Una auditoría de
seguridad informática o auditoría de seguridad de sistemas
de información (SI) es el
estudio que comprende el análisis y gestión de sistemas llevado a cabo por
profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática
para identificar, enumerar y posteriormente describir las diversas
vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan
a los responsables quienes deberán establecer medidas preventivas de refuerzo
y/o corrección siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento
de su realización cuál es la situación exacta de sus activos de información en
cuanto a protección, control y medidas de seguridad.
Con una auditoría de seguridad se da una visión exacta del nivel de
exposición de sus Sistemas de Información a nivel de seguridad .En la auditoría se verifica la
seguridad en la autenticidad,
confidencialidad, integridad, disponibilidad y audibilidad de la
información tratada por los sistemas.
Seguridad
Los objetivos de una
auditoría de seguridad de los sistemas de información son:
•Revisar la
seguridad de los entornos y sistemas.
•Verificar
el cumplimiento de la normativa y legislación vigentes
•Elaborar un
informe independiente
•
Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS
La metodología para una auditoría de sistemas de información
establece su ejecución por fases:
1. Definir el alcance de la Auditoría: Análisis Inicial y Plan de Auditoría
2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.
2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.
3. Análisis de las
Evidencias, documentación de los resultados obtenidos y conclusiones.
4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan los apartados más importantes de la auditoría.
5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de Información.
4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan los apartados más importantes de la auditoría.
5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de Información.
No hay comentarios:
Publicar un comentario