Auditoria: La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra auditor”, que tiene la virtud de oir y revisar cuentas.
El propósito del trabajo de auditoría está enmarcado en uno o más de los siguientes puntos:
1. Cumplimiento de políticas, normas y procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática).
2. Comprobar el adecuado uso y resguardo de los recursos informáticos de la entidad.
3. Verificar que se efectúa el mantenimiento preventivo y correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas.
4. Grado de confiabilidad y privacidad del ambiente informático.
5. Garantizar la seguridad (personas, datos, programas, y los equipos).
6. Verificar controles de seguridad física y ambiental.
7. Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).
8. Verificar que los sistemas de información correspondan a los objetivos y requerimientos de la entidad.
9. Comprobar la consistencia y confiabilidad de los sistemas.
10. Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones.
11. Verificar que las rutinas de cálculo ejecutadas por las aplicaciones se apliquen correctamente.
Motivos para efectuar una Auditoria de TI
Aumento del presupuesto del Departamento de procesamiento de datos.
Desconocimiento de la situación informática de la empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el uso del computador.
Falta de una aplicación informática. Falta de visión.
Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad asignación de tareas y adecuada administración del recurso humano.
Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.
Falta de documentación incompleta de sistemas.
La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocios.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización.
La seguridad informática surge como soporte a la necesidad de protección de uno de los activos más valiosos en las empresas: LA INFORMACIÓN.
La disponibilidad, integridad y confidencialidad de ella pueden ser esenciales para mantener su competitividad, flujo de caja, rentabilidad, cumplimiento legal e imagen comercial.
La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema de la información.
Áreas que cubre la seguridad informática
* Políticas de Seguridad* Seguridad Física
* Autentificación
* Integridad
* Confidencialidad
* Control de Acceso
* Auditoría
¿Por qué es necesaria la seguridad de información?
La información y los procesos que la apoyan, los sistemas y redes son importantes activos de la organización. Definir, realizar, mantener y mejorar la seguridad de información, pueden ser esenciales para mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento de la legalidad e imagen comercial.
¿Cómo establecer los requisitos de seguridad?
Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes principales.
1. La primera fuente procede de la valoración de los riesgos de la organización, tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto.
2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, sus socios comerciales, los contratistas y los proveedores de servicios.
3. La tercera fuente está formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información que la organización ha desarrollado para apoyar sus operaciones.
Evaluación de los riesgos de seguridad
Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos. El gasto en controles debería equilibrarse con el posible impacto económico, resultante de los fallos de seguridad.
Los resultados de ésta evaluación ayudarán a encauzar y determinar una adecuada acción gerencial y las prioridades para gestionar los riesgos de seguridad de la información, y la implantación de los controles seleccionados para protegerse contra dichos riesgos.
Las evaluaciones de riesgos deben repetirse periódicamente para tener en cuenta cualquier cambio que pueda influir en los resultados de la evaluación.
Los objetivos de una auditoría de seguridad de los sistemas de información son:
• Revisar la seguridad de los entornos y sistemas.
• Verificar el cumplimiento de la normativa y legislación vigentes
• Elaborar un informe independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS
La metodología para una auditoría de sistemas de información establece su ejecución por fases:
1. Definir el alcance de la Auditoría: Análisis Inicial y Plan de Auditoría
2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.
3. Análisis de las Evidencias, documentación de los resultados obtenidos y conclusiones.
4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan los apartados más importantes de la auditoría.
5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de Información.
Dominios NTP ISO 17799 – 2007
Normas:
La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad informática.
Information Systems and Audit Control Association – ISACA: COBIT
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.
NTP17799:2007
EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información.La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de junio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information Technology Code Of Practice For Information Security Management. Fue oficializada cono Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, 2ª Edición, el 22 de enero del 2007.
ISO/IEC 27001 es una norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Consultoras Peruanas:
Noles MonteBlanco & Asociados.
http://www.noles.com.pe/auditoria.php
MBTECH Analistas y Consultores de Seguridad de TI.
http://www.mbtechperu.com/
Solucionesonline E.I.R.L.
http://www.solucionesonline.org/index.php
Innova – TI Innovación en Tecnología de Información.
http://www.innovati.com.pe/
AE Group SAC.
http://www.aegroupsac.com/index.php
Uptime Business Consulting SAC.
http://www.uptime.com.pe/index.html
NCA Consultores.
http://www.ncaconsultores.com/
CASTACOM S.A.
http://www.castacom.com/
Videos
Seguridad Informática y Anti-Hacking de Sistemas
Seguridad Informática
No hay comentarios:
Publicar un comentario