La Auditoría de la Seguridad Lógica.
La seguridad lógica puede pasar desapercibida para la Alta Dirección, dado que representa la confianza que se tiene en que la Gestión de TI ha tomado las precauciones necesarias para salvaguardar los datos y garantizar que nadie sin acceso autorizado podrá ver, manipular o extraer nuestros datos. Debido a que la seguridad lógica es la principal frontera que se establece entre nuestros datos y el personal autorizado, la conveniencia de tener un aseguramiento de su correcta administración resulta más que evidente. Esto es especialmente importante, si tomamos en cuenta que los estudios sobre seguridad de la información nos dicen que las mayores fuentes de amenazas a la seguridad de la información son internas. Por supuesto, las amenazas externas siempre existen y hay que anularlas y establecer las medidas necesarias para garantizar que personas ajenas a la organización lleguen a nuestros servidores a extraer datos o tomar control de nuestras operaciones. A este respecto, ya vimos la semana pasada, en la República Mexicana, un ataque masivo a sitios de gobierno y de medios de comunicación. Esto nos indica que las amenazas externas existen, por lo que no hay que esperar que nos pase a nosotros y tener las debidas medidas de seguridad configuradas para proteger lógicamente todos los activos informáticos.
En la administración de la seguridad lógica intervienen muchos componentes, dado que se refiere a las configuraciones que permiten acceder hasta los datos. Para ser puntual, los datos normalmente residen en servidores de bases de datos, colocados en algún lugar de la red institucional, con equipos de comunicaciones mediando entre las estaciones clientes y los datos. Proveer acceso a los datos normalmente debe de seguir una cadena de permisos de acceso. Los permisos pueden incluir: acceso a la red, al dominio, a la aplicación y a la base de datos. La permisividad que se da a los usuarios sobre los datos, depende del nivel de confianza y de responsabilidades asignadas a los mismos. Adicionalmente, la Gestión de TI debe de asegurarse que en cada equipo o componente, se han reducido o limitado las posibilidades de que una persona tome control sobre el componente, permitiendo asignar permisos a su discreción.
La Auditoría de Sistemas cuando revisa la seguridad lógica verifica que existan los procedimientos necesarios para controlar todos los componentes y que las configuraciones de cada componente no permiten que se puedan acceder sin conocimiento de la Gestión de TI. Una Auditoría más profunda, pasa a la revisión de permisos específicos asignados por usuario, de tal forma que se establezca que no existen accesos y privilegios asignados adicionales a los necesarios para cumplir con su perfil de trabajo. Incluso se puede llegar a utilizar herramientas de “hackeo ético”, para lograr probar que la infraestructura lógica está bien configurada y no está dejando vulnerabilidades expuestas. Este análisis realizado por la Auditoría de Sistemas provee a la Alta Dirección un nivel adicional de garantía de que la seguridad lógica esta siendo bien administrada y en el peor de los casos, si el análisis de Auditoría de Sistemas descubre hallazgos, de que medidas correctivas se están tomando y la seguridad lógica del acceso a datos será mejorada.
Publicado el 17 de septiembre de 2012 en Auditoría de TI y etiquetado en Asignación de Privilegios, Auditoría de Sistemas, Auditoría de TI, Control de Accesos, Seguridad Lógica. Guarda el enlace permanente. Deja un comentario.
Deja un comentario
Comments 0