Scribd
Cargar
183 vistas4 páginas

Auditoría de Seguridad Informática

Una auditoría de seguridad consiste en verificar que las medidas de protección de una empresa cumplen con su política de seguridad de manera coherente. Esto garantiza que las disposiciones tomadas por la empresa en materia de seguridad se consideren seguras. Una auditoría evalúa aspectos como los permisos de acceso de usuarios, la configuración del firewall y los registros de acceso a sistemas.

Cargado por

Miguel Rojas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd
183 vistas4 páginas

Auditoría de Seguridad Informática

Una auditoría de seguridad consiste en verificar que las medidas de protección de una empresa cumplen con su política de seguridad de manera coherente. Esto garantiza que las disposiciones tomadas por la empresa en materia de seguridad se consideren seguras. Una auditoría evalúa aspectos como los permisos de acceso de usuarios, la configuración del firewall y los registros de acceso a sistemas.

Cargado por

Miguel Rojas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd

El concepto de auditoría

Una auditoría de seguridad consiste en apoyarse en un tercero de


confianza (generalmente una compañía que se especializada en la
seguridad informática) para validar las medidas de protección que se
llevan a cabo, sobre la base de la política de seguridad.
El objetivo de la auditoría es verificar que cada regla de la política de
seguridad se aplique correctamente y que todas las medidas tomadas
conformen un todo coherente.
Una auditoría de seguridad garantiza que el conjunto de disposiciones
tomadas por la empresa se consideren seguras.

Auditoria en Seguridad
 
Como servicio complementario PROREDES ofrece auditorias a la seguridad de la información.
 
Esta consiste en verificar que los permisos de acceso de los usuarios internos (personal de la compañía) y externos
(usuarios VPN, usuarios de Internet) tengan las restricciones y permisos acorde a las necesidades de la compañía,
sin arriesgar la información, la confidencialidad y el desempeño.
 
Lo anterior además evita la intromisión de personas ajenas y/o hackers.
 
La auditoria en seguridad cubre los siguientes ámbitos:
 
• Revisión de diseño de red computacional e informática

• Informe de permiso de acceso a archivos en red.

• Informe de permisos en bases de datos en red (SQL, Oracle, Sysbase, MySql, Access, etc.)

• Informe de permisos de routers de acceso Internet e Intranet.

• Informe de configuración de Firewall.

• Chequeo e informes de registros logs transaccional de accesos a los sistemas.

• Informe de seguridad de servidor de correo.

• Informe de seguridad de servidor WEB o hosting pagina WEB de la compañía.


• Informe de uso y acceso de herramientas de extracción de datos (diskettes, CD, DVD,
medios USB personales, email, etc.)

Auditoria de seguridad

Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus Sistemas de
Información a nivel de seguridad.
En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y
auditabilidad de la información tratada por los sistemas.
 Casos reales de problemas solucionados por nosotros
 Clientes representativos de auditorias informáticas.
 Seguridad Informática indicando ámbitos que inculye y articulos relacionados.
 Políticas de seguridad auditoria, consultoría e implantación.

Los objetivos de una auditoría de seguridad de los sistemas de información son:


• Revisar la seguridad de los entornos y sistemas.
• Verificar el cumplimiento de la normativa y legislación vigentes
• Elaborar un informe independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS
La metodología para una auditoría de sistemas de información establece su ejecución por fases:
1. Definir el alcance de la Auditoría: Análisis Inicial y Plan de Auditoría
2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se
acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.
3. Análisis de las Evidencias, documentación de los resultados obtenidos y conclusiones.
4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las
deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan loss apartados más
importantes de la auditoría.
5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de
seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de
Información.
Auditoría de seguridad de sistemas de
información
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de
información (SI) es el estudio que comprende el análisis y gestión de sistemas para
identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse
en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o
servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso
secuencial que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es


la situación exacta de sus activos de información en cuanto a protección, control y medidas
de seguridad.

Fases de una auditoría


Los servicios de auditoría constan de las siguientes fases:

 Enumeración de redes, topologías y protocolos


 ****** Identificación de los sistemas operativos instalados
 Análisis de servicios y aplicaciones
 Detección, comprobación y evaluación de vulnerabilidades
 Medidas específicas de corrección
 Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoría
Los servicios de auditoría pueden ser de distinta índole:

 Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de


seguridad y privacidad de las redes locales y corporativas de carácter interno
 Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
 Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión
no deseada. Es un complemento fundamental para la auditoría perimetral.
 Análisis forense. El análisis forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha
penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños
han provocado la inoperabilidad del sistema, el análisis se denomina análisis
postmortem.
 Auditoría de páginas web. Entendida como el análisis externo de la web,
comprobando vulnerabilidades como la inyección de código sql, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
 Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones
páginas Web como de cualquier tipo de aplicación, independientemente del
lenguaje empleado

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad
aplicados a los sistemas de información. Acciones como el constante cambio en las
configuraciones, la instalación de parches, actualización de los softwares y la adquisición
de nuevo hardware hacen necesario que los sistemas estén continuamente verificados
mediante auditoría.

Estándares de Auditoría Informática y de Seguridad


Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas
sugeridas. Existen estándares orientados a servir como base para auditorías de informática.
Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro
de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los
Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se
conforma como un código internacional de buenas prácticas de seguridad de la
información, este puede constituirse como una directriz de auditoría apoyándose de otros
estándares de seguridad de la información que definen los requisitos de auditoría y sistemas
de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.

También podría gustarte