AUDITORIA DE SEGURIDAD

INFORMATICA

El control en una organización define los niveles de seguridad

existentes y la forma en que los riesgos son disminuidos. No es

suficiente con escribir un manual de seguridad, instalar las mejores

herramientas y tener la mejor capacitación del personal.

El ciclo de la gestión y seguridad de las tecnologías de información se

debe cerrar, asegurando que los controles implementados se están

cumpliendo y se obtienen los resultados esperados; esto se logra a

través de la conducción de auditorías de control generales y

específicas.

La auditoria de sistemas

Es la revisión que se dirige a evaluar los métodos y procedimientos de

uso en una entidad, con el propósito de determinar si su diseño y

aplicación son correctos; y comprobar el sistema de procesamiento de

Información como parte de la evaluación de control interno; así como

para identificar aspectos susceptibles de mejorarse o eliminarse.

La función de auditoría permite tener un punto de vista independiente y

objetivo, además de identificar oportunidades de mejora en los

controles de seguridad existentes.

Auditoria de Seguridad Informática Este tipo de auditoria es una evaluación de los sistemas informáticos

cuyo fin es detectar errores y fallas y que mediante un informe detallado

entregamos al responsable en el que describimos primordialmente:

• Equipos instalados, servidores, programas, sistemas operativos…

• Procedimientos instalados

• Análisis de Seguridad en los equipos y en la red

• Análisis de la eficiencia de los Sistemas y Programas informáticos

• Gestión de los sistemas instalados

• Vulnerabilidades que pudieran presentarse en una revisión de las

estaciones de trabajo, redes de comunicaciones, servidores.

• Protocolo de Seguridad ante una amenaza tecnológica, y que medidas

realizar ante tal situacion.

Una vez obtenidos los resultados y verificados, se emite otro informe,

indicándole el establecimiento de las medidas preventivas de

refuerzo y/o corrección siguiendo siempre un proceso secuencial que

permita a los administradores mejorar la seguridad de sus sistemas

aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad permiten conocer en el momento de su

realización cuál es la situación exacta de sus activos de información

en cuanto a protección, control y medidas de seguridad.

Objetivo de la auditoria de Seguridad

informática El objetivo de realizar una auditoría de seguridad informática es

conseguir información fidedigna del estado de nuestros sistemas de

tal forma que se consiga un documento final donde se plasmen qué

vulnerabilidades, problemas o fallos de configuración se han

detectado, la peligrosidad y criticidad de dichos fallos de seguridad.

Así como los procedimientos a realizar para corregir los problemas, o

al menos mitigarlos, y quién es la persona responsable de solventar y

el mantenimiento los mismos; así como definir un proceso de análisis

periódico que permita detectar nuevas vulnerabilidades debidas bien

por la aparición de fallos de seguridad en el software utilizado o bien

por la implementación continua de nuevos servicios en la empresa.

Tipos de Auditoria de seguridad informática • Estos tipos de auditorias pueden estar orientadas a ciertos aspectos.

Por ello nos encontramos con auditorías de:

• Seguridad Interna: Básicamente se testea el nivel de privacidad y

seguridad de la LAN.

• Seguridad Perimetral: Se realiza un estudio de la “frontera” entre la red

interna con el exterior.

• Test de intrusión: En este punto se realizan métodos de ataque

controlado para acceder a los sistemas, comprobando la resistencia o

vulnerabilidad de la red. Este aspecto es FUNDAMENTAL en una auditoría

perimetral.

• Análisis forense: Es usado cuando ocurre algún incidente. Se intenta

averiguar la posible entrada no autorizada al sistema, así como la

valoración de las pérdidas ocasionadas o no.

• Código de aplicaciones: Se revisa el código de páginas Web, como de

aplicaciones empleadas por la empresa.

Proceso de auditoria de seguridad

informática • Auditoría desde Internet: identifica las vulnerabilidades a las que

se ve expuesto el recurso computacional y el sitio Web de la

organización desde Internet por parte de delincuentes informáticos.

• Auditoría desde red interna (LAN): identifica dentro de la

organización la identificación de las vulnerabilidades generadas

desde el interior de la organización aprovechando los beneficios de

la red de área local.

• Trabajo sobre los equipo: consiste en ejecutar herramientas

software para la identificación de vulnerabilidades, identificación

de tipos de archivos contenidos de software espía, virus

informáticos y análisis personales del estado físico, lógico y

locativo de cada uno delos equipos.

• Ejecución de entrevistas: se llevan a cabo sobre el manejo de las políticas de seguridad física, lógica y locativa de los miembros de la organización. Un proceso fundamental en la seguridad de los sistemas es la evaluación del manejo del equipo y este manejo se debe referir no solo al componente lógico sino también al manejo físico y locativo. En este punto es importante hace la diferencia entre seguridad física y locativa. La seguridad locativa se refiere a las instalaciones y la física al manejo del hardware del equipo. Los procesos o fases de la auditoria se complementan mutuamente y si se llegara a desarrollar solo algunos de estos el aumento de la seguridad de la organización no seria considerable. Es como cerrar la puerta de su casa con varias cerraduras y dejar abierta una gran ventana hacia la calle.

Proceso de auditoria de seguridad

informática

Perfil de un Auditor de

Seguridad Informática

• Conceptualiza, plantea, implementa, administra y evalúa sistemas de

seguridad y auditoría informática

• Investiga e innova, a través de tecnologías emergentes, en el área de

seguridad y auditoría de la información

• Ejecuta actividades de naturaleza preventiva, operativa y de respuesta

en el ámbito de la seguridad informática y auditoría

• Plantea, diseña e implementa estándares y métodos de seguridad

informática. Además, desarrolla, difunde e implementa políticas, normas

y procedimientos de seguridad, de acuerdo a la legislación vigente y

sobre la base de principios éticos sólidos

• Participa de la gestión estratégica de la operación de un equipo de

seguridad y/o auditoría informática, asumiendo tu rol con

responsabilidad y centrado en los resultados

Es sólo cuando fallan las máquinas

que nos recuerdan cuan poderosas

pueden ser.

Clive James,

Realizado por:

Adan Guerrero C.I 17.642.854

Gabriel Marcano C.I 19.447.472

Sección 5NI; Especialidad Informática

Para:

Profesor Eliezer Cordova; Auditoria de Sistemas

Fuentes Consultadas:

• Pagina: Ecured. Auditoria de sistemas link:

https://www.ecured.cu/Auditor%C3%ADa_de_sistemas

• Pagina: Hacking Etico, Auditoria de seguridad informática link:

https://www.ecured.cu/Auditor%C3%ADa_de_sistemas

• Pagina: Asociacion nacional de tasadores y peritos Judiciales

informaticos,Auditoria de seguridad informática, link:

http://www.antpji.com/antpji2013/index.php/articulos2/111-auditoria-de-

seguridad-informatica

• Pagina: Universidad tecnológica de Perú, Ing de Seguridad y auditoria

informática, link:

https://www.utp.edu.pe/carreras/carreras-ingenieria/ingenieria-seguridad-

auditoria-informatica

• Pagina: servicios informaticos YMANT, Auditoria Seguridad Informatica,

link:

http://www.ymant.com/es/auditoria-de-seguridad-informatica/