizarse medidas cuantitativas, por ejemplo, la clasificación de riesgos en función de su coste económico para la organización y medidas cualitativas, por ejemplo, la ordenación de las amenazas en función de su nivel de riesgo y en función de escenario de ataque. Otra fuente de requisitos de seguridad viene dada por el conjunto de obligaciones legales, estatutarias y regulatorias que deberá de satisfacer la organización, como por ejemplo la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Y, por último, los propios principios y objetivos de la organización impondrán sus requisitos particulares para sostener sus operaciones.

Como ejemplo, una organización ha creado una lista de expectativas del tipo:

• El servidor de comercio electrónico no podrá estar fuera de servicio durante más de 5 minutos al año.
• Ningún empleado podrá ejecutar en su puesto de trabajo más software que el autorizado expresamente por el administrador.
• Ningún usuario que no esté autorizado podrá enviar correo electrónico con archivos adjuntos.
• Todos los usuarios deberán de cambiar su contraseña una vez al mes.
• Toda la información relativa a los proyectos, como ofertas, estudios de viabilidad, informes preliminares, etc. Se deberán de mantener en estricta confidencialidad tanto durante su almacenamiento como en la transmisión de los clientes.

Cada organización deberá crear una lista semejante, con sus propias prioridades. A menudo estas listas no están escritas ni formalizadas, sino que se asumen de manera tácita.

Planificación de la Seguridad

Cuando se improvisa sobres la marcha, se va reaccionando a las amenazas según estas se
presentan. Un día se pierde todos los datos críticos por un fallo de hardware y a partir de
entonces se pone en práctica un política de copias de respaldo, redundancia de hardware,
almacenamiento distribuido, para que no vuelva a pasar. Otro día un hacker entra en el servidor
Web modifica la pagina principal y se roba los datos de todos los clientes, así que a partir de
entonces se instala un cortafuegos, se segmenta la red se fortalece el servidor y se aísla la base
de datos. De esta manera se va avanzando a trancas y barrancas, a base de desastres.
Se pude ver que una organización que soluciona sus problemas mediante parcheos de ultima
hora, esta abocada al fracaso más que al éxito. Un componente clave para la buena marcha del
negocio radica en una buena planificación, con el fin de extraer el máximo partido de los recursos
disponibles.
Resaltaremos algunos conceptos fundamentales que pueden guiar a cualquier empresa en la
planificación de su seguridad:
• La planificación estratégica: Se realiza en los niveles de directivos más altos y se ocupa
de los objetivos a largo plazo de la organización de 5 a más años. Normalmente la
estrategia de seguridad proviene de una estrategia más general que atañe a toda la
organización, pero se centra en los objetivos específicos de seguridad de la
información. Por ejemplo
• La planificación táctica: Las frases generales de la planificación estratégica, apenas mas
que eslóganes, deben ir transformándose hacia objetivos mas concretos y aplicados.
Los planes estratégicos deben utilizar para crear planes tácticos, mas centrados en el corto plazo, como mucho a tres años. Los objetivos a largo plazo de la planificación
estratégica se descomponen en objetivos mas inmediatos, con fechas fijadas para su
éxito. La planificación táctica normalmente implica la contratación o acometida de
proyectos, la adquisición de productos, elaboración de presupuestos y la elaboración de
informes mensuales y anuales. El objetivo general de la Dirección se traduce en
objetivos más concretos: “todos los accesos externos a la intranet de alumnos deberán
estar controlados”, Todo el personal de la empresa debe de recibir formación y
concienciación en seguridad, etc.
• La planificación operativa: Los planes operativos se derivan de lo planes tácticos con el
fin de organizar las tareas del día a día.
Políticas de Seguridad
La planificación ayuda a plantearse objetivos realistas y definir las líneas de actuación que
permitan alcanzarlos. Una de las mejores formas de plasmar la actitud y expectativas de una
empresa y la conducta esperada de todos sus miembros en material de seguridad, consiste en la
elaboración de políticas de seguridad.
Las políticas delinean las reglas de la organización, esperan que sean seguidas por sus
miembros y las consecuencias derivadas de no cumplirlas. Constituyen la piedra angular para la
implantación de la seguridad. Las políticas pueden afectar a todos los recursos de la
organización: hardware, software, accesos, personal, comunicaciones, redes, contratación de
personal, etc., debiendo contemplar las áreas consideradas como más importantes para la
organización.
Una política de seguridad de la información completa y sólida suele comprender tres tipos de
políticas de seguridad:
• Política de seguridad de la información a nivel empresarial (Enterprise Information
Security Policy o EIPS): Cubre aspectos de interés para toda la empresa. Es la primera
en crearse. A partir de ella se van elaborando las demás centradas en resolver
problemas específicos. La política no debe experimentar cambios frecuentes, pues
perdería credibilidad, debe ser firmada por la alta dirección y estar en consonancia con
la estrategia general de la organización.
• Políticas de seguridad de asuntos específicos (Issue – Specific Security Policy o ISSP):
Se ocupa de asuntos específicos, como un determinado servicio de red, departamento o
función que no atañe a la organización en su conjunto. Normalmente constituyen una
guía detallada para instruir a todo el personal en el uso de sistemas basados en la
tecnología. Su propósito no es perseguir las acciones de los usuarios, sino sentar las
bases de lo que se considera un uso adecuado e inadecuado de la tecnología. Pueden
cubrir temas como el uso de correo electrónico, uso de la navegación Web, uso de
fotocopiadoras e impresoras, uso del teléfono, uso de los recursos de la empresa en el
hogar, etc.
• Políticas de seguridad de sistemas específicos (System Specific Policy o SysSP): Se
concentran en sistemas individuales o tipos de sistemas y prescriben en hardware o
software aprobados, delinean métodos para fortalecer un sistema o especifican los tipos
de cortafuegos u otras medidas de control. Normalmente funcionan como estándares o
procedimientos a la hora de configurar o mantener sistemas.
Desde otro punto de vista, las políticas se pueden clasificar como regulatorias, que discuten las
regulaciones y procedimientos a seguir cunado se aplica algún tipo de legislación o cumplimiento
a la actividad de la organización; Consultivas, que definen los comportamientos y actividades
aceptables y las consecuencias de su violación, correspondiendo a esta categoría la mayor parte
de las políticas; e Informativas, que proporcionan información o conocimiento a cerca de temas
específicos, como objetivos de la organización o interacciones con clientes y proveedores, no
siendo su cumplimiento obligatorio.
3.2 METODOLOGIA
Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal.
Las Metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo y
están directamente relacionadas con su experiencia profesional acumulada como parte del
comportamiento humano de acierto / error.
La metodología es necesaria para que un equipo de profesionales alcance un resultado
homogéneo tal como si lo hiciera uno solo, por lo que resulta habitual el uso de metodologías en
las empresas auditoras / consultoras.
METODOLOGIA DE EVALUACION DE SISTEMAS
• Amenazas
• Vulnerabilidad.
• Riesgo.
• Exposición o Impacto.
3.4 TIPOS DE METODOLOGIAS
3.4.1 Metodologías cuantitativas
Basadas en un modelo matemático numérico que ayuda a la realización de trabajo
3.4.2 Metodologías Cualitativas / Subjetivas
Basadas en métodos estadísticos y raciocinio humano. Precisa que profesional experimentado
este involucrado para la realización del trabajo. Pero requieren menos recursos humanos que las
metodologías cuantitativas.
Cualitativa Cualitativa / Subjetiva
Ventajas Enfoca pensamientos mediante
el uso de números.
Facilita la comparación de
vulnerabilidades muy distintas.
Proporciona una cifra
“justificante” para cada
contramedida
Enfoca lo amplio que se desee.
Plan de trabajo flexible y
reactivo.
Se concentra en la identificación
de eventos.
Desventajas Estimación de probabilidad
depende de estadísticas fiables
inexistentes.
Estimación de las pérdidas
potenciales solo si son valores
cuantificables.
Metodologías estándares.
Difíciles de mantener o
modificar.
Dependencia de un profesional.
Dependencia fuertemente de la
habilidad y calidad del personal
involucrado.
Puede excluir riesgos
significantes desconocidos
(depende de la capacidad del
profesional para usar el checklist/
guía).
Identificación de eventos reales
más claros al no tener que
aplicarles probabilidades
complejas de calcular.
Dependencia de un profesional.
3.4.3 Metodología Análisis de Riesgos
Este análisis tiene como objetivo identificar los riesgos, cuantificar su impacto y evaluar el coste
para mitigarlos. Como ya se menciono anteriormente lo que se pretende no es conseguir un
sistema seguro al 100%, sino reducir el riesgo a niveles aceptables. Tras la finalización del
análisis de riesgo, se puede realizar un análisis coste – beneficio (CBA) que compara el coste de
implantar las contramedidas con el coste de no utilizar contramedidas.
Existen muchas categorías de riesgo, como por ejemplo, daño a la información, lo que
representa una pedida de integridad, revelación de información, lo que supone una perdida de
confidenciabilidad, o perdida de información, que es una perdida de disponibilidad. Por otro lado,
existen numerosos factores de riesgo como por ejemplo el daño físico, fallos técnicos en el
funcionamiento, ataques internos o externos, errores humanos o errores en las aplicaciones.
Cada activo de información analizado posee como mínimo una categoría de riesgo asociada a
uno o mas factores de riesgo, siendo la exposición la posibilidad de que la amenaza se
materialice. Para reducir esta exposición o mitigar el riesgo aplican contramedidas.
Un riesgo para un sistema informático esta compuesto por la terna, activo, amenaza y
vulnerabilidad.
Activo: Sistema o conjunto de sistemas sobre los que se desea calcular el riesgo
asociado. El activo tendrá un valor, el cual consistirá en la suma de todos los costes
necesarios para volver a la normalidad ante un ataque a su seguridad. Contara por tanto
los costes de adquisición, coste de puesta en marcha, coste de daño de imagen ante
pérdida o difusión de información confidencial, pago de multas, etc. Para realizar un
análisis de riesgo exhaustivo se deberá valorar primero los activos adecuadamente
para poder conocer el valor de su pérdida y así priorizar lo mas importantes ENCASO
de necesidad. Los activos pueden dividirse en tangibles o intangibles; en el primer
grupo se incluyen los ordenadores, los archivos, el software, etc. Y en el segundo grupo.
La seguridad del personal, la imagen pública, la cartera de clientes, la información de
configuración. etc.
• Amenaza: Las amenazas comprenden todos los agentes que pueden atacar a un
sistema. Son amenazas por ejemplo las catástrofes naturales, cortes de tensión, virus o
los hackers. En definitiva, existen múltiples amenazas de las cuales un sistema no se
puede librar. Cuanto mayor sea su grado de exposición, probablemente posea mas
amenazas.
• Vulnerabilidad: Una vulnerabilidad es un punto en el que un recurso es susceptible de
ataque. Los sistemas poseen un grado de facilidad para se atacados. Cuantas mas
vulnerabilidades poseen tanto mayor será la probabilidad de que sean atacados con
éxito. Las vulnerabilidades son paliadas mediante contramedidas.
A la vista de estos conceptos, un ataque se definiría como la explotación deliberada de una
vulnerabilidad por un agente amenazador para causar pérdida, daño o revelación de activos.
amenazas vulnerabilidades
activos
contramedidas
exposición
riesgo
explotan
resultando
en
representando
mitigado por
protegen
en peligro por
Cuando se esta expuesto a un riesgo, se debe decidir que hacer con el: reducirlo, transferirlo o
asumirlo. La primera opción consiste en mitigarlo, para ello se deberán tomar medidas para
contrarrestarlos y minimizar los riesgos, teniendo un activo de menor valor o disminuyendo las
vulnerabilidades. La segunda opción pasa por transferir el riesgo, una agencia de seguros, por
ejemplo, puede asumir el coste en caso de un incidente por una cantidad menor que el valor de l
s activos. El tercer caso es más sencillo, la dirección asume que posee un riesgo y es conciente
de ello, pero ni desea reducirlo ni transferirlo, dado que se entiende que la situación de
aceptación es lo mejor para el negocio.
Los análisis de riesgos pueden realizarse de dos modos:
3.4.3.1 Metodologías cuantitativas
En este tipo de análisis se toma en consideración dos factores, la probabilidad o frecuencia, de
que un evento ocurra esta basada en las diferentes bitácoras, logs y reportes de incidentes, así
como la cantidad económica perdida en caso de ocurrencia. En el presente análisis se calcula la
perdida anual estimada (ALE), o los coste estimados anuales (EAC). Para realizar los cálculos
basta con multiplicar la pérdida potencial por su probabilidad. Con estos cálculos se puede medir
de manera teórica las pérdidas y tomar así decisiones. El problema con este tipo de metodología
se presenta con la imprecisión en la calidad de los datos, tanto por su propia naturaleza como
por obviar multitud de eventos potenciales que pueden ocurrir y son pasados por alto. Entre las
herramientas que utilizan esta metodología tenemos:

f