Indice

1. Deniciones 4
1.1. Seguridad del proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Auditoria de Seguridad de Procesos . . . . . . . . . . . . . . . . . . . 4
1.3. Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.4. Cliente de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.5. Auditado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.6. Criterios de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2. Fases de una Auditora 5
3. Tipos de Auditora 5
4. Parametros para realizar las auditorias de Seguridad 6
5. Actividades de la Auditoria 7
6. Preparaci on del informe de auditoria 7
7. Metodologa de Auditora de Seguridad 8
7.1. COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
7.1.1. PLANIFICACION Y ORGANIZACION: . . . . . . . . . . . . 8
7.1.2. ADQUISION E IMPLANTACION: . . . . . . . . . . . . . . . 8
7.1.3. SOPORTE Y SERVICIOS: . . . . . . . . . . . . . . . . . . . 9
7.1.4. MONITOREO: . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7.2. ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7.2.1. La Fase de planicaci on: . . . . . . . . . . . . . . . . . . . . . 10
7.2.2. La Fase de implementacion: . . . . . . . . . . . . . . . . . . . 11
7.2.3. La Fase de revisi on: . . . . . . . . . . . . . . . . . . . . . . . . 11
7.2.4. La Fase de mantenimiento y mejora: . . . . . . . . . . . . . . 12
1
8. Objetivos de una auditora 12
2
Introducci on
En el mundo en que vivimos la informacion constituye el mayor bien de una empre-
sa y con la informatizaci on de esos datos se hace muy necesario que existan ciertas
medidas de seguridad que garanticen al menos hasta cierto grado la integridad,
conabilidad, autenticacion de dicha informacion.
De esta necesidad surgen las distintas normas y est andares inform aticos a las
que una empresa deben someterse para su buen funcionamiento. Surgen tambien las
distintas auditorias gestionan y controlan los diferentes procedimientos que se em-
plean en el area informatica, as como tambien el procesamiento electronico de datos.
Ademas de analizar el desempe no y funcionamiento de los sistemas de informacion,
de los cuales depende la organizaci on.
3
Auditoras de Seguridad
1. Deniciones
1.1. Seguridad del proceso
Consiste en la proteccion de las personas y de los bienes de incidentes episodicos
catastr ocos que pueden producirse como resultado de variaciones sobre los previsto
en las condiciones de los procesos, no planicadas o inesperadas ( esta denicion
responde a una situacion ideal pues no se puede trabajar en una ausencia total de
riesgos con materiales que posean caractersticas peligrosas inherentes)
1.2. Auditoria de Seguridad de Procesos
Es una revisi on formalizada que identica los riesgos de los procesos relacionados
con los estandares establecidos. Las auditorias verican que los sistemas de gesti on
que se estan utilizando son ecaces en su objetivo de asegurar que se est an llevando
a cabo las polticas y los procedimientos de la empresa
1.3. Auditor
Persona con la competencia para realizar una auditoria.
1.4. Cliente de Auditoria
Organizaci on o persona que solicita la auditoria.
1.5. Auditado
Organizaci on objeto de una auditoria.
4
1.6. Criterios de Auditoria
Conjunto de polticas, procedimientos o requisitos utilizados como una referencia.
2. Fases de una Auditora
1. Enumeracion de redes, topologias y protocolos
2. Identicacion de los sistemas operativos instalados
3. Analisis de servicios y aplicaciones
4. Deteccion, comprobacion y evaluacion de vulnerabilidades
5. Medidas especicas de correcion
6. Recomendaciones sobre la implantacion de medidas preventivas
3. Tipos de Auditora
1. Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel
de seguridad y privacidad de las redes locales y corporativas de caracter interno
2. Auditora de seguridad perimetral. En este tipo de an alisis, el permetro de
la red local o corporativa es estudiado y se analiza el grado de seguridad que
ofrece en las entradas exteriores
3. Test de intrusion. El test de intrusion es un metodo de auditora mediante el
cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia
a la intrusi on no deseada. Es un complemento fundamental para la auditora
perimetral.
5
4. An alisis forense. El an alisis forense es una metodologa de estudio ideal para el
an alisis posterior de incidentes, mediante el cual se trata de reconstruir como
se ha penetrado en el sistema, a la par que se valoran los da nos ocasionados. Si
los da nos han provocado la inoperabilidad del sistema, el an alisis se denomina
an alisis postmortem.
5. Auditora de p aginas web. Entendida como el an alisis externo de la web, com-
probando vulnerabilidades como la inyeccion de c odigo sql, Vericaci on de
existencia y anulacion de posibilidades de Cross Site Scripting (XSS), etc.
6. Auditora de codigo de aplicaciones. Analisis del codigo tanto de aplicaciones
p aginas Web como de cualquier tipo de aplicaci on, independientemente del
lenguaje empleado
4. Parametros para realizar las auditorias de Se-
guridad
1. Objetivos
2. Principios
3. Alcance
4. Frecuencia
5. Criterios de Auditora
6. Contenido
7. Plan
8. Mejoramiento Continuo
6
5. Actividades de la Auditoria
1. Inicio de la auditoria.
2. Revision de la auditoria.
3. Revision de la documentaci on.
4. Preparacion de las actividades de auditorias in situ.
5. Actividades de auditoria in situ.
6. Preparacion, aprobaci on y distribuci on del informe de auditoria.
7. Realizacion del seguimiento de la auditoria.
6. Preparaci on del informe de auditoria
El auditor debe preparar el informe de la auditoria. Este informe debe se com-
pleto, conciso y claro. Debe incluir y hacer referencia a:
1. Objetivo de la auditoria.
2. El alcance de la auditoria.
3. Identicaci on del auditor y/o el equipo auditor.
4. Las fechas y lugares donde se realizaron las actividades de la auditoria.
5. La metodologa y los criterios que se utilizaron en la auditoria.
6. Los hallazgos de la auditoria ( Conformidades y la No Conformidades).
7. Las conclusiones de la auditoria.
7
7. Metodologa de Auditora de Seguridad
7.1. COBIT
La mision y objetivo principal de COBIT es investigar, desarrollar, publicar y
promocionar objetivos de control de TI internacionales, actualizados a la realidad
actual para ser usados por los gerentes de negocios y auditores.
COBIT ha sido desarrollado como est andares generalmente aplicables y acep-
tados para mejorar las practicas de control y seguridad de las TI, que provean un
marco de referencia para la administracion, los usuarios y los auditores de cual-
quier tipo. Basicamente consta de 4 pasos, los cuales conforman el planeamiento y
realizaci on de una auditoria, ellos son:
7.1.1. PLANIFICACION Y ORGANIZACION:
Este dominio cubre la estrategia y las tacticas y se reere a la identicaci on de
la forma en que la tecnologa de informacion puede contribuir de la mejor manera
al logro de los objetivos del negocio. Ademas, la consecuci on de la visi on estrategica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deber an establecerse una organizaci on y una infraestructura tecnol ogica
apropiadas.
7.1.2. ADQUISION E IMPLANTACION:
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identicadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Ademas, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
8
7.1.3. SOPORTE Y SERVICIOS:
En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por segu-
ridad y aspectos de continuidad. Con el n de proveer servicios, deber an establecerse
los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos
por sistemas de aplicaci on, frecuentemente clasicados como controles de aplicaci on.
7.1.4. MONITOREO:
Todos los procesos necesitan ser evaluados regularmente a traves del tiempo para
vericar su calidad y suciencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de informacion, como de la tecnologa que la respalda. Estos dominios y
objetivos de control facilitan que la generaci on y procesamiento de la informaci on
cumplan con las caractersticas de efectividad, eciencia, condencialidad, integri-
dad, disponibilidad, cumplimiento y conabilidad.
7.2. ISO 27001
La norma ISO 27001 dene c omo organizar la seguridad de la informaci on en
cualquier tipo de organizacion. La ISO 27001 es para la seguridad de la informaci on
lo mismo que la ISO 9001 es para la calidad: es una norma cuyo objetivo es propor-
cionar una metodologa para la implementaci on de la seguridad de la informaci on
en una organizaci on. La norma ISO 27001 determina como gestionar la seguridad
de la informaci on a traves de un sistema de gesti on de seguridad de la informacion.
Un sistema de gestion de este tipo, igual que las normas ISO 9001 o ISO 14001,
est a formado por cuatro fases que se deben implementar en forma constante para
reducir al mnimo los riesgos sobre condencialidad, integridad y disponibilidad de
la informacion.
9
Las fases son las siguientes:
7.2.1. La Fase de planicacion:
Esta fase sirve para planicar la organizacion b asica y establecer los objetivos de
la seguridad de la informacion y para escoger los controles adecuados de seguridad
(la norma contiene un cat alogo de 133 posibles controles).
Esta fase est a formada por los siguientes pasos:
1. Determinacion del alcance del SGSI.
2. Redaccion de una Poltica de SGSI.
3. Identicacion de la metodologa para evaluar los riesgos y determinar los cri-
terios para la aceptabilidad de riesgos.
4. Identicacion de activos, vulnerabilidades y amenazas.
5. Evaluaci on de la magnitud de los riesgos.
6. Identicacion y evaluaci on de opciones para el tratamiento de riesgos.
7. Seleccion de controles para el tratamiento de riesgos.
8. Obtencion de la aprobaci on de la gerencia para los riesgos residuales.
9. Obtencion de la aprobaci on de la gerencia para la implementacion del SGSI.
10. Redaccion de una declaracion de aplicabilidad que detalle todos los controles.
11. Aplicables, determine cuales ya han sido implementados y cu ales no son apli-
cables.
10
7.2.2. La Fase de implementacion:
Esta fase implica la realizacion de todo lo planicado en la fase anterior.
Esta fase incluye las siguientes actividades:
1. Redaccion de un plan de tratamiento del riesgo que describe quien, como,
cu ando y con que presupuesto se deberan implementar los controles corres-
pondientes;
2. Implementaci on de un plan de tratamiento del riesgo;
3. Implementaci on de los controles de seguridad correspondientes;
4. Determinacion de como medir la ecacia de los controles;
5. Realizacion de programas de concienciaci on y capacitaci on de empleados;
6. Gestion del funcionamiento normal del SGSI;
7. Gestion de los recursos del SGSI;
8. Implementaci on de procedimientos para detectar y gestionar incidentes de se-
guridad.
7.2.3. La Fase de revision:
El objetivo de esta fase es monitorear el funcionamiento del SGSI mediante
diversos canales y vericar si los resultados cumplen los objetivos establecidos.
Esta fase incluye lo siguiente:
1. Implementaci on de procedimientos y demas controles de supervisi on y control
para determinar cualquier violaci on, procesamiento incorrecto de datos, si las
actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.
2. Revisiones peri odicas de la ecacia del SGSI.
11
3. Medicion la ecacia de los controles.
4. Revision periodica de la evaluacion de riesgos.
5. Auditoras internas planicadas.
6. Revisiones por parte de la direccion para asegurar el funcionamiento del SGSI
y para identicar oportunidades de mejoras.
7. Actualizacion de los planes de seguridad para tener en cuenta otras actividades
de supervision y revisi on.
8. Mantenimiento de registros de actividades e incidentes que puedan afectar la
ecacia del SGSI.
7.2.4. La Fase de mantenimiento y mejora:
El objetivo de esta fase es mejorar todos los incumplimientos detectados en la
fase anterior.
Esta fase incluye lo siguiente:
1. Implementaci on en el SGSI de las mejoras identicadas; toma de medidas
correctivas y preventivas y aplicaci on de experiencias de
2. Seguridad propias y de terceros;
3. Comunicaci on de actividades y mejoras a todos los grupos de interes;
4. Asegurar que las mejoras cumplan los objetivos previstos.
8. Objetivos de una auditora
1. Determinar la conformidad o no conformidad del sistema de gestion con los
requisitos especcos.
12
2. Determinar la eciencia del sistema de gesti on implantado par alcanzar los
objetivos de calidad especcos
3. Proporcionar al auditado la oportunidad de mejorar el sistema de gesti on.
4. Cumplir los requisitos reglamentarios
5. Mantener registros de las evidencias encontradas en las distintas areas audita-
das.
13
Conclusi on
Mantener segura el bien mas preciado de una empresa (la informacion) es el uno de
los objetivos principales de realizar una auditoria de seguridad informatica, ya que
consiste en el analisis y la gesti on de los sistemas para identicar y posteriormen-
te corregir las vulnerabilidades dentro de una organizaci on como as tambien para
establecer medidas preventivas de refuerzo.
Para lograr el objetivo existen algunas entidades reguladoras que establecen los
criterios a ser tenidos en cuenta para que los objetivos sean alcanzados.
Realizando una sntesis de las metodologas utilizadas tenemos que se deben:
Denir el alcance de la auditoria, Recopilar informaci on, identicaci on y realizacion
de pruebas, Analizar las evidencias, Realizar un informe, Realiza un plan de mejoras.
Seguir cualquiera de las metodologas establecidas contribuye a que la auditoria
sea realizada de forma estructurada y con mejores resultados. Corrigiendo lo nece-
sario y tomando las medidas preventivas adecuadas para lograr salvaguardar lo mas
importante dentro de una organizaci on lo cual es: La Informaci on.
14
Referencias Bibliogracas
[1] Auditora de seguridad de sistemas de informaci on [en linea] http:
//es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_
de_informaci%C3%B3n
[2] uditorias de Seguridad [en linea]
http://www.slideshare.net/lizbasile/auditorias-de-seguridad-14486043
[3] ipos de Auditoria y Objetivos [en linea]
http://www.educaguia.com/biblioteca/apuntes/calidad/
tipos-auditorias-objetivos-basicos.pdf
[4] COBIT: Modelo para auditoria y control de sistemas de informaci on. [en linea]
http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/
COBIT%20audit%20y%20ctrol%20sists%20inf.pdf
[5] Conceptos b asicos sobre ISO 27001 [en linea]
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001
15