2. Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por
profesionales para identificar, enumerar y posteriormente describir las diversas
vulnerabilidades que puedan presentarse en una revisión exhaustiva de las
estaciones de trabajo, redes de comunicaciones o servidores.
3. Una vez obtenidos los resultados, se detallan, se archivan y se reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad de
sus sistemas aprendiendo de los errores cometidos con anterioridad.
4. Antiguamente la comprobación de la gestión, control y actividad económica-
financiera de las empresas se realizaba mediante largos, costosos y exhaustivos
procesos de auditoría financiera.
La implantación de sistemas informáticos, deja anulado estos sistemas, debido a que
no pueden detectar las entradas y salidas generadas y si habían sido objeto o no de
manipulación. Una empresa que cuente con una plantilla mínima de 50 personas, ha
de tener una auditoria informática independiente que garantice la seguridad de sus
sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como
externos.
5. La seguridad de la información es el conjunto de medidas preventivas y reactivas
de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad e
integridad de datos y de la misma.
El concepto de seguridad de la información no debe ser confundido con el de
seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.
6.
7. El campo de la seguridad de la información ha crecido y evolucionado considerablemente
a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel
mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de
sistemas de información, planificación de la continuidad del negocio, ciencia forense
digital y administración de sistemas de gestión de seguridad, entre otros.
8. • Enumeración de redes, topologías y
protocolos
• Verificación del Cumplimiento de los
estándares internacionales. ISO, COBIT.
• Identificación de los sistemas operativos
instalados.
• Análisis de servicios y aplicaciones.
• Análisis de servicios y aplicaciones.
• Detección, comprobación y evaluación de
vulnerabilidades.
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas
preventivas.
• Equipos instalados, servidores, programas,
sistemas operativos.
• Análisis de Seguridad en los equipos y en la red.
• Vulnerabilidades que pudieran presentarse en una
revisión de las estaciones de trabajo, redes de
comunicaciones, servidores.
Una vez obtenidos los resultados y verificados, se emite el informe, indicándole el establecimiento de las
medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con
anterioridad.
9. • Estudio General, evaluando la empresa, el
personal, equipos y programas.
• Observación de los sistemas implantados y
realización de cuestionarios y entrevistas, sobre
todo al personal que tenga acceso a
documentación o datos sensibles.
• Enumerar los equipos, redes y protocolos de
enrutamiento.
• Analiza e inspecciona los servicios utilizados,
aplicaciones y procedimientos usados
• Identifica y confirma todos los sistemas
operáticos instalados.
• Conciencia sobre la normativa y legislación
vigente
• Identifica, ejecuta análisis, inspecciona, verifica,
comprueba y evalúa las evidencias y fallas (OJO
con el factor humano)
• Diseña controles y medidas correctivas en las
actividades y recursos dentro de la empresa.
• Realiza un completo Análisis de Riesgos.
• Realiza un informe completo sobre la
implantación de la Auditoria de Seguridad,
implantación de medidas preventivas y
protocolo de Seguridad a instalar
• Emite un certificado de Seguridad de Auditoria
Informática
• Visitas cada tres meses para la comprobación de
la aplicación de las normas.
10.
11. El objetivo de una ASI es conseguir información fidedigna del
estado de nuestros sistemas de tal forma que se consiga un
documento final donde se plasme qué vulnerabilidades, problemas
o fallos de configuración se han detectados, la peligrosidad y
criticidad de dichos fallos de seguridad.
12. Los procesos cubren cuatro frentes específicos:
1. Auditar desde Internet
identificando las vulnerabilidades a las que se
ve expuesto el recurso computacional y el sitio
Web de la organización desde Internet por
parte de delincuentes informáticos.
2. Auditar desde la red interna (LAN)
identificación de las vulnerabilidades
generadas desde el interior de la
organización aprovechando los beneficios de
la red de área local.
13. 3. Trabajo sobre los equipos
Ejecutando herramientas software de
identificación de vulnerabilidades,
identificación de tipos de archivos
contenidos de software espía, virus
informáticos y análisis personales del
estado físico, lógico y locativo de cada uno
de los equipos. 4. Ejecución de entrevistas sobre el
manejo de las políticas de seguridad
física, lógica y locativa de los
miembros de la organización.
14. Definen los requerimientos obligatorios para la
auditoría de sistemas y la generación de informes.
Una auditoría se realiza con base a un patrón o
conjunto de directrices o buenas prácticas
sugeridas.
Existen estándares orientados a servir como base
para auditorías de informática. Uno de ellos es
COBIT (Objetivos de Control de la Tecnologías de
la Información), dentro de los objetivos definidos
como parámetro, se encuentra el “Garantizar la
Seguridad de los Sistemas”.
15. Adicional a este estándar podemos encontrar el
estándar ISO 27002, el cual se conforma como un
código internacional de buenas prácticas de
seguridad de la información, este puede
constituirse como una directriz de auditoría
apoyándose de otros estándares de seguridad de
la información que definen los requisitos de
auditoría y sistemas de gestión de seguridad,
como lo es el estándar ISO 27001
16. Auditoria interna:
Se testea el nivel de seguridad y privacidad de las
redes locales (LAN) y corporativas de carácter
interno.
Auditoria perimetral:
La red local o corporativa se estudia y se analiza el
grado de seguridad que ofrece entre la red interna
y red externa (“frontera”).
Test de intrusión:
Se intenta acceder a los sistemas para comprobar
el nivel de resistencia a los intrusos no deseados.
Fundamentar el auditoria Perimetral. -Escrito de
vulnerabilidades a explotar(*)-
Análisis forence: Se enfatizada a posteriores
incidentes, mediante la cual se trata reconstruir
cómo se ha vulnerado el sistema y a la vez
valorando los daños ocasionados.
Auditoría de páginas web: Entendida como el
análisis externo de la web, comprobando
vulnerabilidades como la inyección de código SQL,
Verificación de existencia y anulación de
posibilidades de Cross Site Scripting (XSS), etc.
Auditoría de código de aplicaciones: Análisis del
código tanto de aplicaciones páginas Web como
de cualquier tipo de aplicación,
independientemente del lenguaje empleado.
17. Perfil:
• Comprueba las medidas de seguridad y
control de los sistemas informáticos
estén de acuerdo al reglamento que se
haya establecido para la protección de
los datos.
Tecnologías de la Información y la Comunicación (TIC)[efectividad y aprovechamiento de recursos]
• Tener amplio conocimiento de las
TIC.
• Conocer la legislación: Ley
Orgánica 15/1999, del 13 de
diciembre.
Protección de Datos de Carácter Personal (LOPD)
• Comprometido con guardar la
confidencialidad de la información -
no puede auditar una empresa con
relación familiar, comercial, etc.-
• Haber participado en posteriores
auditorias.
• Capacidad para comunicar los
resultados obtenidos.
• Tener siempre el concepto de
calidad total
• Ser veraz he imparcial
• Identifica las deficiencias, y propone
medidas correctoras o complementarias.
Usted no sabe la verdad universal
18. • Amenazas y elementos de Seguridad de
entrada y salida de datos.
• Identificación de amenazas.
• Seguridad en Internet
• Control de Sistemas y Programas
instalados
• Protocolo de Riesgos, Seguridad, Seguros,
Programas instalados…
• Protocolo ante perdidas, fraude y
ciberataques
• Planes de Contingencia y
Recuperación de Desastres
• Seguridad Física
• Análisis de Riesgos
• Seguridad de Datos y Programas
• Políticas de Seguridad
• Medidas de Seguridad (Preventivas y
Correctivas)
• LOPD / Decreto 1377
Ley orgánica de protección de datos / el tratamiento de datos personales
• Aspectos Gerenciales
Conocer a la empres y sus reglamentos
• Plan de Seguridad(*)
Identificación y mitigación de riesgos
19. 3. Dictamen de la auditoria
1. Hallazgos potenciales
2. Observaciones y
recomendaciones
4. Análisis DOFA
20. El informe de auditoria; es el resultado del estudio, investigación, y
análisis efectuado por los auditores durante la realización de una
auditoria, que expresa por escrito su(s) opinión(es) sobre el área o
actividad auditada se relacione con los objetivos fijados, señalando así las
debilidades del control, si las ha habido, y formula recomendaciones
pertinentes para eliminar las causas de tales deficiencias y establecer las
medidas correctivas.
Ejemplo:
“El presente informe realizado en el munición de San Marcos, Guatemala. Con el fin de evaluar el
funcionamiento de los sistemas y procedimientos informáticos en equipos,”…entre otros
25. Adjuntar fotos si
lo amerita.
• Utilizar lenguaje coloquial.
• Evitar acentos de regaño o menosprecio.
• Evitar la abundancia de literatura, evitar la
sobre información.
• Debe ser preciso y evidente en cuanto a la
información, para ser captado de inmediato sin
necesidad de aclaraciones.