Auditoría de seguridad de sistemas de información

Auditoría de seguridad de sistemas de información

Auditoría de seguridad de sistemas de información

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Contenido

Fases de una auditoría

Los servicios de auditoría constan de las siguientes fases:

  • Enumeración de redes, topologías y protocolos
  • ****** Identificación de los sistemas operativos instalados
  • Análisis de servicios y aplicaciones
  • Detección, comprobación y evaluación de vulnerabilidades
  • Medidas específicas de corrección
  • Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoría

Los servicios de auditoría pueden ser de distinta índole:

  • Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
  • Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
  • Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
  • Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
  • Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
  • Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.

Estándares de Auditoría Informática y de Seguridad

Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.

Véase también

Obtenido de "Auditor%C3%ADa de seguridad de sistemas de informaci%C3%B3n"

Wikimedia foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Mira otros diccionarios:

  • Auditoría — Saltar a navegación, búsqueda Auditoría puede referirse a: Auditoría contable, realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad. Auditoría energética, una inspección, estudio y análisis de… …   Wikipedia Español

  • Auditoría informática — Saltar a navegación, búsqueda La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo… …   Wikipedia Español

  • Auditoría contable — Saltar a navegación, búsqueda La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para… …   Wikipedia Español

  • Seguridad de la información — Este artículo o sección necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso. También puedes ayudar wikificando otros artículos o cambiando este …   Wikipedia Español

  • Glosario de seguridad informática — Saltar a navegación, búsqueda # Termino Termino Definicion Referencia 1 Activo Físico Activo que se caracteriza por poseer un valor intrínseco y está constituido por maquinas, equipos, edificios, y otros bienes de inversión, así como por las… …   Wikipedia Español

  • Auditoría energética — Saltar a navegación, búsqueda Una auditoría energética es una inspección, estudio y análisis de los flujos de energía en un edificio, proceso o sistema con el objetivo de comprender la energía dinámica del sistema bajo estudio. Normalmente una… …   Wikipedia Español

  • Objetivos de control para la información y tecnologías relacionadas — Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la… …   Wikipedia Español

  • Wikipedia:Fusionar — Categoría:Wikipedia:Fusionar Saltar a navegación, búsqueda Atajos CAT:APFCAT:APF Atajos Para colocar un artículo en esta categoría, utilice las plantillas {{fusionar}}, {{fusionar en}} y {{fusionar desde}}. Estos artículos han sido marcados para… …   Wikipedia Español

  • CISA — Saltar a navegación, búsqueda Certified Information Systems Auditor (CISA) es una certificación para auditores respaldada por la Asociación ISACA (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos …   Wikipedia Español

  • Códigos de clasificación JEL — Los artículos en revistas de economía se clasifican generalmente de acuerdo con el sistema usado por la revista Journal of Economic Literature (JEL). El JEL se publica trimestralmente por la American Economic Association y contiene artículos e… …   Wikipedia Español

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”