Auditora de seguridad de sistemas de informacin

Una auditora de seguridad informtica o auditora de seguridad de sistemas de

informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas llevado a
cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica
para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que
pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad de
sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es
la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas
de seguridad.
Contenido
1 Fases de una auditora
2 Tipos de auditora
3 Estndares de Auditora Informtica y de Seguridad
4 Vase tambin
Fases de una auditora
Los servicios de auditora constan de las siguientes fases:
Enumeracin de redes, topologas y protocolos
Identificacin de los sistemas operativos instalados
Anlisis de servicios y aplicaciones
Deteccin, comprobacin y evaluacin de vulnerabilidades
Medidas especficas de correccin
Recomendaciones sobre implantacin de medidas preventivas.
Tipos de auditora
Los servicios de auditora pueden ser de distinta ndole:
Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de
seguridad y privacidad de las redes locales y corporativas de carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin
no deseada. Es un complemento fundamental para la auditora perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el
anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha
penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos
han provocado la inoperabilidad del sistema, el anlisis se denomina anlisis
postmortem.
Auditora de pginas web. Entendida como el anlisis externo de la web,
comprobando vulnerabilidades como la inyeccin de cdigo sql, Verificacin de
existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc.
Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones
pginas Web como de cualquier tipo de aplicacin, independientemente del
lenguaje empleado
Realizar auditoras con cierta frecuencia asegura la integridad de los controles de seguridad
aplicados a los sistemas de informacin. Acciones como el constante cambio en las
configuraciones, la instalacin de parches, actualizacin de los softwares y la adquisicin
de nuevo hardware hacen necesario que los sistemas estn continuamente verificados
mediante auditora.
Estndares de Auditora Informtica y de Seguridad
Una auditora se realiza con base a un patron o conjunto de directrices o buenas practicas
sugeridas. Existen estndares orientados a servir como base para auditoras de informtica.
Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro
de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los
Sistemas". Adicional a este estndar podemos encontrar el standard ISO 27002, el cual se
conforma como un cdigo internacional de buenas prcticas de seguridad de la
informacin, este puede constituirse como una directriz de auditora apoyndose de otros
estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas
de gestin de seguridad, como lo es el estndar ISO 27001 analizado por maritee.