Auditoría de Seguridad Informática

4
AUDITORÍA DE SEGURIDAD INFORMÁTICA Antiguamente la comprobación de la gestión, control y actividad económica- financiera de las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditoría financiera. Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como externos. Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos: Equipos instalados, servidores, programas, sistemas operativos… Procedimientos instalados Análisis de Seguridad en los equipos y en la red Análisis de la eficiencia de los Sistemas y Programas informáticos Gestión de los sistemas instalados Verificación del cumplimiento de la Normativa vigente LOPD Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores. Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Una Auditoria de Seguridad conlleva: Amenazas y elementos de Seguridad de entrada y salida de datos. Aspectos Gerenciales Análisis de Riesgos Identificación de amenazas. Seguridad en Internet Control de Sistemas y Programas instalados Protocolo de Riesgos, Seguridad, Seguros, Programas instalados… Protocolo ante perdidas, fraude y ciberataques Planes de Contingencia y Recuperación de Desastres Seguridad Física Seguridad de Datos y Programas Plan de Seguridad Políticas de Seguridad Medidas de Seguridad (Directivas, Preventivas y Correctivas) Cadena de Custodia LOPD Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan de Auditoria Informática que oriente sobre la planificación de un sistema

Transcript of Auditoría de Seguridad Informática

AUDITORA DE SEGURIDAD INFORMTICAAntiguamente la comprobacin de la gestin, control y actividad econmica-financiera de las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditora financiera.Una empresa que cuente con una plantilla mnima de 50 personas, ha de tener una auditoria informtica independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como externos.Una auditora de seguridad informtica es una evaluacin de los sistemas informticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos: Equipos instalados, servidores, programas, sistemas operativos Procedimientos instalados Anlisis de Seguridad en los equipos y en la red Anlisis de la eficiencia de los Sistemas y Programas informticos Gestin de los sistemas instalados Verificacin del cumplimiento de la Normativa vigente LOPD Vulnerabilidades que pudieran presentarse en una revisin de las estaciones de trabajo, redes de comunicaciones, servidores.Una vez obtenidos los resultados y verificados, se emite otro informe, indicndole el establecimiento de las medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.Las auditoras de seguridad permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.Una Auditoria de Seguridad conlleva: Amenazas y elementos de Seguridad de entrada y salida de datos. Aspectos Gerenciales Anlisis de Riesgos Identificacin de amenazas. Seguridad en Internet Control de Sistemas y Programas instalados Protocolo de Riesgos, Seguridad, Seguros, Programas instalados Protocolo ante perdidas, fraude y ciberataques Planes de Contingencia y Recuperacin de Desastres Seguridad Fsica Seguridad de Datos y Programas Plan de Seguridad Polticas de Seguridad Medidas de Seguridad (Directivas, Preventivas y Correctivas) Cadena de Custodia LOPDEs necesario en las empresas, dependiendo de la cantidad de empleados y facturacin un Plan de Auditoria Informtica que oriente sobre la planificacin de un sistema seguro y un plan de emergencia ante posibles desastres; implementando una metodologa a seguir en caso de que ocurra alguna vulnerabilidad.Nadie est a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el control interno y evitar situaciones no deseadas.Hay que instalar un sistema apoyado en herramientas de anlisis y verificacin que permitan determinar las debilidades y posibles fallos y su inmediata reparacin, reposicin o contra-ataque.Los servicios de auditora pueden ser de distinta ndole: Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento fundamental para la auditora perimetral. Anlisis forense. El anlisis forense es una metodologa de estudio para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades. Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado.Una Auditoria de Seguridad Informtica se realiza en base a un conjunto de directrices de buenas prcticas que garanticen la seguridad de los sistemas.Existen estndares base para auditorias informticas como: COBIT (objetivos de Control de la Tecnolgica de la Informacin) ISO 17799 ISO 27001 ISO 27002 Normas NFPA75 TIA 942 ISACANo me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informtico a la hora de implantar un modelo de Auditoria de Seguridad Informtica sera el siguiente: Estudio General, evaluando la empresa, el personal, equipos y programas Observacin de los sistemas implantados y realizacin de cuestionarios y entrevistas, sobre todo al personal que tenga acceso a documentacin o datos sensibles. Elabora grficos estadsticos y flujogramas. Anlisis de datos (Comparacin de programas, Mapeo y rastreo de programas, Anlisis de cdigo de programas, Datos de prueba, Datos de prueba integrados, Anlisis de bitcoras, Simulacin paralela) Enumera los equipos, redes, protocolos Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados Identifica y confirma todos los sistemas operticos instalados Identifica, ejecuta anlisis, inspecciona, verifica, comprueba y evala las evidencias y fallas (OJO con el factor humano) Disea controles y medidas correctivas en las actividades y recursos dentro de la empresa. Conciencia sobre la normativa y legislacin vigente Realiza un completo Anlisis de Riesgos. Realiza un informe completo sobre la implantacin de la Auditoria de Seguridad, implantacin de medidas preventivas y protocolo de Seguridad a instalar Emite un certificado de Seguridad de Auditoria Informtica Visitas cada tres meses para la comprobacin de la aplicacin de las normas.Es necesario pensar de manera analtica, reflexiva y critica a la hora de integrar equipos y personas.Debemos ser creativos en la implantacin de los paquetes de medidas a instalar concienciando al personal, facilitndole la labor de controles internos y aplicacin de medidas correctivas con un lenguaje sencillo y aplicaciones bsicas pero efectivas que garanticen la seguridad ante un ataque externo.Un sistema implantado de Auditoria Informtica ha de ser vlido y efectivo, sin que dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas organizacionales.Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control que se indiquen segn el nmero de empleados y facturacin de la empresa.El cliente conoce el valor de la seguridad fsica, pero en contadas ocasiones conoce el precio de la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o sanciones por la prdida de informacin sensible o la quiebra del negocio por un ciberataque.No solo es necesario una Auditoria de Seguridad Informtica, sino realizar un mantenimiento, al igual que se hace con los equipos informticos, ya que as podemos asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los avances tecnolgicos avanzan metericamente al igual que los delitos cibernticos, con lo que es necesario parches, actualizaciones de software, adquisicin de nuevos productos tanto en software como hardware.Es necesario desde el primer momento realizar una evaluacin de la empresa con sus variables de personal, equipos, facturacin, delegaciones para calcular los tiempos y realizar un coste aproximado de la implantacin de una Auditoria Informtica, identificando los riesgos actuales y la forma de superarlos.No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos, sino con un nmero de personas desconocidas que van a utilizar el resultado de nuestro trabajo como base para tomar decisiones. Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos El informe inicial de Auditoria de Seguridad Informtica ha de contener: Tipo de Auditoria a instalar (mbito, Aplicacin, y Planificacin de la misma) Riesgos actuales Seguridad fsica y lgica del Centro Tecnolgico (Central, Servidores) Auditoria de direccin y personal autorizado a integrar en la Auditoria Auditoria del desarrollo del negocio (Fsica, Forense y Financiera) Base de Datos ( LOPD, normativa, irregularidades, correos personales) Implantacin de medidas de seguridad Anlisis de Negocio Electrnico y administracin de la WEB Aplicacin de tcnicas y procedimientos de auditora forense. Aplicacin de nuevas tecnologas en equipos o programas en la Empresa. Aplicacin de los sistemas instalados ante incidentes Curso de gestin de conocimiento al personal sobre: Amenazas y problemas en el uso de las tecnolgicas de informacin Conceptos de Seguridad Control de Confidencialidad Correos Redes sociales Privacidad Instalacin de programas Medidas de control ante un ataque Normas de seguridad a instalar en la empresa Normativa de seguridad SCII Sistema de Control Informtico Interno Riesgos y control de los mismos