Una auditora de seguridad informtica o auditora de seguridad de sistemas de
informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad. Contenido 1 Fases de una auditora 2 Tipos de auditora 3 Estndares de Auditora Informtica y de Seguridad 4 Vase tambin Fases de una auditora Los servicios de auditora constan de las siguientes fases: Enumeracin de redes, topologas y protocolos Identificacin de los sistemas operativos instalados Anlisis de servicios y aplicaciones Deteccin, comprobacin y evaluacin de vulnerabilidades Medidas especficas de correccin Recomendaciones sobre implantacin de medidas preventivas. Tipos de auditora Los servicios de auditora pueden ser de distinta ndole: Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento fundamental para la auditora perimetral. Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperabilidad del sistema, el anlisis se denomina anlisis postmortem. Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc. Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado Realizar auditoras con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio en las configuraciones, la instalacin de parches, actualizacin de los softwares y la adquisicin de nuevo hardware hacen necesario que los sistemas estn continuamente verificados mediante auditora. Estndares de Auditora Informtica y de Seguridad Una auditora se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el standard ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001 analizado por maritee.