viernes, 5 de diciembre de 2014

Auditorías (Repaso)

Las auditorías de seguridad de sistemas de información permiten conocer en el momento de su realización cual es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Los objetivos de una auditoría de seguridad de los sistemas de información son:

- Revisar la seguridad de los entornos y sistemas.
- Verificar el cumplimiento de la normativa y legislación vigentes.
- Elaborar un informa independiente.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existe estándares orientados a servir como base para auditorías de informática. Uno de ellos es el COBIT (Objetivos de Control de las Tecnologías de la Información), y adicional a este podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

La auditorías pueden ser de distinta índole:

Auditoría de seguridad interna: se contrasta el nivel de seguridad de las redes locales y corporativas de carácter interno.

Auditoría de seguridad perimetral: se estudia el perímetro de la red local o corporativa, conectado a redes públicas.

Test de intrusión: se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.

Análisis forense: análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema se denomina análisis post mórtem.

Auditoría de código de aplicaciones: análisis del código independientemente del lenguaje empleado.

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información.
Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)