miércoles, 21 de enero de 2009

La función de auditoría como mecanismo de seguridad

Aunque ultimamente ando muy saturado de trabajo, en el Blog del Inteco dejo unas reflexiones sobre la importancia de la función de la auditoría en los actuales sistemas de información. Os extracto algunas partes y os invito a pasar por el Blog del Inteco para leer el texto completo.

En estos últimos tiempos se viene hablando de la necesidad de mejorar los mecanismos de control sobre diferentes actividades, en general, de gestión económica dentro de las grandes compañías y empresas, para generar confianza y evitar el fraude. Las organizaciones han incorporado a su funcionamiento las ventajas de las tecnologías de la información, modificando sus procesos de negocio para mejorar el rendimiento y la productividad. Sin embargo, en el diseño de estos sistemas de información, desde el comienzo, ha primado el rápido funcionamiento y la puesta en marcha de los servicios sin parar mucho a pensar en la fase de diseño, en mecanismos de control y auditoría sobre los procesos. Llega actualmente el momento en el que esas desconsideraciones sobre la importancia de garantizar la fiabilidad de los procesos que han sido automatizados están poniendo de manifiesto una gran preocupación por la gestión y control de las tecnologías de la información, ya que han dado lugar a la aparición de nuevos riesgos no identificados debido principalmente a la complejidad de la infraestructura, la alta dependencia de la organización sobre los sistemas de información y los abusos de privilegios por parte de usuarios legítimos.

Fruto de esta preocupación puede entenderse el interés y la demanda que actualmente tienen las normas, recomendaciones y estándares considerados buenas prácticas de gestión de la tecnología, como pueden ser la norma ISO 27001, que especifica los requisitos para la construcción de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la norma ISO 20000, que establece los requisitos para la construcción de Sistemas de Gestión de Servicios de Tecnologías de la Información (SGTI).

En términos técnicos, una auditoría viene definida por el establecimiento de cuatro aspectos relacionados con la actividad auditora:
  • Objetivo.

  • Evidencias.

  • Independencia.

  • Conclusiones.


Estos cuatro conceptos establecen los pilares de una posible definición de auditoría que sería “el proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.”

La Auditoría de Sistemas de Información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias.

La auditoría de sistemas de seguridad es una medida de seguridad que debe ser considerada por su importancia, dado que permite detectar deficiencias antes de que éstas puedan ser utilizadas o puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo que evita los abusos de poder.

Al igual que es un tópico de seguridad el tema del conocido post-it con la contraseña al lado del equipo al que permite el acceso, los logs que no son nunca consultados son otro que suele repetirse cuando se revisan sistemas de información. Estas trazas auditables informan de situaciones anómalas en el momento en que se producen y proporcionan pruebas electrónicas que puedan ser utilizables en caso de finalmente llevar al campo jurídico la denuncia correspondiente. Sin embargo, la práctica habitual es la de no mirar los logs y además, no conservarlos con garantías jurídicas suficientes para que puedan ser utilizados como evidencia en juicio. Es otro tópico más en el que se demuestra que la "sensación de protección" no se corresponde para nada con la seguridad efectiva que realmente se tiene ni con el objetivo que justifica el esfuezo económico que se hace para disponer de espacio para su almacenamiento. Los logs cuestan dinero pero si no cumplen con el objetivo por el que se recogen y almacenan, mejor no hacer nada.

Respecto a la normalización de la prueba electrónica, habrá que estar atentos a los trabajos de la Asociación Española de Evidencias Electrónicas (AEDEL) que nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.
 
;