Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Documento Institucional - Auditorías de Seguridad en Sistemas III

    Cargado por

    Daniela Hurtado
    7 vistas9 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas9 páginas

    Documento Institucional - Auditorías de Seguridad en Sistemas III

    Cargado por

    Daniela Hurtado

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    Tabla de contenido

    1 ¿Qué es una auditoría de seguridad informática? Tipos y Fases ..................... 2

    1.1 Auditoría de seguridad informática, qué es ................................................ 2

    1.2 Cuáles son los beneficios de realizar una auditoría de seguridad ............. 3

    1.3 Cuáles son los tipos de auditorías de seguridad informática ..................... 3

    1.3.1 Auditorías internas y externas ............................................................. 4

    1.3.2 Auditorías técnicas .............................................................................. 4

    1.4 Auditorías por objetivo................................................................................ 4

    1.5 Qué fases contiene una auditoría de seguridad informática ...................... 6

    1.6 Objetivos y planificación ............................................................................. 6

    1.7 Recopilación de información ...................................................................... 6

    1.8 Análisis de los datos................................................................................... 7

    1.9 Realizar un informe de la auditoría ............................................................ 7


    1 ¿Qué es una auditoría de seguridad informática? Tipos y Fases

    Uno de los asuntos que más preocupa a las empresas hoy en día es la
    ciberseguridad. La gran dependencia de los negocios de la tecnología, las redes y
    las comunicaciones han puesto como prioridad la seguridad para poder garantizar
    la continuidad del negocio.

    La auditoría de seguridad informática es la herramienta principal para poder conocer


    el estado de seguridad en que se encuentra una empresa en relación con sus
    sistemas informáticos, de comunicación y acceso a internet. Estas auditorías
    permiten mejorar los sistemas e incrementar la ciberseguridad, siendo
    fundamentales para poder garantizar el funcionamiento del negocio y proteger la
    integridad de la información que manejan.

    1.1 Auditoría de seguridad informática, qué es

    Una auditoría de seguridad informática es un procedimiento que evalúa el nivel de


    seguridad de una empresa o entidad, analizando sus procesos y comprobando si
    sus políticas de seguridad se cumplen.

    El principal objetivo de una auditoría de seguridad es el de detectar las


    vulnerabilidades y debilidades de seguridad que pueden ser utilizadas por terceros
    malintencionados para robar información, impedir el funcionamiento de sistemas, o
    en general, causar daños a la empresa.

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 2
    1.2 Cuáles son los beneficios de realizar una auditoría de seguridad

    Realizar una auditoría de seguridad no es solo responsabilidad de grandes


    empresas y corporaciones. Hoy en día cualquier tipo de empresa depende de
    elementos y dispositivos tecnológicos para poder realizar sus procesos de negocio,
    por lo que es necesario que evalúe de forma periódica su seguridad. Las principales
    ventajas que aporta el realizar una auditoría de seguridad en una empresa son:

    • Mejora los controles internos de seguridad de la empresa.


    • Detecta debilidades en los sistemas de seguridad como errores, omisiones o
    fallos.
    • Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados
    o robos a nivel interno).
    • Ayuda a eliminar los puntos débiles de la empresa en cuestión de seguridad
    (webs, correo electrónico o accesos remotos, por ejemplo).
    • Permite controlar los accesos, tanto físicos como virtuales (revisión de
    privilegios de acceso).
    • Permite mantener sistemas y herramientas actualizadas.

    1.3 Cuáles son los tipos de auditorías de seguridad informática

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 3
    Existen distintos tipos de auditorías informáticas dependiendo del objetivo de las
    mismas, como auditorías forenses, técnicas, de cumplimiento de normativas o de
    test de intrusión, entre otras. Las auditorías de seguridad pueden dividirse en:

    1.3.1 Auditorías internas y externas

    Dependiendo de quién realice la auditoría se denominan internas, cuando son


    realizadas por personal de la propia empresa (aunque pueden tener apoyo o
    asesoramiento externo) o externas, cuando se realizan por empresas externas que
    son independientes de la empresa.

    1.3.2 Auditorías técnicas

    Son aquellas auditorías cuyo objetivo se centra en una parte concreta o acotada de
    un sistema informático. Entre estas auditorías podemos encontrar las de
    cumplimiento de normativas que tienen como objetivo verificar si algún estándar de
    seguridad se cumple (como la validación de sistemas informatizados en la industria
    regulada), o si las políticas y protocolos de seguridad se están realizando de forma
    apropiada.

    1.4 Auditorías por objetivo

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 4
    Se trata de auditorías de seguridad técnicas que se diferencia según el objetivo que
    persigan. Las más comunes son:

    • Sitios web. Son auditorías que tienen como objetivo evaluar la seguridad de
    las páginas web y e Commerce para descubrir posibles vulnerabilidades que
    pueden ser utilizadas por terceros.
    • Forense. Son auditorías que se realizan tras haberse producido un ataque o
    incidente de seguridad y que persiguen descubrir las causas por las que se
    ha producido, el alcance del mismo, por qué no se ha evitado, etc.
    • Redes. El objetivo es evaluar el funcionamiento y la seguridad de las redes
    empresariales, como VPN, wifi, firewalls, antivirus, etc.
    • Control de acceso. Son auditorías centradas en los controles de acceso y
    que están vinculadas a dispositivos tecnológicos físicos como cámaras de
    seguridad, mecanismos de apertura de barreras y puertas y software
    específico para el control de accesos.
    • Hacking ético. Son auditorías que se realizan para medir el nivel de seguridad
    de una empresa realizando una simulación de ataque externo (como si se
    tratase de un ataque real) para evaluar los sistemas y medidas de protección,
    identificando sus vulnerabilidades y debilidades.

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 5
    1.5 Qué fases contiene una auditoría de seguridad informática

    Para realizar una auditoría de seguridad de una empresa de una forma eficiente que
    permita obtener los mejores resultados y aplicar mejoras que incremente en nivel
    de ciberseguridad, deben seguirse una serie de fases:

    1.6 Objetivos y planificación

    En primer lugar, hay que fijar cuáles son los objetivos que se persiguen con una
    auditoría de seguridad. No es lo mismo diseñar una auditoría con el objetivo de
    validar una normativa de seguridad, que una auditoría técnica para comprobar si la
    política de seguridad se está cumpliendo.

    Una vez se han fijado los objetivos hay que realizar una planificación de los pasos
    a seguir, de las herramientas a utilizar, elaboración de un calendario de actuaciones,
    y de las áreas a analizar para poder alcanzar esos objetivos.

    1.7 Recopilación de información

    En esta fase se recopiló toda la información posible para poder evaluar el


    funcionamiento de los sistemas informáticos, tecnologías, políticas y protocolos
    objetivos de la auditoría. Los principales canales que se utilizarán para objetar esta
    información son:

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 6
    • Entrevistas con el personal de la empresa.
    • Revisión de documentación (políticas y protocolos).
    • Análisis de especificaciones de hardware y software.
    • Realizar test y utilizar herramientas para medir la seguridad de los sistemas.

    1.8 Análisis de los datos

    Con toda la información y documentación recabada, así como el resultado de los


    distintos test y pruebas realizadas se realizará un análisis con el objetivo de
    encontrar fallos, vulnerabilidades y debilidades en los sistemas.

    1.9 Realizar un informe de la auditoría

    La auditoría se cierra realizando un informe detallado de los resultados obtenidos


    durante la fase de análisis. Estos resultados deben presentar los problemas de
    seguridad encontrados, proponiendo soluciones y recomendaciones sobre cómo
    solventarlos.

    El informe de una auditoría de seguridad debe presentar de forma clara y concisa


    el propósito y objetivo de la misma, los resultados obtenidos y las medidas
    correctoras necesarias en ciberseguridad a aplicar.

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 7
    Con el informe de la auditoría la gerencia de la empresa podrá conocer cuál es el
    estado real de sus sistemas e infraestructura informática, así como de sus políticas
    de seguridad, y podrá tomar las decisiones oportunas para mejorarlas e incrementar
    su nivel de seguridad.

    Las empresas que realicen una auditoría de seguridad informática de forma


    periódica podrán evaluar el estado de su ciberseguridad y detectar cualquier
    debilidad o vulnerabilidad que ponga en riesgo sus sistemas e información.

    El informe de una auditoría de ciberseguridad incluirá las actuaciones


    recomendadas a realizar por la empresa en cada uno de los puntos críticos (con
    alto riesgo) que se han encontrado, para poder eliminar el riesgo asociado. Con las
    auditorías de seguridad se dispondrá de un sistema más seguro y ágil a la hora de
    reaccionar ante cualquier amenaza externa o incidente interno en materia de
    seguridad.

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 8
    2 Bibliografía

    • https://www.ambit-bst.com/blog/qu%C3%A9-es-una-
    auditor%C3%ADa-de-seguridad-inform%C3%A1tica-tipos-y-fases

    DIPLOMADO VIRTUAL EN: AUDITORÍA DE SEGURIDAD


    EN SISTEMAS Y REDES
    AUDITORÍA TÉCNICA DE SEGURIDAD EN
    SISTEMAS Y REDES
    UNIDAD DIDÁCTICA 2: AUDITORÍAS DE SEGURIDAD EN
    SISTEMAS III

    DOCUMENTO:
    Pág. 9

    También podría gustarte