Auditoría de seguridad

En esta lectura se tratará el estudio de la auditoría de seguridad, la cual abarca tanto

el nivel externo como interno, y se realiza con el objetivo de evaluar las medidas de
protección que existen en la empresa u organismo e identificar las tareas que se
deben tener en cuenta para aumentar la protección de los sistemas de información
estudiados.

Auditoría de seguridad

Fases de la auditoría de seguridad

Auditoría de la seguridad física

¿Cómo hacer una auditoría de seguridad informática?

Auditoría de la seguridad lógica

Auditoría de la seguridad y el desarrollo de aplicaciones

Auditoría de seguridad en el área de producción de datos

Auditoría de seguridad en comunicaciones y redes

Técnicas, métodos y herramientas

Tipos de auditorías

Referencias

Descarga en PDF
Lección 1 de 12

Auditoría de seguridad

Para muchos, la seguridad sigue siendo el área principal a auditar, ya que se

deben analizar y verificar procedimientos diseñados para mantener a los
trabajadores seguros, mejorar la eficiencia operativa y reducir los costos de
mantenimiento. Además, los hallazgos de estas se utilizan para mejorar la
seguridad, ayudar con la programación de equipos, establecer presupuestos,
entre otras cosas.

Según Melo:

Una auditoría de seguridad es una evaluación estructurada de

cómo las actividades en el lugar de trabajo pueden afectar la
salud y la seguridad de quienes forman parte de la organización.
Ayuda a las entidades a evaluar y optimizar sus programas de
salud y seguridad y a mejorar las gestiones y estrategias
enfocadas en la seguridad.

Las auditorías de seguridad no son lo mismo que las

inspecciones de seguridad, ya que la primera examina y evalúa
que los programas y las prácticas de seguridad cumplan con los
objetivos de la organización, las últimas son inspecciones
 periódicas que buscan peligros, riesgos y otros problemas que
pueden impedir que una empresa opere de manera segura.

Los propósitos de llevar a cabo auditorías de seguridad son

establecer si la compañía cumple con la legislación de seguridad
e identificar debilidades y deficiencias en sus programas y
procesos de seguridad. Una auditoría de seguridad identifica
diferentes niveles de riesgo en todas las áreas particulares de
una organización. Las auditorías de seguridad pueden ayudar a
que el lugar de trabajo sea más seguro y mejorar los
procedimientos de salud y seguridad de la organización. (2018,
[Link]

En lo que respecta a la auditoría de seguridad orientada en el mundo IT,

varios autores afirman lo siguiente de la seguridad informática:

En la actualidad es prácticamente imposible pensar alguna

industria o empresa sin algún grado de informatización ¿Cómo
auditar esta área para restar vulnerabilidades en nuestro
negocio?

¿Tenés una empresa o sos parte de una corporación? ¿Tu firma

lleva un control de empleados? ¿Tu negocio efectúa arqueos de
cajas? ¿Contás con sistemas de seguridad? ¿Realizás
inventarios periódicos y control de stock? Si hacés todo eso para
evitar pérdidas monetarias ¿por qué no realizarías también
auditorías de seguridad informática?

Hoy en día, toda empresa utiliza al menos una computadora, y

en la mayoría de los casos, las firmas han avanzado a pasos
acelerados en automatización de diferentes tareas y en el
control de la mano de la tecnología.

Entonces, la seguridad del circuito de información digital pasa de

ser una opción a ser parte del presupuesto obligatorio para la
supervivencia del negocio. Y es necesario asegurarnos de que
nuestras facilidades implementadas sean realmente una ayuda
en la estrategia.

¿En qué consiste la auditoría en seguridad informática?

La auditoría de seguridad informática es un estudio profesional

que realizan expertos ajenos a la empresa con el objetivo de
detectar las vulnerabilidades de la implementación de
tecnología en la estrategia de negocio. También ofrecen
soluciones para ganar en eficiencia, rentabilidad y tranquilidad
para los equipos de gestión. (USS Seguridad, 2019,
[Link]
Según Piattini y Del Peso, existen áreas generales que pueden relacionarse
con el foco de auditoría de seguridad, estas son las siguientes:

Lo que hemos denominado controles directivos, es decir, los fundamentos de la seguridad:

políticas, planes, funciones, existencia y funcionamiento de algún comité relacionado,
objetivos de control, presupuesto, así como que existen sistemas y métodos de evaluación
periódica de riesgos.

El desarrollo de las políticas: procedimientos, posibles estándares, normas y guías, sin ser
suficiente que existan estas últimas.

Que para los grupos anteriores se ha considerado el marco jurídico aplicable.

Amenazas físicas externas: inundaciones, incendios, explosiones, corte de líneas o de

suministros, terremotos, terrorismo, huelgas.

Control de accesos adecuado, tanto físicos como los denominados lógicos, para que cada
usuario pueda acceder a los recursos a que esté autorizado y realizar solo las funciones
permitidas: lectura, variación, ejecución, borrado, copia y quedando las pistas necesarias para
control y auditoría, tanto de accesos producidos al menos a los recursos más críticos como
los intentos en determinados casos.

Protección de datos: en cuanto a los datos de carácter personal bajo tratamiento

automatizado, y otros controles en cuanto a los datos en general, según la clasificación que
exista, la designación de propietarios y los riesgos a que estén sometidos.

Comunicaciones y redes: topología y tipo de comunicaciones, posible uso de cifrado,

protecciones ante virus, estas también en sistemas aislados, aunque el impacto será menor
que en una red.

El entorno de producción, entendiendo como tal la explotación más técnica de sistemas, y con
especial énfasis en el cumplimiento de contratos en lo que se refiera a protecciones, tanto
respecto a terceros cuando se trata de una entidad que presta servicios, como el servicio
recibido de otros, y de forma especial en el caso de la subcontratación total u outsourcing.
 El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los
productos desarrollados y que estos resulten auditables.

La continuidad de las operaciones. (2000, pp. 394-395)

 Caso de análisis: seguridad informática

Los especialistas en auditoría informática se ocuparán de pesquisar

el correcto funcionamiento y rendimiento de los equipos y sistemas
de tu empresa.

La actualización de los diferentes softwares de gestión.

El estado de las redes de comunicación.

La calidad de los servidores.

El funcionamiento de los dispositivos fijos y móviles.

Los planes de contingencia ante eventualidades que pongan en

riesgo el sistema.

La capacitación del personal en el uso de la tecnología.

El cumplimiento de las normativas vigentes.

Los puntos de vulnerabilidad informática.

Las oportunidades de mejora del rendimiento a través de

nuevas herramientas.

Las políticas de protección de datos y resguardo de la

información.

Los protocolos de acción ante contingencias, amenazas y

ataques delictivos. (USS Seguridad, 2019,
 [Link]

Otros autores definen la auditoría de seguridad de la siguiente manera:

Son los estudios, tendentes a comprender el análisis y gestión

de los sistemas.

Se trata de un servicio llevado a cabo por profesionales externos

a la empresa y tiene la finalidad de descubrir posibles
vulnerabilidades tras revisiones exhaustivas de software, redes
de comunicación, servidores, estaciones de trabajo, dispositivos
móviles.

Una auditoría de seguridad informática es una evaluación de los

sistemas informáticos cuyo fin es detectar errores y fallas y que
mediante un informe detallado entregamos al responsable en el
que describimos:

Equipos instalados, servidores, programas, sistemas operativos.

Procedimientos instalados.

Análisis de Seguridad en los equipos y en la red.

Análisis de la eficiencia de los Sistemas y Programas informáticos.

 Gestión de los sistemas instalados.

Verificación del cumplimiento de la Normativa vigente LOPD.

Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes
de comunicaciones, servidores. ([Link], 2018, [Link]

 Lectura obligatoria: Guía adaptación de la LOPD a LOPDGDD en

2021.

Indicaciones sobre la lectura: abordaremos la normativa vigente

LOPD, LOPDGDD o Ley Orgánica de Protección de Datos y Garantía
de los Derechos Digitales.

La LOPDGDD o Ley Orgánica de Protección de Datos y

Garantía de los Derechos Digitales regula el
tratamiento de datos de carácter personal en España.
¿Qué derechos y obligaciones establece? ¿Cuáles son
sus similitudes y diferencias con el RGPD? En esta guía
te contamos todo lo que debes saber sobre esta ley.
([Link], s. f.,
[Link]

L3 - Guía adaptación de la LOPD a LOPDGDD en [Link]

1.2 MB
Fuente: [Link], (s. f.). Guía adaptación de la LOPD a LOPDGDD en 2021. Recuperado de

[Link]

C O NT I NU A R
Lección 2 de 12

Fases de la auditoría de seguridad

Según Piattini y Del Peso, pueden ser:

Concreción de los objetivos y delimitación del alcance y profundidad de la auditoría, así como
del periodo cubierto en su caso, por ejemplo, revisión de accesos del último trimestre; si no se
especifica, los auditores deberán citar en el informe el período revisado, porque podría
aparecer alguna anomalía anterior, incluso de hace mucho tiempo, y llegarse a considerar una
debilidad de la auditoría.

Análisis de posibles fuentes y recopilación de información: en el caso de los internos este

proceso puede no existir.

Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de
comunicación a la entidad.

Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de

especialistas necesarios, sobre todo en la auditoría externa.

Realización de entrevistas y pruebas.

Análisis de resultados y valoración de riesgos.

Presentación y discusión del informe provisional.

Informe definitivo. (2000, pp. 399-400)

C O NT I NU A R
Lección 3 de 12

Auditoría de la seguridad física

Según Piattini y Del Peso (2000), se evaluarán las protecciones físicas de

datos, programas, instalaciones, equipos, redes y soportes, y, por supuesto,
habrá que considerar a las personas: que estén protegidas y existan medidas
de evacuación, alarmas, salidas alternativas, así como que no estén
expuestas a riesgos superiores a los considerados admisibles en la entidad e
incluso en el sector, por ejemplo, por convenio o normativa específica.

Por otra parte, los autores señalan las amenazas que pueden ser muy
diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo,
incendios, inundaciones, averías importantes, derrumbamientos,
explosiones, así como otros que afectan a las personas y pueda impactar el
funcionamiento de los centros, tales como errores, negligencias, huelgas,
epidemias o intoxicaciones.

Desde la perspectiva de las protecciones físicas algunos aspectos a

considerar son:

Ubicación del centro de procesos, de los servidores locales, y en general de cualquier

elemento a proteger, como puedan ser los propios terminales, especialmente en zonas de
paso, de acceso público, o próximos a ventanas en plantas bajas. Protección de computadores
portátiles, incluso fuera de las oficinas: aeropuertos, automóviles, restaurantes.
Estructura, diseño, construcción y distribución de los edificios y de sus plantas.

Riesgos a los que están expuestos, tanto por agentes externos, casuales o no, como por
accesos físicos no controlados.

Amenazas de fuego (materiales empleados): riesgos por agua, por accidentes atmosféricos o
por averías en las conducciones; problemas en el suministro eléctrico, tanto por caídas como
por perturbaciones.

Controles tanto preventivos como de detección, relacionados con los puntos anteriores, así
como de acceso basándose en la clasificación de áreas según usuarios, incluso según día de
la semana y horario.

Además del acceso, en determinados edificios o áreas debe controlarse el contenido de

carteras, paquetes, bolsos o cajas, ya que podrían contener explosivos, así como lo que se
quiere sacar del edificio, para evitar sustituciones o sustracción de equipos, componentes,
soportes magnéticos, documentación u otros activos.

El control deberá afectar a las visitas, proveedores, contratados, clientes y en casos más
estrictos igualmente a los empleados; los ex empleados se deberán considerar visitas en todo
caso.

Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible

transporte, además de otras protecciones no físicas, todo bajo un sistema de inventario, así
como protección de documentos impresos y de cualquier tipo de documentación clasificada.

Todos los puntos anteriores pueden, además, estar cubiertos por seguros. (Piattini y Del Peso,
2000, p. 401)

C O NT I NU A R
Lección 4 de 12

¿Cómo hacer una auditoría de seguridad

informática?

Según [Link] (s. f.), para hacer una auditoría de

seguridad informática debes seguir los siguientes pasos.

a) Enumeración de los servicios que se vayan a auditar.

b) Verificación del cumplimiento de estándares de calidad y normas de control.

c) Identificación del software, hardware y sistemas operativos instalados.

d) Análisis de los servicios y aplicaciones instalados.

e) Comprobación y evaluación de las vulnerabilidades detectadas.

f) Corrección con medidas específicas.

g) Implantación de medidas preventivas.

C O NT I NU A R
Lección 5 de 12

Auditoría de la seguridad lógica

Según Piattini y Del Peso (2000), es necesario verificar que cada usuario solo
pueda acceder a los recursos que le autorice el propietario, aunque sea de
forma genérica, según su función, y con las posibilidades que el propietario
haya fijado: lectura, modificación, borrajo, ejecución, etc., lo que tendría lugar
a una matriz de permisos, tales como grupos de usuarios o sistemas, con los
objetos a los que podrían acceder, por ejemplo, un disco, base de datos, una
librería de programas, un tipo de transacción, un programa, etc.

Desde el punto de vista de la auditoría es necesario revisar cómo se

identifican y sobre todo autentican los usuarios, cómo han sido autorizados y
por quién, y qué ocurre cuando se producen transgresiones o intentos: quién
se entera y cuándo y qué se hace.

En cuanto a autenticación, hasta tanto no se abaraten y generalicen los

sistemas basados en la biométrica, el método más usado es la contraseña,
cuyas características serán acordes con las normas y estándares de la
empresa, que podrían contemplar diferencias para según qué sistemas en
función de la criticidad de los recursos accedidos.
 Caso de análisis: seguridad informática

Algunos aspectos a evaluar con respecto a las contraseñas pueden

ser:

Quién asigna la contraseña: inicial y sucesivas.

La longitud mínima y composición de caracteres.

Vigencia, incluso puede haber de un solo uso o dependientes de

una función tiempo.

Control para no asignar las X últimas.

Número de intentos que se permiten al usuario, e investigación

posterior de los fallidos: pueden ser errores del usuario o
intentos de suplantación.

Si las contraseñas están cifradas y bajo qué sistema, y sobre

todo que no aparezcan en claro en las pantallas, listados,
mensajes de comunicaciones o corrientes de trabajos.

Protección o cambio de las contraseñas iniciales que llegan en

los sistemas, y que a menudo aparecen en los propios
manuales.

Controles existentes para evitar y detectar caballos de Troya: en

este contexto se trata de un programa residente en un PC que
emulando un terminal simule el contenido de la pantalla que
toma la identificación y contraseña del usuario, grabe la
contraseña y devuelva control al sistema verdadero después de
algún mensaje simulado de error que normalmente no despejará
las sospechas del usuario.

La no-cesión, y el uso individual y responsable de cada usuario, a

partir de la normativa. (Piattini y Del Peso, 2000, pp. 402-403)
C O NT I NU A R
Lección 6 de 12

Auditoría de la seguridad y el desarrollo de

aplicaciones

Según Piattini y Del Peso (2000):

Todos los desarrollos deben estar autorizados a distinto nivel

según la importancia del desarrollo a abordar, incluso
autorizados por un comité si los costes o los riesgos superan
unos umbrales: se revisará la participación de usuarios, y de los
auditores internos si la auditoría es externa, a qué librerías
pueden acceder los desarrolladores, si hay separación suficiente
de entornos, la metodología seguida, ciclos de vida, gestión de
tos proyectos, consideraciones especiales respecto a
aplicaciones que traten datos clasificados o que tengan
transacciones económicas o de riesgo especial, términos de los
contratos y cumplimiento, selección y uso de paquetes,
realización de pruebas a distintos niveles y mantenimiento
posterior, así como desarrollos de usuarios finales. (p. 404)
Lo más relevante es el entorno de explotación llevado a cabo en la revisión
de programas por parte de técnicos independientes, o bien por auditores
preparados, a fin de determinar la ausencia de "caballos de Troya", bombas
lógicas; similares, además de la calidad. Otro aspecto es la protección de los
programas, al menos desde otra mirada externa, con el fin de que se emita
opinión técnica.

 A modo de repaso y para afianzar conocimientos, te invito a que te

tomes unos minutos para responder la siguiente pregunta: ¿qué
se analiza en una auditoría informática?

Como hemos visto, en una auditoría informática deben analizarse los

equipos instalados, los servidores, los programas, los sistemas operativos,
los procedimientos, así como la seguridad de los equipos y en la red.

Por otra parte, toda auditoría de seguridad informática debe detenerse a

analizar:

1 la eficiencia de los sistemas y programas informáticos;

2 la gestión de los sistemas instalados y la vulnerabilidad que pudieran presentar las estaciones
de trabajo, redes de comunicación o servidores;

3 por último, se valora la existencia o no de un protocolo de seguridad ante una amenaza

tecnológica y lo oportuno de las medidas recogidas, si es que existe, para hacer frente a una
amenaza tecnológica.

C O NT I NU A R
Lección 7 de 12

Auditoría de seguridad en el área de producción de

datos

Según Piattini y Del Peso (2000), las entidades deben cuidar especialmente
las medidas de protección en el caso de contratación de servicios: desde el
posible marcado de datos, proceso, impresión de etiquetas, distribución,
acciones comerciales, gestión de cobros, hasta el outsourcing más completo,
sin descartar que en el contrato se prevea la revisión por los auditores,
internos o externos, de las instalaciones de la entidad que provee el servicio.

También debe revisarse la protección de utilidades o programas

especialmente peligrosos, así como el control en generación y cambios
posteriores de todo el software de sistemas, y de forma especial el de control
de accesos.

Otro aspecto a revisar es el control de los formularios críticos. La gestión de

problemas y cambios y la calidad son aspectos que también tienen que ver
con la seguridad.

C O NT I NU A R
Lección 8 de 12

Auditoría de seguridad en comunicaciones y redes

Según Piattini y Del Peso (2000), en las políticas de la entidad debe

reconocerse que los sistemas, roles y mensajes transmitidos y procesados
son propiedad de la entidad y no deben usarse para otros fines no
autorizados, por seguridad y por productividad, tal vez salvo emergencias
concretas si así se ha especificado, y más bien para comunicaciones por voz.

En función de la clasificación de los datos se habrá previsto el uso de cifrado,

que en la auditoría se evaluará o se llegará a recomendar, y se revisarán la
generación, longitud, comunicación, almacenamiento y vigencia de las
claves, especialmente de las maestras.

Cada usuario solo debe recibir en el menú lo que pueda seleccionar

realmente. Los usuarios tendrán restricción de accesos según dominios,
únicamente podrán cargar los programas autorizados.

 Caso de análisis: seguridad informática en comunicaciones y

redes

Algunos aspectos a evaluar son:

Tipos de redes y conexiones.

Información y programas transmitidos, y uso de cifrado.

Tipos de transacciones.

Tipos de terminales y protecciones: físicas, lógicas, llamada de

retomo.

Protección de conservaciones de voz en caso necesario.

Transferencia de archivos y controles existentes.

Consideración especial respecto a las conexiones externas a

través de pasarelas (gateway) y encaminadores (routers), así
como qué controles existen. (Piattini y Del peso, 2000, p. 408)

C O NT I NU A R
Lección 9 de 12

Técnicas, métodos y herramientas

Según Piattini y Del Peso (2000), en cada proceso de auditoría se fijan los
objetivos, ámbito de profundidad, lo que sirve para la planificación y para la
consideración de las fuentes, según los objetivos, así como de las técnicas,
métodos y herramientas más adecuados. El factor sorpresa puede llegar a
ser necesario en las revisiones, según lo que se quiera verificar.

Como métodos y técnicas podemos considerar los cuestionarios, las

entrevistas, la observación, los muestreos, las CAAT (computer aided
auditing yechniques), las utilidades y programas, los paquetes específicos,
las pruebas, la simulación en paralelo con datos reales y programas de
auditor o la revisión de programas.

 Lectura obligatoria: Auditoría de seguridad informática siguiendo la

metodología OSSTMMv3: caso de estudio.

Indicaciones sobre la lectura:

Este artículo explica la metodología utilizada en una

auditoría de seguridad informática, tomando como
 referencia las recomendaciones de la metodología
OSSTMM versión 3 que, engloba 5 canales
fundamentales. Para la comprensión de su
aplicabilidad en un entorno práctico, se tomó como
caso de estudio al Gobierno Autónomo
Descentralizado del Cantón Mira. La metodología
permite medir la seguridad actual de cinco canales
diferentes, los mismos que son: humano, físico,
comunicaciones inalámbricas, telecomunicaciones y
de redes de datos. Del mismo modo, se consideran
tres medidas importantes para el cálculo de cada
canal: la porosidad (OpSec), los controles y las
limitaciones. Los resultados finales, una vez realizado
el análisis pertinente, permiten determinar los valores
numéricos de cada uno de estos ítems, siendo
necesario acogerse a las recomendaciones de los
tipos de pruebas que la metodología recomienda para
su cálculo. Una vez aplicada la metodología, esto ayuda
a comprender, en cada ámbito de aplicación, las
deficiencias o excesos de los controles operacionales
de seguridad que se manejan en una empresa u
organización. (Bracho-Ortega et al., 2017,
[Link]

L3 - Auditoría de seguridad informática siguiendo la metodología

OSSTMMv3, caso de [Link]
819.1 KB
Fuente: Bracho-Ortega, C.; Cuzme-Rodríguez, F.; Puiales Yepes, C.; Suárez Zambrano, L.; Peluffo Ordoñez, D.;

Moreira-Zambrano, C. (2017). Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de

estudio. En Maskana, 8, pp. 307-319. Recuperado de

[Link]

C O NT I NU A R
Lección 10 de 12

Tipos de auditorías

En la figura 1 se observan los tipos de auditorías que podemos tener en

seguridad informática.

Figura 1. Sistema EDI

En la figura 1, se pueden observar que las auditorías de seguridad informática

pueden ser: forense, web, de código, hacking ético, análisis de vulnerabilidades,
físicas y de redes.

Según [Link] existen las siguientes clasificaciones:

Es un servicio que se
contrata tras haberse
producido un incidente de
seguridad y tiene como
Auditoría forense
objetivo identificar y
recopilar evidencias
digitales para establecer las
causas que lo han

Destinadas a conocer la
seguridad de aplicaciones y
servicios web que nos
Auditorías web permitan descubrir
cualquier tipo de fallo en la
implementación de los
mismos.
 Son pruebas de calidad
sobre aplicaciones
informáticas (a nivel de
código fuente) que
Auditorías de código
permiten conocer e
identificar posibles
vulnerabilidades en
cualquier tipo de software.

La forma de comprobar las

medidas de seguridad es
poniéndolas a prueba y
para ello surge este
Hacking ético
servicio. Se trata de un test
de intrusión que intenta
utilizar las mismas técnicas
de hacking y herramientas

Servicio dedicado no solo a

detectar los posibles
agujeros de seguridad de
las aplicaciones en busca
Análisis de vulnerabilidades
de vulnerabilidades, sino
 que también se encargará
de poner a prueba la

Servicio encargado de
proteger externamente la
zona perimetral de una
organización asegurando el
Auditorías físicas
entorno con la
implementación de
cámaras de seguridad,
controles físicos de

En un internet plagado de
ataques externos, la
seguridad de la red debe
ser una prioridad para su
Auditorías de redes
compañía. Este servicio de
auditoría de redes se
centrará en primer lugar en
mapear la red para
 Caso de análisis: ejemplo de auditoría de seguridad informática

Existen estándares base para auditorías informáticas como:

COBIT (Objetivos de Control de la Tecnológica de la

Información)

ISO 17799 (Norma internacional que ofrece recomendaciones

para realizar la gestión de la seguridad de la información)

Norma ISO 27002 (Código de buenas prácticas)

ISO 27007 (Guía para auditar un SGSI)

ISACA (Asociación de Auditoría y Control de Sistemas de

Información)

ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la

Información) estándar mundial de facto en la Gestión de
Servicios Informáticos. Útil para las organizaciones en todos los
sectores para consulta, educación y soporte de herramientas de
software, de libre utilización. ([Link],
2018, [Link]

 Para afianzar conocimientos, te invito a que te tomes unos

minutos para responder la siguiente pregunta: ¿cuáles son los
beneficios de las auditorías de seguridad?
Como hemos visto a lo largo de la lectura,

son muchas las ventajas que nos están ofreciendo las nuevas
tecnologías. Pero esto también implica una mayor exposición a
amenazas que pueden poner en peligro la privacidad y
seguridad de nuestra información.

Entre los beneficios de estas auditorías cabe destacar que:

Permiten reducir los impactos una vez identificados los riesgos y vulnerabilidades.

Ofrecen mayores garantías y niveles de seguridad para su negocio.

Mejoran la imagen externa de su empresa.

Le ayudan a saber qué medidas concretas de seguridad implementar.

Aumentan la seguridad de su organización, salvaguardando la confidencialidad y la integridad

de la información que se gestiona. ([Link], 2018, [Link]

A modo de síntesis, podemos decir que las auditorías de seguridad requieren

de tiempo y esfuerzo, pero estas proporcionan resultados que una empresa
puede efectuar a través de los ajustes necesarios que la llevarán a un nivel
de calidad más alto de seguridad.
C O NT I NU A R
Lección 11 de 12

Referencias

[Link], (s. f.). Guía adaptación de la LOPD a LOPDGDD

en 2021. Recuperado de [Link]

[Link], (2018). ¿Por qué debes hacer auditorías de

seguridad? Recuperado de
[Link]
informatica/

Bracho-Ortega, C.; Cuzme-Rodríguez, F.; Puiales Yepes, C.; Suárez

Zambrano, L.; Peluffo Ordoñez, D.; Moreira-Zambrano, C. (2017). Auditoría
de seguridad informática siguiendo la metodología OSSTMMv3: caso de
estudio. En Maskana, 8, pp. 307-319. Recuperado de
[Link]
maskana/article/view/1471/1144

Melo, S. (2018). La importancia de realizar auditorías de seguridad.

Recuperado de [Link]
auditorias-de-seguridad
Piattini, M. G.;Del Peso, E. (2000). Auditoría Informática. Un Enfoque
Práctico. Madrid, España: Alfaomega Ra-Ma.

USS Seguridad, (2019). ¿Por qué es necesario hacer una auditoría de

seguridad informática? Recuperado de
[Link]

C O NT I NU A R
Lección 12 de 12

Descarga en PDF

Módulo 4 - Lectura [Link]

555 KB