1. REPUBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITECNICO
“SANTIAGO MARIÑO”
SEDE BARCELONA
INGENIERIA DE SISTEMAS
Asignatura: auditoria de sistemas
auditoria de seguridad
Profesor : Bachiller:
Amelia Vázquez Adriana Vivas CI#20874769
2. Introducción.
sobre la documentación e información de una organización, realizadas por un
profesional, de la auditorlia este es designado para desempeñar un proceso
de funciones como la planeacion, revision detallada, revision preliminar,
examen y evaluacion de la informacion, pruebas de control de usuarios y
pruebas sustantivas.
3. Auditoría de seguridad
es el estudio que comprende el análisis y gestión de sistemas
llevado a cabo por profesionales para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que
pudieran presentarse en una revisión exhaustiva de las
estaciones de trabajo, redes de comunicaciones o servidores.
FASES DE UNA AUDITORÍA
4. Enumeración de redes, topologías y protocolos.
Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
Identificación de los sistemas operativos instalados.
Análisis de servicios y aplicaciones.
Detección, comprobación y evaluación de vulnerabilidades.
Medidas específicas de corrección.
Recomendaciones sobre implantación de medidas preventivas.
Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter interno.
5. Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores.
Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando
vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de
posibilidades de Cross Site Scripting (XSS), etc.
6. Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web
como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es
un complemento fundamental para la auditoría perimetral.
Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis
posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en
el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la
inoperabilidad del sistema, el análisis se denomina análisis postmortem.
7. IMPORTANCIA DE LA AUDITORIA DE SEGURIDAD
Busca, desarrollar, publicar y promover la actualización de objetivos de control en tecnologías
de la información, generalmente aceptadas, para el uso diario por parte de gestores de
negocio y auditores.
BENEFICIOS
Mejor alineación basado en una
focalización sobre el negocio.
8. Visión comprensible de TI para su administración.
Clara definición de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje común.
Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno
de Negocio COSO.
Seguridad física y lógica.
También conocida como ciberseguridad o seguridad de tecnología de la información, es el área
relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la información contenida en una
computadora o circulante a través de las redes de computadoras
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la
protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado
de los usuarios a la información.
Restringir el acceso a los programas y archivos
9. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
seguridad física de los sistemas informáticos consiste en la
aplicación de barreras físicas y procedimientos de control como
medidas de prevención y contramedidas contra las amenazas a los recursos y la información
confidencial.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático3.2. Por
tanto, las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad física de cualquier organización
Acceso físico
La posibilidad de acceder físicamente a una máquina Unix - en general, a cualquier sistema
operativo.
10. hace inútiles casi todas las medidas de seguridad que se haya aplicado sobre la misma
Delitos Informáticos
la Ley Orgánica de Protección de Datos de carácter personal o también llamada LOPD y su
normativa de desarrollo, protege ese tipo de datos estipulando medidas básicas y necesidades
que impidan la pérdida de calidad de la información o su robo.
Los delitos informáticos son todos aquellos realizados a través de las tecnologías de la
información (Internet, software, base de datos, etc.), los cuales están penados por la Ley Contra
los Delitos Informáticos.
Esta Ley está compuesta por 32 artículos en los cuales se señalan cinco clases de delitos:
11. Contra los sistemas que utilizan
tecnologías de información;
Contra la propiedad;
Contra la privacidad de las personas y de
las comunicaciones;
Contra niños, niñas y adolescentes y;
Contra el orden económico.
Conclusión
Mientras que la auditoría en informática es la indicada para evaluacion de manera
profunda, de aquí su importancia y relevancia para determinar el adecuado
desempeño de los sistemas de información, debido a que nos brinda los controles
suficientes y necesarios para que los sistemas sean de alta confiabilidad y con alto
nivel de seguridad.
12. Cuando se ha definido el grado de riesgo se debe elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar y las correctivas en
casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso
de desastres se trabajen los sistemas de acuerdo a sus prioridades.