martes, 17 de mayo de 2016

6.6 Seguridad y control


Seguridad y control


La seguridad y control en una auditoría es una evaluación de los sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos:
  • Equipos instalados, servidores, programas, sistemas operativos…
  • Procedimientos instalados
  • Análisis de Seguridad en los equipos y en la red
  • Análisis de la eficiencia de los Sistemas y Programas informáticos
  • Gestión de los sistemas instalados
  • Verificación del cumplimiento de la Normativa vigente LOPD
  • Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores.

Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Una Auditoria de Seguridad conlleva:
  • Amenazas y elementos de Seguridad de entrada y salida de datos.
  • Aspectos Gerenciales
  • Análisis de Riesgos
  • Identificación de amenazas. 
  • Seguridad en Internet
  • Control de Sistemas y Programas instalados 
  • Protocolo de Riesgos, Seguridad, Seguros, Programas instalados…
  • Protocolo ante perdidas, fraude y ciberataques
  • Planes de Contingencia y Recuperación de Desastres
  • Seguridad Física
  • Seguridad de Datos y Programas
  • Plan de Seguridad
  • Políticas de Seguridad
  • Medidas de Seguridad (Directivas, Preventivas y Correctivas)
  • Cadena de Custodia
  • LOPD

Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan de Auditoria Informática que oriente sobre la planificación de un sistema seguro y un plan de emergencia ante posibles desastres; implementando una metodología a seguir en caso de que ocurra alguna vulnerabilidad.

Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el control interno y evitar situaciones no deseadas.

Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contra-ataque.

Los servicios de auditoría pueden ser de distinta índole:
  • Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno 
  • Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
  • Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
  • Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. 
  • Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades.
  • Auditoría de código de aplicaciones.
  • Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de buenas prácticas que garanticen la seguridad de los sistemas.

Existen estándares base para auditorias informáticas como:
  • COBIT (objetivos de Control de la Tecnológica de la Información)
  • ISO 17799
  • ISO 27001
  • ISO 27002
  • Normas NFPA75
  • TIA 942
  • ISACA

A la hora de implantar un modelo de Auditoria de Seguridad Informática sería el siguiente:
  • Estudio General, evaluando la empresa, el personal, equipos y programas 
  • Observación de los sistemas implantados y realización de cuestionarios y entrevistas, sobre todo al personal que tenga acceso a documentación o datos sensibles.
  • Elabora gráficos estadísticos y flujogramas.
  • Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis de código de programas, Datos de prueba, Datos de prueba integrados, Análisis de bitácoras, Simulación paralela)
  • Enumera los equipos, redes, protocolos
  • Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados
  • Identifica y confirma todos los sistemas operáticos instalados
  • Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y fallas (OJO con el factor humano)
  • Diseña controles y medidas correctivas en las actividades y recursos dentro de la empresa.
  • Conciencia sobre la normativa y legislación vigente
  • Realiza un completo Análisis de Riesgos.
  • Realiza un informe completo sobre la implantación de la Auditoria de Seguridad, implantación de medidas preventivas y protocolo de Seguridad a instalar 
  • Emite un certificado de Seguridad de Auditoria Informática
  • Visitas cada tres meses para la comprobación de la aplicación de las normas.

Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y personas.

Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando al personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con un lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un ataque externo.

Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas organizacionales.

Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control que se indiquen según el número de empleados y facturación de la empresa.

El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque.

No solo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento, al igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches, actualizaciones de software, adquisición de nuevos productos tanto en software como hardware.

Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables de personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales y la forma de superarlos.


Fuente (s):

Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)