Las auditorías de
seguridad de sistemas de información permiten conocer en el momento
de su realización cual es la situación exacta de sus activos de
información en cuanto a protección, control y medidas de seguridad.
Los objetivos de una auditoría de seguridad de los sistemas de
información son:
-
Revisar la seguridad de los entornos y sistemas.
-
Verificar el cumplimiento de la normativa y legislación vigentes.
-
Elaborar un informa independiente.
Una
auditoría se realiza con base a un patrón o conjunto de directrices
o buenas prácticas sugeridas. Existe estándares
orientados a servir como base para auditorías de informática. Uno
de ellos es el COBIT (Objetivos de Control de las
Tecnologías de la Información), y adicional a este podemos
encontrar el estándar ISO 27002, el cual se conforma
como un código internacional de buenas prácticas de
seguridad de la información, este puede constituirse como una
directriz de auditoría apoyándose de otros estándares de seguridad
de la información que definen los requisitos de auditoría y
sistemas de gestión de seguridad, como lo es el estándar ISO
27001.
La
auditorías pueden ser de distinta índole:
- Auditoría
de seguridad interna: se contrasta el nivel de seguridad de
las redes locales y corporativas de carácter interno.
- Auditoría
de seguridad perimetral: se estudia el perímetro de la red
local o corporativa, conectado a redes públicas.
- Test
de intrusión: se intenta acceder a los sistemas, para
comprobar el nivel de resistencia a la intrusión no deseada.
- Análisis
forense: análisis posterior de incidentes, mediante el cual
se trata de reconstruir cómo se ha penetrado en el sistema, a la par
que se valoran los daños ocasionados. Si los daños han provocado la
inoperabilidad del sistema se denomina análisis post mórtem.
- Auditoría
de código de aplicaciones: análisis del código
independientemente del lenguaje empleado.
Realizar
auditorías con cierta frecuencia asegura la
integridad de los controles de seguridad aplicados a los sistemas de
información.
No hay comentarios:
Publicar un comentario