Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Auditoría de seguridad informática

Anuncio 
ADMINISTRACIÓN DE SERVICIOS DE INTERNET
Apuntes
Auditoría de Seguridad Informática
OBJETIVOS


Aplicar procedimientos de auditoría de seguridad informática en los sistemas
de información.
Aplicar la normativa legal vigente que afecta a la información utilizada por
una organización.
Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria
informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de
activos; capaz de detectar ataques internos como externos.
Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin es
detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que
describimos:







Equipos instalados, servidores, programas, sistemas operativos…
Procedimientos instalados
Análisis de Seguridad en los equipos y en la red
Análisis de la eficiencia de los Sistemas y Programas informáticos
Gestión de los sistemas instalados
Verificación del cumplimiento de la Normativa vigente LOPD
Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo,
redes de comunicaciones, servidores.
Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el
establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación
exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Una Auditoria de Seguridad conlleva:












Amenazas y elementos de Seguridad de entrada y salida de datos
Aspectos Gerenciales
Análisis de Riesgos
Identificación de amenazas
Seguridad en Internet
Control de Sistemas y Programas instalados
Protocolo de riesgos, seguridad, seguros, programas instalados…
Protocolo ante perdidas, fraude y ciberataques
Planes de Contingencia y Recuperación de Desastres
Seguridad Física
Seguridad de Datos y Programas
Plan de Seguridad
ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges
1
ADMINISTRACIÓN DE SERVICIOS DE INTERNET




Políticas de Seguridad
Medidas de Seguridad (Directivas, Preventivas y Correctivas)
Cadena de Custodia
LOPD
Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan de
Auditoria Informática que oriente sobre la planificación de un sistema seguro y un plan de
emergencia ante posibles desastres; implementando una metodología a seguir en caso de que
ocurra alguna vulnerabilidad.
Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el
control interno y evitar situaciones no deseadas.
Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan
determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contra-ataque.
Los servicios de auditoría pueden ser de distinta índole:

Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter interno

Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores

Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es
un complemento fundamental para la auditoría perimetral.

Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior
de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema,
a la par que se valoran los daños ocasionados.

Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando
vulnerabilidades.

Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web
como de cualquier tipo de aplicación, independientemente del lenguaje empleado.
Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de buenas
prácticas que garanticen la seguridad de los sistemas.
Existen estándares base para auditorias informáticas como:






COBIT (Objetivos de Control de la Tecnológica de la Información)
ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la
seguridad de la información)
ISO 27002 (Código de buenas prácticas)
ISO 27007 (Guía para auditar un SGSI*)
ISACA (Asociación de Auditoría y Control de Sistemas de Información)
ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información) estándar mundial
de facto en la Gestión de Servicios Informáticos. Útil para las organizaciones en todos los
sectores para consulta, educación y soporte de herramientas de software, de libre
utilización.
*Sistemas de Gestión de la Seguridad de la Información
ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges
2
ADMINISTRACIÓN DE SERVICIOS DE INTERNET
Apuntes
A modo de ejemplo el procedimiento a seguir por el Perito Informático a la hora de implantar un
modelo de Auditoria de Seguridad Informática sería el siguiente:















Estudio General, evaluando la empresa, el personal, equipos y programas.
Observación de los sistemas implantados y realización de cuestionarios y entrevistas, sobre
todo al personal que tenga acceso a documentación o datos sensibles.
Elabora gráficos estadísticos y flujogramas.
Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis de
código de programas, Datos de prueba, Datos de prueba integrados, Análisis de bitácoras,
Simulación paralela).
Enumera los equipos, redes, protocolos.
Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados.
Identifica y confirma todos los sistemas operáticos instalados.
Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y fallas
(OJO con el factor humano)
Diseña controles y medidas correctivas en las actividades y recursos dentro de la empresa.
Conciencia sobre la normativa y legislación vigente.
Realiza un completo Análisis de Riesgos.
Realiza un informe completo sobre la implantación de la Auditoria de Seguridad,
implantación de medidas preventivas y protocolo de Seguridad a instalar.
Emite un certificado de Seguridad de Auditoria Informática.
Visitas cada tres meses para la comprobación de la aplicación de las normas.
Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y
personas.
Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando al
personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con un
lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un ataque
externo.
Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa
exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas
organizacionales.
Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal
de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control
que se indiquen según el número de empleados y facturación de la empresa.
El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de la
seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o
sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque.
No solo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento, al
igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de los
controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan
meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches,
actualizaciones de software, adquisición de nuevos productos tanto en software como hardware.
Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables de
personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste
aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales y la
forma de superarlos.
ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges
3
ADMINISTRACIÓN DE SERVICIOS DE INTERNET
No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos,
sino con un número de personas desconocidas que van a utilizar el resultado de nuestro trabajo
como base para tomar decisiones. Una Auditoria de Seguridad requiere el ejercicio de un juicio
profesional, sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los
resultados obtenidos El informe inicial de Auditoria de Seguridad Informática ha de contener:












Tipo de Auditoria a instalar (Ámbito, Aplicación, y Planificación de la misma)
Riesgos actuales
Seguridad física y lógica del Centro Tecnológico (Central, Servidores)
Auditoria de dirección y personal autorizado a integrar en la Auditoria
Auditoria del desarrollo del negocio (Física, Forense y Financiera)
Base de Datos ( LOPD, normativa, irregularidades, correos personales)
Implantación de medidas de seguridad
Análisis de Negocio Electrónico y administración de la WEB
Aplicación de técnicas y procedimientos de auditoría forense.
Aplicación de nuevas tecnologías en equipos o programas en la Empresa.
Aplicación de los sistemas instalados ante incidentes
Curso de gestión de conocimiento al personal sobre:
- Amenazas y problemas en el uso de las tecnológicas de información
- Conceptos de Seguridad
- Control de Confidencialidad
- Correos
- Redes sociales
- Privacidad
- Instalación de programas
- Medidas de control ante un ataque
- Normas de seguridad a instalar en la empresa
- Normativa de seguridad
- SCII Sistema de Control Informático Interno
- Riesgos y control de los mismos
Fuente

Asociación Nacional de Tasadores y Peritos Judiciales Informáticos
ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges
4
Documentos relacionados
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
Informe Semestral de la Unidad de Auditoria Interna correspondiente a la gestión 2014
Informe Semestral de la Unidad de Auditoria Interna correspondiente a la gestión 2014
Informe Anual de Actividades UAI - Gestion 2011
Informe Anual de Actividades UAI - Gestion 2011
FI-F-09 PROGRAMA DE AUDITORIA
FI-F-09 PROGRAMA DE AUDITORIA
Informes emitidos CGM
Informes emitidos CGM
Resolución de auditoría interna
Resolución de auditoría interna
AUDITORIA INTERNA
AUDITORIA INTERNA
57 ISEP
57 ISEP
documento conocimiento del negocio
documento conocimiento del negocio
Descargar
Anuncio
Anuncio