La Auditoría de la Seguridad Lógica.

La seguridad lógica puede pasar desapercibida para la Alta Dirección, dado que representa la confianza que se tiene en que la Gestión de TI ha tomado las precauciones necesarias para salvaguardar los datos y garantizar que nadie sin acceso autorizado podrá ver, manipular o extraer nuestros datos. Debido a que la seguridad lógica es la principal frontera que se establece entre nuestros datos y el personal autorizado, la conveniencia de tener un aseguramiento de su correcta administración resulta  más que evidente. Esto es especialmente importante, si tomamos en cuenta que los estudios sobre seguridad de la información nos dicen que las mayores fuentes de amenazas a la seguridad de la información son internas. Por supuesto, las amenazas externas siempre existen y hay que anularlas y establecer las medidas necesarias para garantizar que personas ajenas a la organización lleguen a nuestros servidores a extraer datos o tomar control de nuestras operaciones. A este respecto, ya vimos la semana pasada, en la República Mexicana, un ataque masivo a sitios de gobierno y de medios de comunicación. Esto nos indica que las amenazas externas existen, por lo que  no hay que esperar que nos pase a nosotros y tener las debidas medidas de seguridad configuradas para proteger lógicamente todos los activos informáticos.

En la administración de la seguridad lógica intervienen muchos componentes, dado que se refiere a las configuraciones que permiten acceder hasta los datos. Para ser puntual, los datos normalmente residen en servidores de bases de datos, colocados en algún lugar de la red institucional, con equipos de comunicaciones mediando entre las estaciones clientes y los datos. Proveer acceso a los datos normalmente debe de seguir una cadena de permisos de acceso. Los permisos pueden incluir: acceso a la red, al dominio, a la aplicación y a la base de datos. La permisividad que se da a los usuarios sobre los datos, depende del nivel de confianza y de responsabilidades asignadas a los mismos. Adicionalmente, la Gestión de TI debe de asegurarse que en cada equipo o componente, se han reducido o limitado las posibilidades de que una persona tome control sobre el componente, permitiendo asignar permisos a su discreción.

La Auditoría de Sistemas cuando revisa la seguridad lógica verifica que existan los procedimientos necesarios para controlar todos los componentes y que las configuraciones de cada componente no permiten que se puedan acceder sin conocimiento de la Gestión de TI. Una Auditoría más profunda, pasa a la revisión de permisos específicos asignados por usuario, de tal forma que se establezca que no existen accesos y privilegios asignados adicionales a los necesarios para cumplir con su perfil de trabajo. Incluso se puede llegar a utilizar herramientas de “hackeo ético”, para lograr probar que la infraestructura lógica está bien configurada y no está dejando vulnerabilidades expuestas. Este análisis realizado por la Auditoría de Sistemas provee a la Alta Dirección un nivel adicional de garantía de que la seguridad lógica esta siendo bien administrada y en el peor de los casos, si el análisis de Auditoría de Sistemas descubre hallazgos, de que medidas correctivas se están tomando y la seguridad lógica del acceso a datos será mejorada.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 17 de septiembre de 2012 en Auditoría de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: