3. Los sistemas de información ayudan a automatizar
los procesos dentro de las organizaciones que los
implementan. Mejoran el almacenamiento de
información, y proporcionan al cliente una mayor
seguridad en sus datos.
Al ser un activo muy importante, la información
debe estar protegida de manera adecuada, con el
fin de que no pueda ser hurtada, plagiada o usada
para fines de lucro. Para verificar que la
información está segura, es necesario aplicar una
Auditoría en Seguridad Informática.
Introducción
4. Una auditoría de seguridad informática o
auditoría de seguridad de sistemas de
información (SI) es el estudio que
comprende el análisis y gestión de sistemas
llevado a cabo por profesionales para
identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que
pudieran presentarse en una revisión
exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
Concepto de Auditoría de seguridad
de sistemas de información
5. Una vez obtenidos los resultados, se
detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas
de refuerzo y/o corrección siguiendo siempre un
proceso secuencial que permita a los
administradores mejorar la seguridad de sus
sistemas aprendiendo de los errores cometidos
con anterioridad.
Las auditorías de seguridad de SI permiten
conocer en el momento de su realización cuál es
la situación exacta de sus activos de información
en cuanto a protección, control y medidas de
6. Fases de una auditoría
Los servicios de auditoría constan de las
siguientes fases:
Enumeración de redes, topologías y protocolos.
Verificación del Cumplimiento de los estándares
internacionales. ISO, COBIT, etc.
Identificación de los sistemas operativos instalados.
Análisis de servicios y aplicaciones.
Detección, comprobación y evaluación de
vulnerabilidades.
Medidas específicas de corrección.
Recomendaciones sobre implantación de medidas
preventivas.
7. El Departamento de Informática o Sistemas
dentro de cualquier organización, desarrolla
diversas actividades y sobre la base de estas
se han establecido las principales divisiones
de la Auditoría Informática, las cuales son: de
Explotación u Operación, Desarrollo de
Proyectos, de Sistemas, de Comunicaciones y
Redes y de Seguridad. A continuación
repasaremos brevemente cada una.
Tipos de Auditoría en
Seguridad Informática
8. 1. Auditoría Informática
de Producción o
Explotación
En algunos casos también conocida como de Explotación u
Operación, se ocupa de revisar todo lo que se refiere con
producir resultados informáticos, listados impresos, ficheros
soportados magnéticamente, ordenes automatizadas para
lanzar o modificar procesos, etc.
La producción, operación o explotación informática dispone
de una materia prima, los datos, que es necesario
transformar, y que se someten previamente a controles de
integridad y calidad. La transformación se realiza por medio
del proceso informático, el cual está gobernado por
programas y obtenido el producto final, los resultados son
sometidos a varios controles de calidad y, finalmente, son
distribuidos al cliente, al usuario.
9. La función de desarrollo es una evolución del llamado
análisis y programación de sistemas, y abarca muchas
áreas, como lo son: prerrequisitos del usuario y del
entorno, análisis funcional, diseño, análisis orgánico (pre
programación y programación), pruebas entrega a
explotación o producción y alta para el proceso.
La auditoría en este caso deberá principalmente
comprobar la seguridad de los programas en el sentido de
garantizar que lo ejecutado por la máquina sea
exactamente lo previsto o lo solicitado inicialmente.
2. Auditoría Informática
de Desarrollo de
Proyectos
10. 3. Auditoría Informática
de Sistemas
Se ocupa de analizar y revisar los
controles y efectividad de la actividad que
se conoce como técnicas de sistemas en
todas sus facetas y se enfoca
principalmente en el entorno general de
sistemas, el cual incluye sistemas
operativos, softwares básicos,
aplicaciones, administración de base de
datos, etc.
11. 4. Auditoría Informática de
Comunicaciones y Redes
Este tipo de revisión se enfoca en las redes, líneas,
concentradores, multiplexores, etc. Así pues, la Auditoría
Informática ha de analizar situaciones y hechos algunas
veces alejados entre sí, y está condicionada a la
participación de la empresa telefónica que presta el
soporte. Para este tipo de auditoría se requiere un equipo
de especialistas y expertos en comunicaciones y redes.
El auditor informático deberá inquirir sobre los índices de
utilización de las líneas contratadas, solicitar información
sobre tiempos de desuso; deberá proveerse de la
topología de la red de comunicaciones actualizada, ya que
la desactualización de esta documentación significaría una
grave debilidad.
12. 5. Auditoría de la Seguridad
Informática
La Auditoría de la seguridad en la informática abarca los
conceptos de seguridad física y lógica. La seguridad física se
refiere a la protección del hardware y los soportes de
datos, así como la seguridad de los edificios e instalaciones
que los albergan. El auditor informático debe contemplar
situaciones de
incendios, inundaciones, sabotajes, robos, catástrofes
naturales, etc.
Por su parte, la seguridad lógica se refiere a la seguridad en el
uso de softwares, la protección de los datos, procesos y
programas, así como la del acceso ordenado y autorizado de
los usuarios a la información.
El auditar la seguridad de los sistemas, también implica que se
debe tener cuidado que no existan copias piratas, o bien
que, al conectarnos en red con otras computadoras, no exista
13. 6. Auditoría Informática para
Aplicaciones en Internet.
Este tipo de revisiones, se enfoca principalmente
en verificar los siguientes aspectos, los cuales no
puede pasar por alto el auditor informático:
Evaluación de los riesgos de internet (operativos,
tecnológicos y financieros) y así como su probabilidad
de ocurrencia.
Evaluación de vulnerabilidades y la arquitectura de
seguridad implementada.
Verificar la confidencialidad de las aplicaciones y la
publicidad negativa como consecuencia de ataques
exitosos por parte de hackers.
14. Conclusión
Realizar auditorías con cierta frecuencia
asegura la integridad de los controles de
seguridad aplicados a los sistemas de
información. Acciones como el constante
cambio en las configuraciones, la
instalación de parches, actualización de los
software y la adquisición de nuevo
hardware hacen necesario que los
sistemas estén continuamente verificados
mediante auditoría.