¿Cómo se relacionan la seguridad y la auditoria informática?

La seguridad informática establece controles y la auditoría informática sugiere y revisa. En algunas ocasiones es difícil diferenciar el papel del Oficial de Seguridad en Informática y el del Auditor de Sistemas. Ambos comparten el control de la función de procesamiento de datos, dictaminan los estándares para la industria y la organización, y pugnan por conservar los activos informáticos de la empresa.

Obviamente, la función de Seguridad de la Información y la del Auditor de Sistemas se entrelazan, el punto de vista de Auditoría es esencial para la seguridad de los sistemas, tomando la seguridad como un control objetivo y evitando dificultades y enfrentamientos, los profesionales en ambos campos deben reconocer la cercanía de sus funciones y ocasionalmente aceptar la duplicidad de responsabilidades.

Objetivo

El objetivo no debe ser separar o diferenciar ambientes, sino construir una relación de trabajo constructiva que permita la interdependencia de ambos.

Actividades de los encargados de la sguridad y auditoria informática

Según los apuntes de clase de Solís [1]

El auditor de sistemas debe de revisar regularmente las actividades de la Seguridad de la Información mientras que el personal de Seguridad de la Información debe tener procedimientos formales escritos, debe documentar todas las violaciones de seguridad y las acciones tomadas, y debe proveer una tira auditora para el mantenimiento de los Archivos de Seguridad y Bases de Datos.

De la misma manera, el personal de Seguridad de la Información, puede funcionar como un chequeo en Auditoría para hacer valer las restricciones de acceso, aun considerando a los Auditores, ejemplo: Las funciones de Auditoría deben ser restringidas a personal y dispositivos involucrados con el Departamento de Auditoría; los Auditores no deben de estar autorizados para modificar archivos de producción; y los accesos de Auditoría a la información sensible, deben ser guardados y monitoreados rigurosamente como cualquier otro usuario. El personal de Seguridad de la Información y los Auditores de Sistemas, en aspectos relacionados con la seguridad y el control de los sistemas.

Si la comunicación entre las dos funciones está empezando a deteriorarse, teniendo diferentes puntos de vista en aspectos de procesamiento de datos, usuarios y control, así como diferencias en el amplio campo de la seguridad y el control, es difícil tener una sola opinión sobre cada aspecto, pero cualquier desacuerdo que se presente debe ser claramente entendido por ambos grupos y debe referirse a la implementación, no a los principios.

Recomendaciones

Las siguientes sugerencias ayudarán a mantener una efectiva y productiva relación entre las funciones del grupo de Seguridad de la Información y los Auditores en Informática:

  1. Comunicación: Los Gerentes de ambos grupos deben reunirse regularmente para discutir informalmente los proyectos y objetivos actuales, ejemplo: no discutir el estatus de los reportes, pero sí un esfuerzo por mantener una línea para la resolución de problemas graves e intereses mutuos. Estas juntas pueden evitar duplicación de esfuerzos innecesarios y sensibilizar a un grupo para que no pase los límites del otro. Más aun, puede ayudar a puntualizar futuras actividades que puedan ser más apropiadas para un tipo de función que los otros.

  2. Trabajo en equipo: Si se sospecha un fraude por computadora, ambos grupos deben ser informados, y deben trabajar juntos durante las investigaciones preliminares antes de realizar las demandas legales, ya que ellos también harán funciones especiales, tales como la recuperación de los Paquetes de Auditoría o Software de Seguridad disponibles.

  3. Flujos claros y constantes de información: Los reportes relevantes de Auditoría, así como las revisiones de seguridad deben ser intercambiados. Esto previene la redundancia cuando ambos grupos tratan con los mismos usuarios de Sistemas y permite alentar a los usuarios a trabajar con ambos grupos respondiendo a sus recomendaciones.

  4. Alimentación cruzada y máximo impacto: El Auditor debe ser miembro del Consejo Directivo de Seguridad de la Información. Esto asegura que las dos funciones están relacionadas y representadas a niveles altos.

Referencias

[1] Francisco Javier Alvarez Solís, “Apuntes de seguridad y auditoria informática,” UPIICSA, CDMX, Apuntes de clase 07012005, 2005.