Auditora de Seguridad Informtica

Antiguamente la comprobacin de la gestin, control y actividad econmica-financiera de

las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditora
financiera.
La implantacin de sistemas informticos, deja anulado estos sistemas, debido a que hay
que no pueden detectar las entradas y salidas generadas y si haban sido objeto o no de
manipulacin. Una empresa que cuente con una plantilla mnima de 50 personas, ha de
tener una auditoria informtica independiente que garantice la seguridad de sus sistemas,
bases de datos, fuga de activos; capaz de detectar ataques internos como externos.
Una auditora de seguridad informtica es una evaluacin de los sistemas informticos cuyo
fin es detectar errores y fallas y que mediante un informe detallado entregamos al
responsable en el que describimos:
Equipos instalados, servidores, programas, sistemas operativos
Procedimientos instalados
Anlisis de Seguridad en los equipos y en la red
Anlisis de la eficiencia de los Sistemas y Programas informticos
Gestin de los sistemas instalados
Verificacin del cumplimiento de la Normativa vigente LOPD
Vulnerabilidades que pudieran presentarse en una revisin de las estaciones de
trabajo, redes de comunicaciones, servidores.
Una vez obtenidos los resultados y verificados, se emite otro informe, indicndole el
establecimiento de las medidas preventivas de refuerzo y/o correccin siguiendo siempre
un proceso secuencial que permita a los administradores mejorar la seguridad de sus
sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditoras de seguridad permiten conocer en el momento de su realizacin cul es la
situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de
seguridad.
Una Auditoria de Seguridad conlleva:
Amenazas y elementos de Seguridad de entrada y salida de datos.
Aspectos Gerenciales
Anlisis de Riesgos
Identificacin de amenazas.
Seguridad en Internet
Control de Sistemas y Programas instalados
Protocolo de Riesgos, Seguridad, Seguros, Programas instalados
Protocolo ante perdidas, fraude y ciberataques
Planes de Contingencia y Recuperacin de Desastres
Seguridad Fsica
Seguridad de Datos y Programas
Plan de Seguridad
Polticas de Seguridad
Medidas de Seguridad (Directivas, Preventivas y Correctivas)
Cadena de Custodia
LOPD
Es necesario en las empresas, dependiendo de la cantidad de empleados y facturacin un
Plan de Auditoria Informtica que oriente sobre la planificacin de un sistema seguro y un
plan de emergencia ante posibles desastres; implementando una metodologa a seguir en
caso de que ocurra alguna vulnerabilidad.
Nadie est a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre
el control interno y evitar situaciones no deseadas.
Hay que instalar un sistema apoyado en herramientas de anlisis y verificacin que
permitan determinar las debilidades y posibles fallos y su inmediata reparacin, reposicin
o contra-ataque.
Los servicios de auditora pueden ser de distinta ndole:
Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de
seguridad y privacidad de las redes locales y corporativas de carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin
no deseada. Es un complemento fundamental para la auditora perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio para el anlisis
posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha
penetrado en el sistema, a la par que se valoran los daos ocasionados.
Auditora de pginas web. Entendida como el anlisis externo de la web,
comprobando vulnerabilidades.
Auditora de cdigo de aplicaciones.
Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de
aplicacin, independientemente del lenguaje empleado.
Una Auditoria de Seguridad Informtica se realiza en base a un conjunto de directrices de
buenas prcticas que garanticen la seguridad de los sistemas.
Existen estndares base para auditorias informticas como:
COBIT (objetivos de Control de la Tecnolgica de la Informacin)
ISO 17799
ISO 27001
ISO 27002
Normas NFPA75
TIA 942
ISACA
No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario
actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informtico a
la hora de implantar un modelo de Auditoria de Seguridad Informtica sera el siguiente:
Estudio General, evaluando la empresa, el personal, equipos y programas
Observacin de los sistemas implantados y realizacin de cuestionarios y
entrevistas, sobre todo al personal que tenga acceso a documentacin o datos
sensibles.
Elabora grficos estadsticos y flujogramas.
Anlisis de datos (Comparacin de programas, Mapeo y rastreo de programas,
Anlisis de cdigo de programas, Datos de prueba, Datos de prueba integrados,
Anlisis de bitcoras, Simulacin paralela)
Enumera los equipos, redes, protocolos
Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados
Identifica y confirma todos los sistemas operticos instalados
Identifica, ejecuta anlisis, inspecciona, verifica, comprueba y evala las evidencias
y fallas (OJO con el factor humano)
Disea controles y medidas correctivas en las actividades y recursos dentro de la
empresa.
Conciencia sobre la normativa y legislacin vigente
Realiza un completo Anlisis de Riesgos.
Realiza un informe completo sobre la implantacin de la Auditoria de Seguridad,
implantacin de medidas preventivas y protocolo de Seguridad a instalar
Emite un certificado de Seguridad de Auditoria Informtica
Visitas cada tres meses para la comprobacin de la aplicacin de las normas.
Es necesario pensar de manera analtica, reflexiva y critica a la hora de integrar equipos y
personas.
Debemos ser creativos en la implantacin de los paquetes de medidas a instalar
concienciando al personal, facilitndole la labor de controles internos y aplicacin de
medidas correctivas con un lenguaje sencillo y aplicaciones bsicas pero efectivas que
garanticen la seguridad ante un ataque externo.
Un sistema implantado de Auditoria Informtica ha de ser vlido y efectivo, sin que
dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a
problemas organizacionales.
Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el
personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las
visitas de control que se indiquen segn el nmero de empleados y facturacin de la
empresa.
El cliente conoce el valor de la seguridad fsica, pero en contadas ocasiones conoce el
precio de la seguridad de la red, ni el coste empresarial que puede suponer estar
debidamente protegido o sanciones por la prdida de informacin sensible o la quiebra del
negocio por un ciberataque.
No solo es necesario una Auditoria de Seguridad Informtica, sino realizar un
mantenimiento, al igual que se hace con los equipos informticos, ya que as podemos
asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los
avances tecnolgicos avanzan metericamente al igual que los delitos cibernticos, con lo
que es necesario parches, actualizaciones de software, adquisicin de nuevos productos
tanto en software como hardware.
Es necesario desde el primer momento realizar una evaluacin de la empresa con sus
variables de personal, equipos, facturacin, delegaciones para calcular los tiempos y
realizar un coste aproximado de la implantacin de una Auditoria Informtica,
identificando los riesgos actuales y la forma de superarlos.
No olvidemos que adquirimos responsabilidades no solo con la persona con la que
contratamos, sino con un nmero de personas desconocidas que van a utilizar el resultado
de nuestro trabajo como base para tomar decisiones. Una Auditoria de Seguridad requiere
el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que
deben seguirse y estimar los resultados obtenidos El informe inicial de Auditoria de
Seguridad Informtica ha de contener: Tipo de Auditoria a instalar (mbito, Aplicacin, y
Planificacin de la misma) Riesgos actuales Seguridad fsica y lgica del Centro
Tecnolgico (Central, Servidores) Auditoria de direccin y personal autorizado a integrar
en la Auditoria Auditoria del desarrollo del negocio (Fsica, Forense y Financiera) Base
de Datos ( LOPD, normativa, irregularidades, correos personales) Implantacin de
medidas de seguridad Anlisis de Negocio Electrnico y administracin de la WEB
Aplicacin de tcnicas y procedimientos de auditora forense. Aplicacin de nuevas
tecnologas en equipos o programas en la Empresa. Aplicacin de los sistemas instalados
ante incidentes Curso de gestin de conocimiento al personal sobre: Amenazas y
problemas en el uso de las tecnolgicas de informacin Conceptos de Seguridad Control
de Confidencialidad Correos Redes sociales Privacidad Instalacin de programas
Medidas de control ante un ataque Normas de seguridad a instalar en la empresa
Normativa de seguridad SCII Sistema de Control Informtico Interno Riesgos y control
de los mismos