11/04/13 ¿que es una auditoria informática?

| BTshell - [In]- Seguridad Informática

Bl
ogs
obr
e[Pe
nte
sti
ng-Et
hic
alHac
king-Vul
ner
abi
li
ti
es]

BTshell – [In]- Seguridad Informática

De
jaunc
ome
ntar
io

¿que es una auditoria informática?

Pos
tedbyBTs
hel
lon5mar
zo,2013i
nCa
tegor
ias

Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo
fin es detectar errores y fallas y que mediante un informe detallado entregamos al
responsable en el que describimos:

+Equiposi nstalados ,servidore s

,programas ,si
stemasope rati
vos
…
+Proce dimi entosi nstalados
+AnálisisdeSe gur idade nlose quiposye nlared
+Análisisdel ae fi
cienciadel osSi s
temasyPr ogramasi nformáti
cos
+Gestióndel oss i
stemasi nstalados
+Optimi zaciónde lPar queI nformático(SoftwareyHar dware)
+Veri
f i
c aciónde lcumpl i
mi entodel aNor mat i
vavigenteLOPD
+Vulne rabi l
idade squepudi e ranpr e
sentars
ee nunar evisi
óndel ase
stac
ione
sdet
rabaj
o,r
ede
sde
comuni caciones ,servidores.
+Protoc olodeSe guridadant eunaame nazat e
cnológi
c a

Unavezobt e
nidoslosr e
sul
tadosyveri
fic
ados,seemit
eotroi
nforme,i
ndicándolee
le s
tabl
eci
mient
ode
l
asmedidaspreventivasderefue
rzoy/ocorrec
ciónsi
guie
ndosiempreunpr oces
osecuenci
alque
per
mitaalosadmi nistr
ador
e smejor
arlaseguri
daddesussis
temasaprendiendodeloserr
ores
comet
idosconanteriori
dad.

btshell.wordpress.com/2013/03/05/que-es-una-auditoria-informatica/ 1/5
11/04/13 ¿que es una auditoria informática? | BTshell - [In]- Seguridad Informática

Lasaudi
tor
íasdesegur
idadpermi
tenconocerene
lmome nt
odes ureal
izac
ióncuálesl
asit
uac
ión
exac
tadesusact
ivosdeinf
ormaci
ónenc uant
oaprot
ecc
ión,cont
rolyme di
dasdes e
guri
dad.

Una Auditoria de Seguridad conlleva:

+Ame nazasye l
eme nt osdeSe guri
daddee ntradaysali
dadedat os.
+Aspe ct
osGe renci
ales
+AnálisisdeRiesgos
+Identi
ficac
ióndeame nazas .
+Segur i
dade nInterne t
+Cont r
oldeSi s
temasyPr ogramasi nstalados
+ProtocolodeRi es
gos ,Se guridad,Se gur o
s ,Programasinstal
ados…
+Protocoloantepe rdidas,f r
audeyc iberataque s
+PlanesdeCont i
nge nc i
ayRe cuperac i
óndeDe sas
tre
s
+Segur i
dadFí s
ica
+Segur i
daddeDat osyPr ogr amas
+PlandeSe guri
dad
+Polít
icasdeSe guridad
+Me didasdeSe guridad( Di recti
vas,Pre ventivasyCor r
ect
ivas)
+Cade nadeCus t
odi a
+LOPD

Esnecesari
oe nlasempresas
,dependie
ndodelacantidaddeempleadosyfact
urac
iónunPlande
Audit
oriaInformá t
icaqueori
ent
es obr
elapl
anif
icac
ióndeuns i
ste
mas e
guroyunplandeemergenc
ia
ant
epos ibl
esdesastr
es;i
mplementandouname t
odologíaase
guirenc as
odequeocurr
aalguna
vul
nerabili
dad.

Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el
control interno y evitar situaciones no deseadas.

Hayqueins
tal
arunsi
ste
maapoyadoenherr
amie
ntasdeanál
is
isyve r
if
icac
iónqueper
mitan
de
ter
minarl
asdebi
li
dadesypos
ibl
esf
all
osysui
nme di
atar
eparac
ión,repos
ici
ónocont
ra-
ataque
.

Los servicios de auditoría pueden ser de distinta índole:

+Audi toríades eguridadi nterna.Ene stetipodeaudi toríasecontras

tae lniveldeseguridady
privacidaddel asr edesloc alesycor porativasdec arácterinte
rno
+Audi toríades eguridadpe ri
me tr
al.Ene stetipodeaná l
isi
s,elperí
me tr
odel aredlocaloc orporati
vaes
estudiadoys eana l
izae lgr adodes e guridadqueof r e
c eenlase nt
radase xter
iores
+Te stdei ntrusión.Elt e
s tdei ntr
usióne sunmé tododeaudi toríamediant eelcualseintentaacce de
ra
lossist
e mas ,par acompr obare lnivelder esi
st
e nciaal aintrusiónnode seada.Esunc ompl e
me nto
fundame nt alpar alaaudi toríaperime tral.
+Anál isi
sf orense.Elanál isisfore
ns ee suname t
odol ogíadee studi
opar ae lanáli
si
spos t
eriorde
incidentes,me dianteelc uals etr
atader econstruirc ómos ehape net
radoe nelsi
stema,al apa rques e
valoranl osdañosoc asi
onados . Audi t
oríadepági naswe b.Entendidac omoe lanáli
sisexternodel a
we b,compr obandovul ne rabili
dade s.
+Audi toríadec ódigodeapl icaci
one s.Aná lis
isde lcódigot antodeapl i
cac i
onespáginasWe bc omode
btshell.wordpress.com/2013/03/05/que-es-una-auditoria-informatica/ 2/5
11/04/13 ¿que es una auditoria informática? | BTshell - [In]- Seguridad Informática

cualquie
rtipodeapli
caci
ón,indepe ndi
enteme ntedelle
ngua jeempl eado.
+Auditori
adeSe gur
idadantelaame nazadeunat aquecibernét
ico,extor
siónempr e
sari
alci
ber
néti
cay
creaci
óndeungabi neteyprotocolodeac tuac
iónant ecualquie
rat aque,chant
ajeofugadeda t
os.
+UnaAudi tori
adeSe gur
idadI nf
ormát i
cas ereali
zaenbas eaunc onjunt
odedi re
ctri
cesdebuena
s
prácti
casquegaranti
cenlaseguridaddel ossi
s t
emas .

Existen estándares base para auditorias informáticas como:

COBI T(obj
eti
vosdeControldelaTe
cnol
ógic
adel aInf
ormac
ión)
ISO 17799
ISO 27001
ISO 27002
NormasNFPA75
TIA942
ISACA
ANBASO ( Cert
ifi
cac
iónpropiadeANTPJIparaSoftwar
e)
ANBAET( Certi
fi
caci
ónpropiadeANTPJIparaHar dware
)

Nomedecant
opo rninguna,pue s
toquelasTICavanzanmuyde pri
sayesne
ces
ari
oact
ual
i
za r
las,
pe
roamododee j
empl oelprocedi
mi e
ntoasegui
rpo relPer
itoInf
ormáti
coal
ahoradei
mplantarun
mode
lodeAudit
oriadeSe guri
dadI nf
ormáti
caser
íae ls
igui
ente
:

+Es tudi oGe ne ral,eval uandol aempr esa,

e lpe r
sonal ,equiposypr ogramas
+Obs er vacióndel oss i
ste masi mpl ant adosyr eali
zac ióndec uestionariosye nt revi
s t
as,sobr et
o doal
personalquet engaac ce soadoc ume ntaci
ónodat oss ensi
bles.
+Elabor agr áficose stadí sti
cosyf l
uj ogr amas .
+Anál isisdedat os( Compar ac i
óndepr ogramas ,Mape oyr ast
re odepr ogramas ,Análi
s isdec ódi
gode
progr amas ,Dat osdepr ue ba,Dat osdepr ue bai ntegr ados,Análisisdebi tácor as,Si mulac i
ónpar al
el
a)
+Enume ralose quipos ,r edes,protoc olos
+Anal izaei ns pe ccional osservici
osut il
izados,apl i
c acionesypr oc edimientosus ados
+Ide ntificayc onf i
rmat odosl ossistemasope ráti
cosi nstal
ados
+Ide ntifica,e j
e cutaanál isis
,inspecc iona,v erif
ica,compr uebaye valúal ase vide nciasyf allas(
OJ Ocon
elfac torhumano)
+Di señac ont rolesyme didasc orr
e ctivasenl asac tividadesyr ecur sosdent rodel ae mpr esa.
+Conc ie nci
as obrel anor mativayl e gislac
iónvi gent e
+Re alizaunc ompl e t
oAnál i
si
sdeRi e sgos.
+Re alizauni nformec ompl et
os obr el aimpl antacióndel aAudit oriadeSe gur idad,i mpla ntac
iónde
me di daspr eve ntivasypr otocolodeSe guridadai ns talar
+Emi teunc ertifi
cadodeSe gur i
daddeAudi toriaInf ormática

Visitas cada tres meses para la comprobación de la aplicación de las normas.

Esne
ces
ari
ope
nsardemane
raanal
ít
ica,r
efl
exi
vayc
rit
icaal
ahor
adei
nte
grare
qui
posype
rsona
s.

Debemoss ercr
eat
ivosenlaimplantacióndelospaquet
esdeme di
dasainst
alarconcie
nci
andoal
per
sonal,f
acil
it
ándolel
alabordec ontrol
esint
ernosyapli
cac
ióndeme di
dasc orr
ect
ivasc
onun
l
enguajesenci
ll
oyapl i
cac
ionesbásicasperoefe
cti
vasquegarant
ice
nlaseguridadanteunataque
btshell.wordpress.com/2013/03/05/que-es-una-auditoria-informatica/ 3/5
11/04/13 ¿que es una auditoria informática? | BTshell - [In]- Seguridad Informática

e
xte
rno.

Uns i
st
emaimpl
antadodeAudit
ori
aInformát
icahadeserváli
doye f
ect
ivo,sinquede
pe nda
exc
lusi
vame
ntedeunaayudaexter
na,ofr
eci
endosol
uci
onesintegr
adasapr oble
masorganiza
cional
es.

Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el
personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las
visitas de control que se indiquen según el número de empleados y facturación de la empresa.

Elcli
enteconoceelval
ordelase
guridadfís
ica,pe
roe ncontadasocasi
onesconocee
lprec
iodel
a
seguri
daddel are
d,nie lc
ost
eempr e
sari
alquepue desuponerestardebi
dame nt
eprot
egidoos
anc
ione
s
porlapérdidadeinfor
mac i
ónsens
ibleolaquiebr
ade lnegocioporunc i
ber
ataque.

Nos óloe snecesariounaAudi t

ori
adeSe guri
dadInfor
mát i
ca,si
nor eali
zarunmant eni
mi ento,ali
gual
ques ehac econl ose qui
posinf
ormáti
cos,yaqueasípodemosas egurarlaintegri
daddel oscontrol
esde
se
gur idadapl i
cados .Noolvide
mosquel osavanc
estecnol
ógicosavanzanme teór
icamentea li
gual que
l
osde lit
osc i
berné t
icos,c
onloquee snec
esari
oparches,ac
tuali
zacionesdes of
tware,adquisic
iónde
nuevospr oductost antoensoft
warecomohar dware.

Esneces
ariode sdeelpri
mermome ntore
ali
zarunaeval
uacióndelaempr es
ac onsusvar
iabl
esde
pers
onal
,e quipos,f
actur
aci
ón,del
egaci
ones
… paracalc
ularlost
iemposyr eali
zaruncos
teaproxi
mado
delaimplantacióndeunaAuditor
iaInf
ormáti
ca,i
denti
fi
candolosri
esgosactuale
sylaformade
super
arl
os.

Noolvi
demosqueadquir
imosr
espons
abil
idade
snosol
oconlaper
sonac
onlaquecontr
atamo s
,si
no
conunnúmerodepers
onasdes
conoci
dasquevanauti
li
zare
lres
ult
adodenue
str
otrabaj
oc omobase
parat
omardeci
si
ones
.

UnaAudit
ori
adeSegur
idadre
quie
reele
jer
cic
iodeunjui
ciopr
ofe
sional
,sól
idomadur
o,par
ajuzgar
l
ospr
ocedi
mient
osquedebens
egui
rseyest
imarl
osre
sult
adosobt
enidos

El informe inicial de Auditoria de Seguridad Informática ha de contener:

+TipodeAudi toriaai nst

alar( Ámbi to,Apl icación,yPl anificac
ióndel ami s
ma)
+Ries
gosac t
uale s
+Seguridadfí
s i
cayl ógicade lCe nt
roTe cnológico( Cent ral,Servidor
es)
+Auditori
adedi r
ecciónype rsonalaut orizadoai ntegr are nlaAudi t
oria
+Auditori
ade ldesarroll
ode lne goc i
o( Físi
ca,For ens eyFi nanciera)
+BasedeDat os(LOPD,nor mat iva,irregularidade s,c orreospe r
sonale
s)
+Implantaci
óndeme didasdes eguridad
+Análisi
sdeNe gocioElectrónicoyadmi nistracióndel aWEB
+Aplic
ac i
óndet écnicasypr ocedimie ntosdeaudi toríaf orense.
+Aplic
ac i
óndenue vastecnol ogíasene quiposopr ogr amase nlaEmpr es
a.
+Aplic
ac i
óndel ossistemasi nstaladosant einc i
de ntesPr otocol
odeSe guridadant
eat
aque
sci
ber
nét
icos

Fue
nte
:Ánge
lBahamont
esGóme
z

btshell.wordpress.com/2013/03/05/que-es-una-auditoria-informatica/ 4/5
11/04/13 ¿que es una auditoria informática? | BTshell - [In]- Seguridad Informática

Aboutthe
seads(
htt
p:/
/en.
wor
dpr
ess
.com/
abo
ut-
t
hese-
ads/
)

Pe
rmal
ink

Bl
ogdeWor
dPr
ess
.com.|Te
maNunt
ius
.

btshell.wordpress.com/2013/03/05/que-es-una-auditoria-informatica/ 5/5