fbpx
Wikipedia

Auditoría de seguridad de sistemas de información

Septiembre 02, 2022

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de una auditoría

Los servicios de auditoría constan de las siguientes fases:

  • Recolección de información: Antes de empezar una auditoría es importante recolectar todo tipo de información, desde si poseen servidor compartido con más dominios hasta detalles internos del servicio a auditar.[1]
  • Enumeración de redes, topologías y protocolos
  • Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
  • Identificación de los sistemas operativos instalados
  • Análisis de servicios y aplicaciones
  • Detección, comprobación y evaluación de vulnerabilidades
  • Medidas específicas de corrección
  • Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoría

Los servicios de auditoría pueden ser de distinta índole:[2]

  • Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
  • Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
  • Test de intrusión. El test de intrusión o también conocido como pentesting [3]​ es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
  • Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis post mortem.
  • Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
  • Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.

Estándares de Auditoría Informática y de Seguridad

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

Véase también

Referencias

  1. Auditorías de ciberseguridad
  2. A tu empresa también le toca hacerse una revisión... de ciberseguridad
  3. «Auditoría de Ciberseguridad y Test de penetración | ISN». Isn. Ingeniería de sistemas informáticos. Consultado el 12 de julio de 2020. 
  •   Datos: Q2578632

Septiembre 02, 2022
auditoría, seguridad, sistemas, información, auditoría, seguridad, informática, auditoría, seguridad, sistemas, información, estudio, comprende, análisis, gestión, sistemas, llevado, cabo, profesionales, para, identificar, enumerar, posteriormente, describir, . Una auditoria de seguridad informatica o auditoria de seguridad de sistemas de informacion SI es el estudio que comprende el analisis y gestion de sistemas llevado a cabo por profesionales para identificar enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revision exhaustiva de las estaciones de trabajo redes de comunicaciones o servidores Una vez obtenidos los resultados se detallan archivan y reportan a los responsables quienes deberan establecer medidas preventivas de refuerzo y o correccion siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad Las auditorias de seguridad de SI permiten conocer en el momento de su realizacion cual es la situacion exacta de sus activos de informacion en cuanto a proteccion control y medidas de seguridad Indice 1 Fases de una auditoria 2 Tipos de auditoria 3 Estandares de Auditoria Informatica y de Seguridad 4 Vease tambien 5 ReferenciasFases de una auditoria EditarLos servicios de auditoria constan de las siguientes fases Recoleccion de informacion Antes de empezar una auditoria es importante recolectar todo tipo de informacion desde si poseen servidor compartido con mas dominios hasta detalles internos del servicio a auditar 1 Enumeracion de redes topologias y protocolos Verificacion del Cumplimiento de los estandares internacionales ISO COBIT etc Identificacion de los sistemas operativos instalados Analisis de servicios y aplicaciones Deteccion comprobacion y evaluacion de vulnerabilidades Medidas especificas de correccion Recomendaciones sobre implantacion de medidas preventivas Tipos de auditoria EditarLos servicios de auditoria pueden ser de distinta indole 2 Auditoria de seguridad interna En este tipo de auditoria se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de caracter interno Auditoria de seguridad perimetral En este tipo de analisis el perimetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusion El test de intrusion o tambien conocido como pentesting 3 es un metodo de auditoria mediante el cual se intenta acceder a los sistemas para comprobar el nivel de resistencia a la intrusion no deseada Es un complemento fundamental para la auditoria perimetral Analisis forense El analisis forense es una metodologia de estudio ideal para el analisis posterior de incidentes mediante el cual se trata de reconstruir como se ha penetrado en el sistema a la par que se valoran los danos ocasionados Si los danos han provocado la inoperabilidad del sistema el analisis se denomina analisis post mortem Auditoria de paginas web Entendida como el analisis externo de la web comprobando vulnerabilidades como la inyeccion de codigo sql Verificacion de existencia y anulacion de posibilidades de Cross Site Scripting XSS etc Auditoria de codigo de aplicaciones Analisis del codigo tanto de aplicaciones paginas Web como de cualquier tipo de aplicacion independientemente del lenguaje empleadoRealizar auditorias con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de informacion Acciones como el constante cambio en las configuraciones la instalacion de parches actualizacion de los softwares y la adquisicion de nuevo hardware hacen necesario que los sistemas esten continuamente verificados mediante auditoria Estandares de Auditoria Informatica y de Seguridad EditarUna auditoria se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas Existen estandares orientados a servir como base para auditorias de informatica Uno de ellos es COBIT Objetivos de Control de la Tecnologias de la Informacion dentro de los objetivos definidos como parametro se encuentra el Garantizar la Seguridad de los Sistemas Adicional a este estandar podemos encontrar el estandar ISO 27002 el cual se conforma como un codigo internacional de buenas practicas de seguridad de la informacion este puede constituirse como una directriz de auditoria apoyandose de otros estandares de seguridad de la informacion que definen los requisitos de auditoria y sistemas de gestion de seguridad como lo es el estandar ISO 27001 Vease tambien EditarSeguridad informaticaReferencias Editar Auditorias de ciberseguridad A tu empresa tambien le toca hacerse una revision de ciberseguridad Auditoria de Ciberseguridad y Test de penetracion ISN Isn Ingenieria de sistemas informaticos Consultado el 12 de julio de 2020 Datos Q2578632 Obtenido de https es wikipedia org w index php title Auditoria de seguridad de sistemas de informacion amp oldid 138761938, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos