AUDITORIA DE SEGURIDAD

La seguridad es una de las principales preocupaciones con las que se encuentran

las empresas. Para asegurar que no se producen altercados inesperados es
necesario sacar partido a una auditoría que analice los sistemas y las distintas
estaciones de trabajo de la empresa a fin de poder descubrir vulnerabilidades
existentes.

La seguridad en las instituciones es de suma importancia debido a los altos

índices de vulnerabilidad y daños ocasionados por la falta de una cultura al tema
de la seguridad, lo que provoca un aumento en los niveles de riesgo. Se puede
destacar que la seguridad impacta como problemática en aspectos
organizacionales de diseño y tecnológicos.

¿Qué áreas cubre una auditoria en seguridad?

 Administración y Recursos Humanos

 Finanzas y Contabilidad
 Publicidad y Mercadotecnia
 Informática

Cuando se trata de implementar modelos para gestionar la seguridad el aspecto

más importante para garantizar la mejora del sistema son las revisiones, y una de
sus principales herramientas son las auditorías de seguridad.

Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve
para entregar mucha información acerca del estado actual de la protección de la
información en una empresa. Además, brinda la posibilidad de comparar los
sistemas de gestión con respecto a normativas y requerimientos legales que
deben cumplir las organizaciones.

Con toda la implicación que tiene una auditoría de seguridad es necesario tener
claro cuáles son los puntos por los cuales se quiere empezar. Para esto es
recomendable analizar que en la política de seguridad se tenga en cuenta la
clasificación de los activos de información al igual que las medidas de protección
respectivas.

Con una auditoría de seguridad se debe llegar a validar que los niveles de riesgo a
los cuales está expuesta una organización realmente cumplen con sus
políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y
los estándares que apliquen según la industria. Este análisis debe ser transversal
a la organización, revisando todos sus procesos.
Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden
considerar dos opciones.

 La primera es realizar una auditoría interna es decir, utilizando un equipo de

trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las
realizan personas que conocen los procesos y cómo funciona la empresa,
por lo cual puede llegar a ser más rápida y realizarse con una mayor
periodicidad.
 La otra opción es hacer una auditoría externa, en la cual participa un
experto ajeno a la empresa y se hace más independiente. La principal
ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho
de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo
de revisiones, que de otra forma parecerían obvias.

Fases de una auditoria de seguridad (General):

Primera Fase Planeación:

En esta fase se establecen las relaciones entre auditores y la entidad, para

determinar alcance y objetivos. Se hace un bosquejo de la situación de la entidad,
acerca de su organización, sistema contable, controles internos, estrategias y
demás elementos que le permitan al auditor elaborar el programa de auditoria que
se llevará a efecto.

Segunda fase Ejecución:

En esta fase se realizan diferentes tipos de pruebas y análisis, aunque las tres
fases son importantes, esta fase viene a ser el centro de lo que es el trabajo de
auditoria, donde se realizan todas las pruebas y se utilizan todas las técnicas o
procedimientos para encontrar las evidencias de auditoria que sustentarán el
informe de auditoría.

Tercera Fase Preparación del Informe:

El informe de Auditoría debe contener a lo menos:

1- Dictamen sobre el área auditada.

2- Informe sobre la estructura del Control Interno de la entidad.
3- Conclusiones y recomendaciones resultantes de la Auditoría.4- Deben
detallarse en forma clara y sencilla, los hallazgos encontrados.
 “Seguridad de la información”
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de
información (SI) es el estudio que comprende el análisis y gestión de sistemas
llevados a cabo por profesionales para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Fases de una auditoría:

Los servicios de auditoría constan de las siguientes fases:

 Enumeración de redes, topologías y protocolos

 Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT,
etc.
 Identificación de los sistemas operativos instalados
 Análisis de servicios y aplicaciones
 Detección, comprobación y evaluación de vulnerabilidades
 Medidas específicas de corrección
 Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoría de seguridad de la información:

Los servicios de auditoría pueden ser de distinta índole:

 Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de

seguridad y privacidad de las redes locales y corporativas de carácter interno
 Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la
red local o corporativa es estudiado y se analiza el grado de seguridad que
ofrece en las entradas exteriores
 Test de intrusión. El test de intrusión es un método de auditoría mediante el
cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a
la intrusión no deseada. Es un complemento fundamental para la auditoría
perimetral.
 Análisis forense. El análisis forense es una metodología de estudio ideal para
el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo
se ha penetrado en el sistema, a la par que se valoran los daños ocasionados.
Si los daños han provocado la inoperabilidad del sistema, el análisis se
denomina análisis postmortem.
 Auditoría de páginas web. Entendida como el análisis externo de la web,
comprobando vulnerabilidades como la inyección de código sql, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
 Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones
páginas Web como de cualquier tipo de aplicación, independientemente del
lenguaje empleado Realizar auditorías con cierta frecuencia asegura la
integridad de los controles de seguridad aplicados a los sistemas de
información. Acciones como el constante cambio en las configuraciones, la
instalación de parches, actualización de los softwares y la adquisición de nuevo
hardware hacen necesario que los sistemas estén continuamente verificados
mediante auditoría.

Estándares de Auditoría Informática y de Seguridad.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para
auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologías de la Información), dentro de los objetivos definidos como parámetro,
se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un
código internacional de buenas prácticas de seguridad de la información, este
puede constituirse como una directriz de auditoría apoyándose de otros
estándares de seguridad de la información que definen los requisitos de auditoría
y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
Bibliografía:
https://www.welivesecurity.com/la-es/2013/08/14/que-se-debe-tener-
en-cuenta-para-auditar-la-seguridad/

https://www.universidadviu.es/auditoria-seguridad-informatica-fases-
tipos-principales

http://www.academia.edu/9876449/Auditoria_de_seguridad_de_sistem
as_de_informacion

https://www.auditool.org/blog/auditoria-interna/3291-que-areas-deben-
incluirse-en-el-plan-de-auditoria-interna
 Cuestionario
¿Qué opciones se pueden considerar en una auditoría de un sistema de gestión de seguridad y
en qué consisten?

R.- Realizar una auditoría interna (utilizando un equipo de trabajo de la empresa) o realizar una
auditoría interna (en la cual participa un experto ajeno a la empresa)

¿Cuáles son las fases de una auditoría de seguridad?

R.-

• planeación
• Ejecución
• Preparación del informe

¿Cuál es la definición de una auditoría de seguridad informática o de seguridad de la

información?

R.- Es el estudio llevado a cabo por profesionales para identificar, enumerar y describir
vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de
comunicaciones o servidores.

Menciona tres fases de la auditoria de seguridad de la información.

R.- Cualquiera de las siguientes:

• Enumeración de redes, topologías y protocolos

• Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.

¿Cuáles son los estándares base de auditoría informática y de seguridad?

R.- COBIT, ISO 27001, ISO 27002