Issuu on Google+

AUDITORIA DE SISTEMAS: SEGURIDAD DE LA INFORMACIÓN

Autores Jennifer Murillo (murillo.jennifer@gmail.com) Santiago Burgos (jsbm00@hotmail.com)

RESUMEN El artículo plantea que uno de los elementos fundamentales para mejorar la seguridad de la información en una organización es la auditoria de seguridad; Las etapas y metodología de la auditoria deben estar bien definidas y deben ser cumplidas estrictamente. En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informáticos y la información como activos de una organización, manteniéndolos libres de peligros, daños o riesgos.

Palabras Claves: Riesgos informáticos, Tecnología de la información, Auditoria de Seguridad.

INTRODUCCIÓN

Una de las principales preocupaciones de todas las grandes corporaciones hoy en día, es salvaguardar la información sensible del negocio y la infraestructura con la que cuenta, por consiguiente la seguridad informática se convierte cada vez más en una necesidad irremediablemente urgente.


Es por ello que nos enfocaremos en normas o estándares que ayudan a la implementación de la seguridad de la información corporativa a través de la auditoria de sistemas, en el presente artículo se ahondará sobre estas normas; presentaremos una breve descripción de lo que tratan algunos estándares.

SEGURIDAD DE LA INFORMATICA Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA

La auditoría de seguridad informática consiste en la evaluación, análisis y generación de soluciones para el recurso computacional de la organización. Los procesos cubren cuatro frentes específicos: 1. Auditoría desde Internet, identificando las vulnerabilidades a las que se ve expuesto el recurso computacional y el sitio Web de la organización desde Internet por parte de delincuentes informáticos. 2. Auditoría desde la red interna (LAN) de la organización para la identificación de las vulnerabilidades generadas desde el interior de la organización aprovechando los beneficios de la red de área local. Las estadísticas demuestran que un considerable número de ataques informáticos a organizaciones en todas partes del mundo son provenientes del interior de la misma organización.


3. Trabajo sobre los equipos, ejecutando herramientas software de identificación de vulnerabilidades, identificación de tipos de archivos contenidos de software espía, virus informáticos y análisis personales del estado físico, lógico y locativo de cada uno de los equipos. Existe un número tan elevado de software potencialmente dañino alcanzable por cualquier usuario que es muy importante la evaluación del software de cada equipo. 4. Ejecución de entrevistas sobre el manejo de las políticas de seguridad física, lógica y locativa de los miembros de la organización. Un proceso fundamental en la seguridad de los sistemas es la evaluación del manejo del equipo y este manejo se debe referir no solo al componente lógico sino también al manejo físico y locativo. En este punto es importante hace la diferencia entre seguridad física y locativa.

ESTANDARES: BUENAS PRÁCTICAS DE SEGURIDAD INFORMATICA Dentro de cada una de las organizaciones que tengan su operatividad basada en tecnologías de la información, es recomendable implementar buenas prácticas de seguridad informática, ya que en la mayoría de casos en que no se sigue un proceso de implementación adecuado, puede generar huecos que aumenten la posibilidad de riesgos en la información. Para el efecto, se crean normas y estándares internacionales de alto nivel para la administración de la seguridad informática como son :    

ISO/IEC 27000 FIPS 140 (Federal Information Precessing Systems 140) COBIT ITIL

ISO/IEC 27001:2005 Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA- acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orígenes en


la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Beneficios 

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demuestra a los clientes que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

CONCLUSION

Implementando una auditoria de sistemas para la seguridad informática, se logra alcanzar un nivel de seguridad en los sistemas informáticos, siempre y cuando se utilicen las herramientas y técnicas adecuadas, las cuales permitirán a las empresas detectar problemas y vulnerabilidades, a su vez implementar las soluciones que correspondan a cada caso.


REFERENCIAS Echenique García, José Antonio. (1995), Auditoría en Informática. Edit. Mc Graw Hill, México. www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/estandares.ppt‎


Articulo Tecnico #1