2.2.1. DEFINICIÓN
Es el estudio que
comprende el análisis y gestión de sistemas llevados a cabo por profesionales
para identificar, enumerar y posteriormente describir las diversas
vulnerabilidades que pudieran presentarse en una revisión exhaustiva de
las estaciones de trabajo, redes de
comunicaciones o servidores.
2.2.2. IDENTIFICAR LOS MODELOS DE SEGURIDAD.
Los servicios de auditoría
pueden ser de distinta índole:
ü Auditoría de seguridad interna. En este tipo de auditoría se
contrasta el nivel de seguridad y privacidad de las redes locales y
corporativas de carácter interno.
ü Auditoría de seguridad perimetral. En este tipo de análisis, el
perímetro de la red local o corporativa es estudiado y se analiza el grado de
seguridad que ofrece en las entradas exteriores.
ü Test de intrusión. El test de intrusión es un método de auditoría
mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de
resistencia a la intrusión no deseada. Es un complemento fundamental para la
auditoría perimetral.
ü Análisis forense. El análisis forense es una metodología de
estudio ideal para el análisis posterior de incidentes, mediante el cual se
trata de reconstruir cómo se ha penetrado en el sistema, a la par que se
valoran los daños ocasionados. Si los daños han provocado la inoperatividad del
sistema, el análisis se denomina análisis postmortem.
ü Auditoría de páginas web. Entendida como el análisis externo de la
web, comprobando vulnerabilidades como la inyección de código sql, Verificación
de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
ü Auditoría de código de aplicaciones. Análisis del código tanto de
aplicaciones páginas Web como de cualquier tipo de aplicación,
independientemente del lenguaje empleado.
2.2.3. IDENTIFICAR LAS ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD.
Las áreas que puede cubrir
la auditoria de la seguridad son:
ü Controles directivos(fundamentos de la seguridad)
ü Medida de desarrollo
ü Verificación de ajustes a la legalidad
ü Amenazas físicas externas
ü Control de acceso adecuado
ü Protección de datos
ü Comunicaciones y redes
ü Área de producción
ü Desarrollo de aplicaciones en un entorno seguro
ü La continuidad de las operaciones
2.2.4. IDENTIFICAR LAS FASES DE LA AUDITORÍA DE SEGURIDAD
Los servicios de auditoría
constan de las siguientes fases:
ü Enumeración de redes, topologías y protocolos
ü Verificación del Cumplimiento de los estándares
internacionales. ISO, COBIT, etc.
ü Identificación de los sistemas operativos instalados
ü Análisis de servicios y aplicaciones
ü Detección, comprobación y evaluación de vulnerabilidades
ü Medidas específicas de corrección
ü Recomendaciones sobre implantación de medidas preventivas.
2.2.5. DEFINIR LA AUDITORÍA DE LA SEGURIDAD FÍSICA (UBICACIÓN, INSTALACIÓN
ELÉCTRICA), LÓGICA, DE LOS DATOS (ENCRIPTAMIENTO, EN COMUNICACIÓN Y REDES, EN
EL PERSONAL.
ü Auditoria de seguridad física: No se debe limitar a comprobar la
existencia de los medios físicos, sino también su funcionalidad, racionalidad y
seguridad. Garantiza la integridad de los activos humanos, lógicos y
materiales.
ü Auditoria de seguridad Lógica: Se centra en auditar aspectos técnicos
de la infraestructura de TIC, contemplando tanto aspectos de diseño de la arquitectura
como aspectos relacionados con los mecanismos de protección desplegados para
hacer frente a todo tipo de incidentes lógicos.
ü Auditoria de seguridad de datos: El objeto de la auditoría de
protección de datos, es verificar la adaptación de los ficheros automatizados
de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino
también por el Reglamento de Medidas de Seguridad y las restantes
disposiciones normativas que resulten de aplicación, en especial, a las medidas
de seguridad y a los procedimientos llevados a cabo para la recogida y
tratamiento de los datos personales.
No hay comentarios:
Publicar un comentario