TEAXUL S.A. Y CESCA AUDITORIAS 1
2 TEAXUL S.A. Y CESCA PRESENTACIÓN José Luis Rivas LópezL jlrivas@teaxul.com Carles Fragoso i Mariscal cfragoso@cesca.es
3 Índice Introducción Fases Áreas Evaluación de riesgos Fuentes Tipos Física Lógica Desarrollo de aplicaciones Comunicaciones y redes Certificaciones
4 Introducción No se conocen datos completos y fiables sobre el nivel de protección de las entidades en España Una frase que describe el estado actual: No pasan más cosas porque Dios es bueno No conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades afectadas de que no se difundan
5 Fases (I) Nº 1 2 3 4 FASE Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria. Análisis de posibles fuentes y recopilación de información. Determinación del plan de trabajo y de los recursos y plazos. Adaptación de cuestionarios.
6 Fases (II) Nº 5 6 7 8 Realización de entrevistas y pruebas Análisis de resultados y valoración de riesgos Presentación y discusión del informe provisional Informe definitivo FASE
7 Áreas (I) Controles directivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité. Desarrollo de políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas
8 Áreas (II) Marco jurídico aplicable Amenazas físicas externas: inundaciones, incendios, terremotos, etc. Control de acceso adecuado tanto físicos como lógicos
9 Áreas (III) Protección de datos. Aplicación de la LOPD. Comunicaciones y redes: topología, cifrado, etc. Desarrollo de aplicaciones en un entorno seguro: incorporen controles en los productos desarrollados y que éstos resulten auditables.
10 Evaluación de riesgos (I) Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen Para evaluarlos habrá que considerar: el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, marco legal aplicable, etc.
11 Evaluación de riesgos (II) El factor humano es el principal riesgo a considerar, salvo excepciones (sistemas automatizados) Habrá que considerar si la seguridad es realmente una preocupación corporativa, es decir, si tienen una cultura de la seguridad
12 Evaluación de riesgos (III) Una vez identificados y medidos los riesgos, lo mejor será eliminarlos y si no se pudiese reducirlos al máximo. Otra posibilidad es asumir los riesgos. Problemas: Las medidas deberán considerarse como inversiones en seguridad, aunque en algunos casos es difícil comprobar su rentabilidad.
13 Fuentes (I) Políticas, estándares normas y procedimientos. Planes de seguridad. Contratos, pólizas de seguros. Organigrama y descripción de funciones. Documentación de aplicaciones Descripción de dispositivos relacionados con la seguridad
14 Fuentes (II) Manuales técnicos de sistemas operativos o de herramientas. Inventarios: de soportes, de aplicaciones Topología de redes Planos de instalaciones Registros: de problemas, de cambios, de visitas, de accesos lógicos producidos.
15 Fuentes (III) Entrevistas a diferentes niveles Ficheros Programas La observación Documentación de planes de continuidad y sus pruebas Informes de suministradores o consultores
16 Seguridad Física (I) Se evaluarán las protecciones físicas de datos, programas, instalaciones, equipos, redes, soportes y sobre todo a las personas. Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, etc.
17 Seguridad Física (II) Desde la perspectiva de las protecciones físicas: o Ubicación de los servidores o cualquier elemento a proteger (portátiles, terminales en zonas de paso, etc). o Estructura, diseño, construcción y distribución de los edificios o Riesgos a los que están expuestos, tanto por agentes externos, causales como por accesos físicos no controlados.
18 Seguridad Física (III) o Controles preventivos. o Control del acceso o Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible transporte. Todos los puntos anteriores pueden estar cubiertos por seguros.
19 Seguridad Lógica Es necesario verificar que cada usuario sólo pueda acceder a los recursos a los que le autorice el propietario. Será necesario revisar cómo se identifican y sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre cuando se producen transgresiones o intentos: quién se entera y cuándo y que se hace
20 Desarrollo de aplicaciones (I) El pase al entorno de explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o bien por auditores preparados, a fin de determinar la ausencia de caballos de Troya, bombas lógicas, puertas traseras, además de la calidad
21 Desarrollo de aplicaciones (II) La protección de los programas: sean propiedad de la entidad, realizados por el personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso.
22 Comunicaciones y redes (I) En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado.
23 Comunicaciones y redes (II) En función de la clasificación de los datos se habrá previsto el uso del cifrado. Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos autorizados
24 Comunicaciones y redes (III) Existirán protecciones frente accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo correo-e. Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate de transferencia de fondos o comercio-e.