Please enable JavaScript.
Coggle requires JavaScript to display documents.
AUDITORÍA DE LA SEGURIDAD - Coggle Diagram
AUDITORÍA DE LA SEGURIDAD
Introducción
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoria informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditoria, puede existir auditoria de otras áreas, y queda un espacio de encuentro: la auditoria de la seguridad y cuya área puede ser mayor o menor según la entidad y el momento.
Áreas que puede cubrir la auditoría de la seguridad
Se incluyen las que con carácter general pueden formar parte de Ios objetivos de una revisión de la seguridad, si bien ésta puede abarcar sólo parte de ella si así se ha determinado de antemano.
Áreas generales citadas
El desarrollo de las políticas:
Procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas.
Amenazas físicas externas:
Inundaciones, incendios, explosiones, corte de líneas o de suministros, terremotos, terrorismo, huelgas...
Protección de datos:
Lo que fije la LOPD en cuanto a los datos de carácter personal bajo tratamiento automatizado, y otros controles en cuanto a los datos en general, según la clasificación que exista, la designación de propietarios y los riesgos a que estén sometidos.
Comunicaciones y redes
Topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus, éstas también en sistemas aislados aunque el impacto será menor que en una red
El entorno de Producción, entendiendo como tal Explotación más Técnica de Sistemas, y con especial énfasis en el cumplimiento de contratos en lo que se refiera a protecciones, tanto respecto a terceros cuando se trata de una entidad que presta servicios, como el servicio recibido de otros, y de forras especial en el caso de la subcontratación total o outsourcing.
Sistema de control interno
El sistema de control interno ha de basarse en las políticas, y se implanta con apoyo de herramientas, si bien encontramos a menudo en las auditorias que lo que existe es más bien la implantación parcial de controles de acceso lógico a través de paquetes o sistemas basada en el criterio de los técnicos, pero no sustentada en normativa, o bien habiendo partido ésta de los propios técnicos, sin aprobaciones de otro nivel.
Objetivos de control
Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguridad y otras áreas, y crear y mantener un Sistema de Control Interno (funciones, procese* actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de control.
Grupos de controles
Controles directivos
Que son los que establecen las bases, como las política o la creación de comités relacionados o de funciones: de administración de seguridad o auditoría de sistemas de información interna.
Controles preventivos
Antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad lógica).
Controles de detección
Como determinadas revisiones de accesos producido la detección de incendios.
Controles correctivos
Para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia.
Controles de recuperación
Facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un plan de continuidad adecuado.