Escolar Documentos
Profissional Documentos
Cultura Documentos
Doctor en Informática.
Socio-Director de Informáticos Europeos Extertos (IEE)
1. Introducción
•* Miguel A. Ramos, Doctor en Infmmática (tesis sobre A.I.), CISA (Certified Information
Systems Auditor por ISACF), del Comité Directivo de OAI - !SACA; profesor de A.I. en la
Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de lEE -
Informáticos Europeos Expertos. E-mail: mramos@iee.es.
fnj{mnática y Derecho
657
Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso
electrónico de datos, pero también hablábamos de mecanización antes de eso. No
se trata al1ora de una modernización de términos sino de una nueva orientación
de es te tipo de auditoría, que puede abarcar globalmente los sistemas de
información: la planificación, el grado de alineamiento con las estrategias de las
entidades, cómo los SI y el aprovechamiento de las TI aportan ventajas
competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad
de todo ello, que es quizá el único punto que personalmente temo cuando se nos
sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría:
algunas entidades tienen detallados sus costes (contabilidad analítica), pero ¿cómo
cuantificar los auditores en algunas semanas las ventajas y los beneficios si la
propia entidad no ha podido hacerlo en toda su existencia?
2. Justificación
Por tanto, los auditores es tamos habituados a tener que auditar sistemas de
información en entidades sin políticas, con un marco legal incompleto, y usando
estándares internacionales, que a menudo los auditados ponen en tela de juicio
porque no están oblig-ados a cumplirlos.
658
también surgen nuevos controles, técnicas y herramientas, si bien es aún largo
el camino que queda en la protección.
En defmitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan las
entidades de que no se difundan.
·Controles directivos, que son los que establecen las bases, como las propias
políticas, o la creación de funciones: de administración de seguridad o auditoría
de S.I. interna.
·Controles preventivos: antes del hecho, como la identificación de visitas o
las contraseñas.
fllj(mnática y Derecho
659
·Controles correctivos, para rectificar errores o acciones intencionadas, como
la recuperación de un archivo dañado desde una copia.
660
El sistema de control interno se basa en las políticas, y en parte se puede
implantar con apoyo de herran1ientas, si bien encontramos a menudo que lo que
existe es más bien la implantación basada en el criterio de los técnicos, pero no
sustentada en nom1ativa, o habiendo partido ésta de los propios técnicos, sin
aprobaciones de otro nivel.
Más difícil que entre control y auditoría puede resultar matizar las diferencias
entre auditoría e inspección, y no bastaría con decir que inspección es el
concepto clásico y auditoría es un concepto anglosajón y de orientación moderna,
aunque el término auditoría provenga del latín y los antiguos ya llevaran a cabo
auditorías, al parecer principalmente escuchando las declaraciones de los
auditados.
Informática y Derecho
661
En realidad el concepto que tienen muchos respecto a la auditoría de S.L no
es exacto, y a menudo la confunden con la auditoría de cuentas con ayuda del
ordenador, si bien es claro que el objeto a examinar en ese caso son los estados
contables, balances y otros documentos y aun ficheros de ordenador (incluso con
ayuda de paquetes) pero no deja de ser el ordenador el medio o la herramienta, no
el objeto.
el entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin
que sea con carácter excbgente):
equipos,
sistemas operativosy paquetes,
aplicacionesy elproceso de su desarrollo,
organización y fimciones,
las comunicaciones,
la propia gestión de los recursos informáticos,
la calidad de procesosy productos
las políticas, estándares y procedimientos en vigor etz la entidad, su idoneidad así como el
cumplimiento de:
662
dichas políticas, estándaresy procedimientos,
los objetivos fijados,
los planes,
los presupuestos,
los contratosy las normas legales aplicables,
5. El auditor en S.I.
Informática y Derecho
663
auditoría general o se forma a auditores en otras áreas en auditoría en S.I. La
independencia se consigue en parte ubicando la función en el lugar adecuado del
organigrama, fuera en todo caso del área de S.I., circunstancia que no se cumple
en gran número de entidades en Espall.a.
6. Auditoría de la Seguridad
664
Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en
formación e información adecuada al personal, empezando por la
mentalización a los directivos para que, en "cascada", afecte a todos los niveles
de la pirámide organizativa.
lnfimnática y Derecho
665
presupuesto para ello no es suficiente, si las personas a diferentes niveles están
mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o
apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo
de seguridad se quiere implantar o se ha implantado, qué políticas y
procedimientos existen: su idoneidad y grado de cumplimiento, así como la forma
en que se realiza el desarrollo: en un entorno seguro y con inclusión de controles
en las aplicaciones, si el proceso se lleva a cabo igualmente en un entamo seguro:
separación de programas y separación en cuanto a datos, si los seguros cubren !os
riesgos, pero sin que sea ésta la única medida de protección, y si está prevista la
continuidad de las operaciones en el caso de incidencias.
Lo mejor sería poder eliminar los riesgos en todos los casos, pero
normalmente lo más que conseguin1os es disminuir o la probabilidad de que algo
se produzca o bien su impacto: con sistemas de detección, de extinción, mediante
revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros
controles según los casos.
666
Finalmente otra posibilidad es asumir los riesgos, pero debe hacerse a un
nivel adecuado en la entidad, y considerando si puede ser mayor el coste de la
inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido
algo. ¿Cuál es el máximo admisible de riesgo que puede permitirse una entidad?
Depende de lo crítica que sea para ella la información y disponer de ella, e incluso
puede depender del momento: es un tema tan grave que no puede generalizarse la
respuesta ni decidirla un administrador de seguridad.
Volviendo a los aspectos físicos, que son una de las barreras más visibles,
hay puntos a considerar en la auditoría, desde el emplazamiento del centro de
procesos o de los servidores y terminales, el control de accesos, el uso de llaves,
protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la
energía; respecto a la continuidad en general es fundan1ental disponer de copias
actualizadas en un lugar adecuado.
-La contraseña debe ser fácil de recordar por el verdadero usuano, para
evitar que la tenga que escribir, y difícil de imaginar por otros.
fnj(mnática y Derecho
667
contraseña.
·En todo caso es necesario investigar los intentos de acceso fallidos para
verificar si se trata de errores del usuario o intentos de suplantación.
-Las contraseñas han de tener una vigencia limitada, por ejemplo treinta
días; incluso las puede haber de un sólo uso.
Criterios de asignación:
En todo caso debe fijarse una longitud mínima según la criticidad de lo que
se quiere proteger: el código que usan1os para los cajeros de entidades fmancieras
tiene 10.000 posibilidades (10 4), pero si ampliamos la longitud a seis, y utilizamos
además de cifras las letras (unas 26 si el sistema no admite diferenciar mayúsculas
y minúsculas) y algunos símbolos como *, $... (pensemos que hasta cinco
símbolos) tenemos 416 posibilidades .
668
disminuye la seguridad.
·Se puede elegir una letra (por ejemplo la primera) de cada palabra de una
frase: refrán, título de una película ...
·O bien tomar una palabra de un libro (incluso siempre del mismo) y del que
anotamos pág-ina, línea y número de palabra, en vez de anotar la contraseña.
·Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas
de gmpo o depattamentales, para poder saber quién hizo qué (además de cuándo
y desde dónde) y poder exigir responsabilidades.
Los métodos modernos son mucho más complejos y sus algoritmos más
sofisticados, aunque en muchos casos basados en la sustitución y transposición,
lnjl!rmática y Derecho
669
pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC.
El más extendido en aplicaciones comerciales, aw1que muy discutido en los
últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con
el nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave
para descifrar es la misma c1ue para cifrar.
Entre los sistemas asimétricos de clave pública des taca RSA (de sus autores
"Rivest, Shamir, Adleman"), basado en las propiedades de los números primos
relativos y los residuos cuadráticos.
Deben limitarse los intentos de acceso para evitar que accedan suplantadores
por intentos sucesivos, y en algunos casos es preferible establecer una llamada de
retorno: el sistema identifica al usuario que quiere acceder y le obliga a "colgar"
para ser el propio sistema el que llama a la dirección registrada como válida.
E n el caso de las redes locales, son aplicables muchos de los controles de las
grandes redes, además de establecer controles específicos de prevención y
detección de vims y proteger la configuración de manera que los usuarios sólo
puedan realizar las funciones auto rizadas, en cuanto a cambios, carga de
progran1as, transferencia de ficheros, y otras, para evitar fugas de datos,
introducción de vims y carga o copias "pirata" de programas.
670
incontroladas de esos datos?
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (cormptas se
dice a veces), lo que haría difícil la reconstrucción.
Por tanto, los datos son uno de los activos que más y mejor debemos
proteger, hasta el punto de que en muchas multinacionales la función que
conocemos como administración de seguridad se llan1a data secttriry: es necesaria la
designación de propietarios, clasificación de los datos, restricción de su uso para
pmebas, inclusión de muescas para poder detectar usos no autorizados, así como
aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se esté
lnjármática y Derecho
671
utilizando.
Uno de los primeros pasos que deben dar las entidades es la clasificación de
la información: definición de unos cuantos niveles y asignación de categorías,
como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta, e
incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar.
De este modo se podrá defmir qué pueden conocer los empleados de tal
departamento, o restringir la variación de determinados datos a tal función.
Como sobre todo en las entidades grandes y medias los sistemas se basan en
redes de redes, con conexiones internas y externas, es necesario proteger y
controlar los sistemas frente a posibles transferencias de ficheros, ya que los
datos que pueden estar perfectamente protegidos en equipos centrales, una vez
que son transferidos a redes con menor protección pueden a su vez transferirse a
equipos de uso personal e incluso portátiles.
672
con la misma etiqueta de seguridad que hayan podido tener inicialmente según su
clasificación.
lijfórmúrica y Derecho
(;73
los clientes, y también pensando en los empleados y en los proveedores.
7. Auditoría de la Gestión
Es una de las áreas más novedosas para los auditores, hasta el punto de que a
veces en los cursos nos preguntan, incluso profesionales con experiencia, si
realmente tendrían que abordar tan1bién estas áreas .
·Organigrama adecuado.
·Contratos.
-La llamada informática de usuario fmal, así como la existencia del gran
almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería de
datos o Data Mining.
674
8. Auditoría del Desarrollo de Aplicaciones
El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en
muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y
programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación
(por parte de los usuarios, por la unidad de producción o explotación, y por el
área de mantenimiento de aplicaciones), además de considerar la posibilidad de
lanzar versiones alfa y beta, y realizar paralelos.
9. Auditoría de la Producción
lnj(mnática y Derecho
675
lo que se quiera verificar.
11. El informe
En cada punto que se incluya debe explicarse, siempre que sea posible, por
qué es un incumplimiento o una debilidad, y alguna recomendación, a veces
abarcando varios puntos.
12. Conclusión
676
puntos. Puede ser también una profesión con futuro cuando la auditoría _:
despegue.
Informática y Derecho
677
.. '
13.ANEXOS
678
Rolling Meadows, IL 60008 Estados Unidos
Fax: 07-1-708-253-1443
Informática y Derecho
679
REVISTAS Y PUBLICACIONES
Cuadernos de Seguridad
Avda. de la Industria, 32, nave 2
28100 ALCOBENDAS (Madrid)
680
Computers Security Journal
Computer Security Institute
600 Harrison St.,
San Francisco, CA 94107 Estados Unidos
Tel: 415-905-2626
Fa.,'{: 415-905-2218
Auditor Journal
ISACA,
3701 Algonquin Rd., Suite 1010,
Rolling Meadows, IL 60008 USA
Phone 1-708-253-1545
Fax 1-708-682-4010
ISSAJournal
Dain Gary, Software Engineering Institute
Carnegie Mellan University
Pittsburgh, PA 15212 Estados Unidos
Tel: 1-412-268-5724
Fa.x 1-412-268-6989
Security Management
American Society for Industrial Security,
1655 North Fort Myer Drive, Suite 1200,
Arlington, VA 22209 USA
Tel: 1-703-522-5800
Fax 1-703-243-4954
lnj(mnática y Derecho
681
BIBLIOGRAFÍA
Bruce, Glen y Dempsey, Rob. Secttriry In Distributed Computing: Did You Lock the
Door?. Prentice Hall. 1996.
Castano, S., Fugini, M., Maetella, G., Samarati, P. Database Secun'ry. Addison
Wesley, 1994.
682
Davara, Miguel Ángel. De las Autopistas de la Información a la Sociedad Virtual.
Editorial Aranzadi. Pamplona, 1996.
Davies, D . W. and Price, W. L. S ecuriry for Computer Net1vorks. J ohn Wiley & Sons.
Del Peso, Emilio, Miguel A. Ramos et al. Manual de Dictámenesy Peritqjes. Editorial
Diaz de Santos, Noviembre 1995. Madrid.
Eloff,J. H. P . and Von Sloms, S. H. Information Securiry- the Next Decade. Chapman
& Hall. May, 1995.
Geyelin, Milo. W-?Y Many Businesses Can't Keep Their Secrets. The Wall Street Joumal,
20 Noviembre, 1995.
Informática y Derecho
683
----- COBIT: Control Objectives for Itiformation and Related Technology. Abril, 1996.
IT security: the need for internacional cooperation. Proceedings if the IFIP TCII
International Coriference on Information Secttriry. Singapur. Mayo, 1992
Longley, Dennis and Shain, Niichael. Data & Computer Secun·ry. Macmillan
Publishers, Ltd.
Palmer, l. C. and Potter, G.A. Computer Secun·ry- Risk Management. Jessica Kingsley
Publishers.
Perry, William E. and Kuong, Javier F. EDP Risk Anafysis and Control Justification.
Piattini, M.G. Control interno y auditoría en un entorno de bases de datos relacionales. Parte
I y JI. Revista Base no 21, noviembre 1992 y n° 22, abril 1993.
684
-----La Auditoría de la seguridad informática. Revista CHIP. Marzo, 1992.
----- Glosario de Términos de Segundad de fas T.I. Ediciones CODA. Madrid, Abril
1997.
685
Security. Module 9. Systems Auditability and Control. The Institute Interna/ Auditors
Research Foundation. Altamonte Springs, 1991.
Simpson, Glenn R. A '90s Espionage Tale Stars Software Riva/s, E-Mai/ Spy. The Wall
StreetJournal, 25 Octubre, 1995.
~iyan, K., Hare, Ch. Internet Firewa//s and Network Securiry. New Riders publishing,
1995.
Stalling, William. Network and InternetJvork Securiry: Principies and Practice. Prentice
Hall. 1995
The EDP Audit, Control, and Securiry Newsletter. EDPACS. Auerbach Publications.
Vallabhaneni, Rao. Auditing computer secun·ry. A manual with case studies. John Wiley
& Sons, 1989.
Wong, Ken y Watt, Steve. Managing Itifórmation Secun·ry. Elsevier, 1990 (Gran
Bretaña).
686
ALGUNAS DIRECCIONES "WEB"
/ /www.acl.com Herramientas para auditoría
/ /www.aenor.es Asociación Española de Normalización
/ /www.amazon.com Libros
/ /www.ansi.org American Nacional Standards Institute
/ /www.auditserve.com Articulas, noticias
/ /www.bibliomania.com Libros
/ /www.booksatoz.com Libros
/ /www.bookshop.com Libros
/ /www.bookwire.com Libros
/ /www.compubooks.com/books .html Localización de libros de informática
/ /www.datapro.com Datapro
/ /www.echo.lu Comisión Europea
/ /www.elservier.com Libros, revistas, congresos
1/www.etsi.fr European Telecomunications Standards Institute
/ /www.fundesco .es Consulta catálogos de bibliotecas
/ /www.hp.com 1/www.hp.es Hewlett Packard mundial / española
1/www.ibm.com / /www.ibm.es IBM Mundial / española
/ /www.iee.es IEE - Infotmáticos Europeos Expertos
/ /www.ifip .or.at IFIP
/ /www.iso.ch Internacional Standards Organization
/ /www.it-ch.com Chapman & Hall (Libros sobre TI)
/ /www.mec.es Educación y Ciencia(+ información tesis: teseo)
/ /www.microsoft.com
1/www.ovum.com Informes Técnicos
1/www.rsa.com Algoritmo de cifrado
/ /www.uned.es Universidad Nacional de Educación a D istancia
/ /www.wiley.com Libros técnicos
Informática y Derecho
687