Auditora de Seguridad Informtica

Antiguamente la comprobacin de la gestin, control y actividad econmica-financiera de

las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditora

financiera.

La implantacin de sistemas informticos, deja anulado estos sistemas, debido a que hay

que no pueden detectar las entradas y salidas generadas y si haban sido objeto o no de

manipulacin. Una empresa que cuente con una plantilla mnima de 50 personas, ha de

tener una auditoria informtica independiente que garantice la seguridad de sus sistemas,

bases de datos, fuga de activos; capaz de detectar ataques internos como externos.

Una auditora de seguridad informtica es una evaluacin de los sistemas informticos cuyo

fin es detectar errores y fallas y que mediante un informe detallado entregamos al

responsable en el que describimos:

Equipos instalados, servidores, programas, sistemas operativos Procedimientos instalados

Anlisis de Seguridad en los equipos y en la red

Anlisis de la eficiencia de los Sistemas y Programas informticos

Gestin de los sistemas instalados

Verificacin del cumplimiento de la Normativa vigente LOPD

Vulnerabilidades que pudieran presentarse en una revisin de las estaciones de

trabajo, redes de comunicaciones, servidores.

Una vez obtenidos los resultados y verificados, se emite otro informe, indicndole el

establecimiento de las medidas preventivas de refuerzo y/o correccin siguiendo siempre

un proceso secuencial que permita a los administradores mejorar la seguridad de sus

sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditoras de seguridad permiten conocer en el momento de su realizacin cul es la

situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de

seguridad.

Una Auditoria de Seguridad conlleva:

Amenazas y elementos de Seguridad de entrada y salida de datos.

Aspectos Gerenciales

Anlisis de Riesgos Identificacin de amenazas.

Seguridad en Internet

Control de Sistemas y Programas instalados

Protocolo de Riesgos, Seguridad, Seguros, Programas instalados Protocolo ante perdidas, fraude y ciberataques

Planes de Contingencia y Recuperacin de Desastres

Seguridad Fsica

Seguridad de Datos y Programas

Plan de Seguridad

Polticas de Seguridad

Medidas de Seguridad (Directivas, Preventivas y Correctivas)

Cadena de Custodia

LOPD

Es necesario en las empresas, dependiendo de la cantidad de empleados y facturacin un

Plan de Auditoria Informtica que oriente sobre la planificacin de un sistema seguro y un

plan de emergencia ante posibles desastres; implementando una metodologa a seguir en

caso de que ocurra alguna vulnerabilidad.

Nadie est a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre

el control interno y evitar situaciones no deseadas.

Hay que instalar un sistema apoyado en herramientas de anlisis y verificacin que

permitan determinar las debilidades y posibles fallos y su inmediata reparacin, reposicin

o contra-ataque.

Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de

seguridad y privacidad de las redes locales y corporativas de carcter interno

Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red

local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las

entradas exteriores

Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se

intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin

no deseada. Es un complemento fundamental para la auditora perimetral.

Anlisis forense. El anlisis forense es una metodologa de estudio para el anlisis

posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha

penetrado en el sistema, a la par que se valoran los daos ocasionados.

Auditora de pginas web. Entendida como el anlisis externo de la web,

comprobando vulnerabilidades.

Auditora de cdigo de aplicaciones.

Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de

aplicacin, independientemente del lenguaje empleado.

Una Auditoria de Seguridad Informtica se realiza en base a un conjunto de directrices de

buenas prcticas que garanticen la seguridad de los sistemas.

Existen estndares base para auditorias informticas como:

COBIT (objetivos de Control de la Tecnolgica de la Informacin)

ISO 17799

ISO 27001

ISO 27002

Normas NFPA75

TIA 942

ISACA

No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario

actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informtico a

la hora de implantar un modelo de Auditoria de Seguridad Informtica sera el siguiente:

Estudio General, evaluando la empresa, el personal, equipos y programas

Observacin de los sistemas implantados y realizacin de cuestionarios y

entrevistas, sobre todo al personal que tenga acceso a documentacin o datos

sensibles.

Elabora grficos estadsticos y flujogramas.

Anlisis de datos (Comparacin de programas, Mapeo y rastreo de programas,

Anlisis de cdigo de programas, Datos de prueba, Datos de prueba integrados,

Anlisis de bitcoras, Simulacin paralela)

Enumera los equipos, redes, protocolos

Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados

Identifica y confirma todos los sistemas operticos instalados

Identifica, ejecuta anlisis, inspecciona, verifica, comprueba y evala las evidencias

y fallas (OJO con el factor humano)

Disea controles y medidas correctivas en las actividades y recursos dentro de la

empresa.

Conciencia sobre la normativa y legislacin vigente

Realiza un completo Anlisis de Riesgos.

Realiza un informe completo sobre la implantacin de la Auditoria de Seguridad,

implantacin de medidas preventivas y protocolo de Seguridad a instalar

Emite un certificado de Seguridad de Auditoria Informtica

Visitas cada tres meses para la comprobacin de la aplicacin de las normas.

Es necesario pensar de manera analtica, reflexiva y critica a la hora de integrar equipos y

personas.

Debemos ser creativos en la implantacin de los paquetes de medidas a instalar

concienciando al personal, facilitndole la labor de controles internos y aplicacin de

medidas correctivas con un lenguaje sencillo y aplicaciones bsicas pero efectivas que

garanticen la seguridad ante un ataque externo.

Un sistema implantado de Auditoria Informtica ha de ser vlido y efectivo, sin que

dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a

problemas organizacionales.

Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el

personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las

visitas de control que se indiquen segn el nmero de empleados y facturacin de la

empresa.

El cliente conoce el valor de la seguridad fsica, pero en contadas ocasiones conoce el

precio de la seguridad de la red, ni el coste empresarial que puede suponer estar

debidamente protegido o sanciones por la prdida de informacin sensible o la quiebra del

negocio por un ciberataque.

No solo es necesario una Auditoria de Seguridad Informtica, sino realizar un

mantenimiento, al igual que se hace con los equipos informticos, ya que as podemos

asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los

avances tecnolgicos avanzan metericamente al igual que los delitos cibernticos, con lo

que es necesario parches, actualizaciones de software, adquisicin de nuevos productos

tanto en software como hardware.

Es necesario desde el primer momento realizar una evaluacin de la empresa con sus

variables de personal, equipos, facturacin, delegaciones para calcular los tiempos y realizar un coste aproximado de la implantacin de una Auditoria Informtica,

identificando los riesgos actuales y la forma de superarlos.

No olvidemos que adquirimos responsabilidades no solo con la persona con la que

contratamos, sino con un nmero de personas desconocidas que van a utilizar el resultado

de nuestro trabajo como base para tomar decisiones. Una Auditoria de Seguridad requiere

el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que

deben seguirse y estimar los resultados obtenidos El informe inicial de Auditoria de

Seguridad Informtica ha de contener: Tipo de Auditoria a instalar (mbito, Aplicacin, y Planificacin de la misma) Riesgos actuales Seguridad fsica y lgica del Centro Tecnolgico (Central, Servidores) Auditoria de direccin y personal autorizado a integrar en la Auditoria Auditoria del desarrollo del negocio (Fsica, Forense y Financiera) Base de Datos ( LOPD, normativa, irregularidades, correos personales) Implantacin de medidas de seguridad Anlisis de Negocio Electrnico y administracin de la WEB Aplicacin de tcnicas y procedimientos de auditora forense. Aplicacin de nuevas tecnologas en equipos o programas en la Empresa. Aplicacin de los sistemas instalados ante incidentes Curso de gestin de conocimiento al personal sobre: Amenazas y problemas en el uso de las tecnolgicas de informacin Conceptos de Seguridad Control de Confidencialidad Correos Redes sociales Privacidad Instalacin de programas Medidas de control ante un ataque Normas de seguridad a instalar en la empresa Normativa de seguridad SCII Sistema de Control Informtico Interno Riesgos y control de los mismos