1. Auditoría de Seguridad
YORBI GÓMEZ, V.- 20.454.126
Ciudad Ojeda, Febrero 2019.
Instituto Universitario Politécnico
Santiago Mariño
2. INTRODUCCIÓN
En el campo de la Seguridad Informática es relativamente reciente la utilización de
las auditorías para comprobar la validez de los programas de actuación. Los
fundamentos de las Auditorías de Seguridad son comunes a los de los aplicadas en
otros campos, con las particularidades propias de los factores intervinientes en el
tratamiento de la seguridad.
Las auditorías están consideradas actualmente como un eficaz instrumento
empresarial para la mejora de las operaciones, destacando este papel positivo
frente a la interpretación, ya superada, de un sentido fiscalizador y sancionador.
Esta finalidad, de mejora. debe estar claramente asumida por la dirección que pide
la auditoría y las personas cuya gestión es auditada.
3. Auditoria de Seguridad.
Consiste en asegurar que los recursos del
sistema de información (material
informático o programas) de una
organización sean utilizados de la manera
que se decidió y que el acceso a la
información allí contenida, así como su
modificación, sólo sea posible a las
personas que se encuentren acreditadas y
dentro de los límites de su autorización.
4. Objetivo Auditoria de Seguridad.
• Diseñar una serie de estándares, protocolos, métodos, técnicas, reglas,
herramientas y leyes concebidas para conseguir un sistema de información
segura.
• La seguridad informática esta concebida para proteger los activos
informáticos (Infraestructura computacional, Datos y Usuarios).
• Minimizar los posibles riegos y amenazas a la infraestructura o la
información.
• Garantizar la confidencialidad, integridad, disponibilidad y autenticidad de
los datos e información.
• Implementar una política de seguridad y administración de riegos.
5. Utilidad.
• Legales: En tanto venga exigido por una reglamentación de cumplimiento
obligatorio.
• Económico: Motivado por el objetivo de mejoras en los sistemas de software,
hardware y su rentabilidad económica.
• Social: Orientado a felicitar y asegurar la información de los empleados, los
consumidores o la sociedad en general.
6. Metodología de una Auditoria de Seguridad.
Dentro de las etapas en la cual se desarrolla una auditoría informática, podemos
distinguir 3 fases importantes:
a) Planificación: comprende desde el conocimiento y comprensión de la organización
hasta la formulación y aprobación del plan de auditoría.
b) Ejecución: aquí se obtiene y analiza toda la información del proceso que se audita,
con la finalidad de obtener evidencia suficiente, competente y relevante, es decir,
contar con todos los elementos que le aseguren al auditor el establecimiento de
conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno,
que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo
originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo
y, en base a estos análisis, generar y fundamentar las recomendaciones que debería
acoger la Administración.
c) Conclusiones: Es la etapa en la que se dan a conocer los resultados obtenidos en el
proceso de la auditoria.
7. Ejecución de las pruebas.
• Reconocimiento. Para determinar cuáles sistemas, aplicaciones,
personas/procesos, etc. deben ser analizados.
• Enumeración. Para ver qué se está ejecutando dónde, para que usted
pueda desarrollar un plan de ataque.
• Descubrimiento de vulnerabilidades. Para descubrir fallas específicas, tales
como contraseñas débiles, inyección SQL y actualizaciones de software que
faltan.
• Demostración de vulnerabilidad. Para mostrar la importancia de las
vulnerabilidades que usted encuentra y cómo importan en el contexto de su
entorno de red y/o negocio.
8. Seguridad Física
Consiste en la aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial.
9. Seguridad Lógica.
Es la configuración adecuada del sistema para evitar el acceso a los
recursos y configuración del mismo por parte de personas no autorizadas,
ya sea a nivel local o vía red. Mucha gente considera que seguridad es
solamente la seguridad lógica, pero este concepto es erróneo.
10. Objetivo de la Seguridad Lógica.
• Restringir el acceso a los programas y archivos.
• Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que
no correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto.
• Que la información transmitida sea recibida por el destinatario al
cual ha sido enviada y no a otro.
11. Delitos Informáticos
Son los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad
de los sistemas informáticos, redes y datos informáticos, así como el abuso de
dichos sistemas, redes y datos
12. Tipos de Delitos Informáticos
A. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos
y sistemas informáticos:
• Acceso ilícito a sistemas informáticos.
• Interceptación ilícita de datos informáticos.
• Interferencia en el funcionamiento de un sistema informático.
• Abuso de dispositivos que faciliten la comisión de delitos.
Algunos ejemplos de este grupo de delitos son: el robo de identidades, la
conexión a redes no autorizadas y la utilización de spyware y de keylogger.
13. Tipos de Delitos Informáticos
A. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos
y sistemas informáticos:
• Acceso ilícito a sistemas informáticos.
• Interceptación ilícita de datos informáticos.
• Interferencia en el funcionamiento de un sistema informático.
• Abuso de dispositivos que faciliten la comisión de delitos.
Algunos ejemplos de este grupo de delitos son: el robo de identidades, la
conexión a redes no autorizadas y la utilización de spyware y de keylogger.
14. Tipos de Delitos Informáticos
B. Delitos relacionados con el contenido:
Producción, oferta, difusión, adquisición de contenidos de pornografía infantil,
por medio de un sistema informático o posesión de dichos contenidos en un
sistema informático o medio de almacenamiento de datos.
C. Delitos relacionados con infracciones de la propiedad intelectual y derechos
afines:
Un ejemplo de este grupo de delitos es la copia y distribución de programas
informáticos, o piratería informática.
15. CONCLUSIÓN
Los fundamentos presentados de la Auditoría de Seguridad, lógicamente,
proponen una consideración tecnológica. Algunos ejemplos de auditorias, en
ese mismo sentido tecnológico, comportan una complejidad extrema, cuyo
desarrollo entraña el despliegue de numerosos medios y unos costes elevados
que muy pocas empresas pueden acometer.
Debido a la existencia de una gran cantidad de soluciones de seguridad
inundando el mercado y a la gran cantidad de amenazas contra la seguridad
proliferando diariamente, las organizaciones se están enfocando en la manera
en cómo manejar el riesgo de la seguridad de información.
16. BIBLIOGRAFÍA
Martin Miranda, 2014. Auditoría Y Seguridad Informática.
KPG. Auditoría de seguridad de la información.
https://home.kpmg/ve/es/home/services/advisory/management-
consulting/it-advisory-services/auditoria-de-seguridad-de-la-informacion-
.html
Recovery Labs, 2019. Delitos Informáticos. Gcorte.es/Delitos