2. INTRODUCCIÓN
Es habitual realizar una inversión importante en sistemas de seguridad sin
haber hecho antes una auditoría de seguridad. El objetivo es el de
proteger nuestros bienes y propiedades. Sin embargo, a veces, por
circunstancias de un siniestro, nos damos cuenta de que todo lo invertido
ha sido en vano. Esto es debido a que los sistemas no funcionaban
correctamente, estaba mal diseñada la instalación o no se tuvieron en
cuenta todos los riesgos probables que podían afecta al bien protegido.
3. AUDITORIA DE SEGURIDAD
Es una revisión independiente y sistemática que tiene la finalidad de
verificar el cumplimiento de unas determinadas directrices o de
unos determinados estándares que han establecidos.
4. SEGURIDAD INFORMÁTICA
También conocida como ciberseguridad o
seguridad de tecnología de la información,
es el área relacionada con la informática y la
telemática que se enfoca en la protección
de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la
información contenida en una computadora
o circulante a través de las redes de
computadoras.
5. OBJETIVO DE LA AUDITORIA DE SEGURIDAD
• Evaluar el diseño y prueba de los sistemas Informáticos.
• Determinar la veracidad y confiabilidad de la información que recolecta.
• Evaluar los procedimientos de control de operación así como también analizar
su estandarización y su cumplimiento.
• Evaluar el control que se tiene sobre el mantenimiento y las fallas de los
equipos informáticos.
• Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de cómputación.
6. IMPORTANCIA DE LA AUDITORIA DE
SEGURIDAD
• Explicar la importancia de la recolección de la información sobre la
organización que se va a auditar.
• Descubrir pasos a seguir para realizar una adecuada evaluación de la
estructura orgánica de la empresa que se va a auditar.
• Definir elementos a tener en cuenta en la evaluación del personal.
• Manejar una guía para entrevistar adecuadamente al personal de
informática.
• Conocer la importancia de evaluar los recursos financieros y materiales a
una organización.
7. APLICACIÓN DE LA AUDITORIA DE
SEGURIDAD
Se aplica una auditoria de seguridad cuando:
• Ocurren cambios masivo de personal.
• No se atienden las peticiones de cambios de los usuarios.
• No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
• No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.
8. La seguridad informática está concebida para proteger los activos
informáticos, entre los que se encuentran los siguientes:
La infraestructura computacional: Es una parte fundamental para el
almacenamiento y gestión de la información, así como para el
funcionamiento mismo de la organización.
APLICACIÓN DE LA AUDITORIA DE
SEGURIDAD
9. La seguridad informática está concebida para proteger los activos
informáticos, entre los que se encuentran los siguientes:
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema
en general para que el uso por parte de ellos no pueda poner en entredicho la
seguridad de la información y tampoco que la información que manejan o
almacenan sea vulnerable.
La información: Esta es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
APLICACIÓN DE LA AUDITORIA DE
SEGURIDAD
10. • Enumeración de redes, topologías y protocolos.
• Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT,
etc.
• Identificación de los sistemas operativos, software, instalados.
• Análisis de servicios y aplicaciones.
• Detección, comprobación y evaluación de vulnerabilidades.
• Medidas específicas de corrección.
• Recomendaciones sobre implantación de medidas preventivas.
FASES DE LA AUDITORIA DE SEGURIDAD
11. SEGURIDAD FÍSICA
Es la protección de los sistemas informáticos ante amenazas físicas. Consiste
en la aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas, ante amenazas a los recursos e
informaciones confidenciales. Desastres naturales, sabotajes internos o
externos, etc; Es lo tangible.
12. SEGURIDAD LÓGICA
Es la aplicación de barreras y procedimientos que resguarden el
acceso a los datos y sólo permitan acceder a ellos a las personas
autorizadas para hacerlo. Es lo intangible.
13. • Restringir el acceso a los programas y archivos.
• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no les correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas correctos por el
procedimiento correcto.
• Que la información transmitida sea recibida por el destinatario al que ha sido
enviada y no a otro.
• Que la información recibida sea la misma que ha sido transmitida.
• Que existan sistemas alternativos secundarios de transmisión entre diferentes
puntos.
• Que se disponga de pasos alternativos de emergencia para la transmisión de
información.
OBJETIVOS SEGURIDAD LÓGICA
14. Es toda aquella acción antijurídica
y culpable a través de vías
informáticas tiene como objetivo
dañar por medios electrónicos y
redes de Internet.
DELITOS INFORMÁTICOS
15. CARACTERÍSTICAS DE LOS
DELITOS INFORMÁTICOS
• Son delitos difíciles de demostrar ya que, en muchos casos, es complicado
encontrar las pruebas.
• Son actos que pueden llevarse a cabo de forma rápida y sencilla. En
ocasiones estos delitos pueden cometerse en cuestión de segundos,
utilizando sólo un equipo informático y sin estar presente físicamente en el
lugar de los hechos.
• Los delitos informáticos tienden a proliferar y evolucionar, lo que complica
aun más la identificación y persecución de los mismos.
16. CONCLUSIÓN
Las empresas tienen que recordar que es muy importante que realicen auditorías
frecuentes para poder mantener sus sistemas en orden y que no se produzcan problemas
o se descubran grandes vulnerabilidades. Hay diferentes tipos de auditoría seguridad
informática por las que se puede optar, como la auditoría de seguridad interna. Esta es
aquella que se concentra en que se puedan revisar los niveles de seguridad que existen,
así como la privacidad en la que se mantienen las conexiones y redes de la empresa. Es
una de las auditorías más importantes, dado que la privacidad siempre es uno de los
factores a destacar en cualquier empresa. De similares características es la auditoría de
seguridad perimetral, que se concentra en comprobar si las redes del negocio están en
riesgo por una brecha externa.
17. BIBLIOGRAFÍA
Wikipedia.Auditoría de seguridad de sistemas de información. URL:
https://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B
3n
Wikipedia. Delito informático. URL: https://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
Red de Seguridad. La seguridad física y lógica: conceptos convergentes. URL:
http://www.redseguridad.com/especialidades-tic/seguridad-integral/la-seguridad-fisica-y-logica-
conceptos-convergentes