AUDITORIA DE SISTEMAS: SEGURIDAD DE LA INFORMACIÓN

Autores Jennifer Murillo (murillo.jennifer@gmail.com)

Santiago Burgos (jsbm00@hotmail.com)

RESUMEN

El artículo plantea que uno de los elementos fundamentales para mejorar la

seguridad de la información en una organización es la auditoria de seguridad; Las

etapas y metodología de la auditoria deben estar bien definidas y deben ser

cumplidas estrictamente.

En este sentido, las políticas de seguridad informática surgen como una

herramienta organizacional para concienciar a los colaboradores de la

organización sobre la importancia y sensibilidad de la información y servicios

críticos que permiten a la empresa crecer y mantenerse competitiva, asegurando

el buen uso de los recursos informáticos y la información como activos de una

organización, manteniéndolos libres de peligros, daños o riesgos.

Palabras Claves: Riesgos informáticos, Tecnología de la información, Auditoria de

Seguridad.

INTRODUCCIÓN

Una de las principales preocupaciones de todas las grandes corporaciones hoy en

día, es salvaguardar la información sensible del negocio y la infraestructura con la

que cuenta, por consiguiente la seguridad informática se convierte cada vez más

en una necesidad irremediablemente urgente.

Es por ello que nos enfocaremos en normas o estándares que ayudan a la

implementación de la seguridad de la información corporativa a través de la

auditoria de sistemas, en el presente artículo se ahondará sobre estas normas;

presentaremos una breve descripción de lo que tratan algunos estándares.

SEGURIDAD DE LA INFORMATICA

Una política de seguridad informática es una forma de comunicarse con los

usuarios, ya que las mismas establecen un canal formal de actuación del personal,

en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática, es más bien

una descripción de los que deseamos proteger y el por qué de ello, pues cada

política de seguridad es una invitación a cada uno de sus miembros a reconocer la

información como uno de sus principales activos así como, un motor de

intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas

de seguridad deben concluir en una posición consciente y vigilante del personal

por el uso y limitaciones de los recursos y servicios informáticos.

LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA

La auditoría de seguridad informática consiste en la evaluación, análisis y

generación de soluciones para el recurso computacional de la organización.

Los procesos cubren cuatro frentes específicos:

1. Auditoría desde Internet, identificando las vulnerabilidades a las que se ve

expuesto el recurso computacional y el sitio Web de la organización desde Internet

por parte de delincuentes informáticos.

2. Auditoría desde la red interna (LAN) de la organización para la identificación de

las vulnerabilidades generadas desde el interior de la organización aprovechando

los beneficios de la red de área local. Las estadísticas demuestran que un

considerable número de ataques informáticos a organizaciones en todas partes

del mundo son provenientes del interior de la misma organización.

3. Trabajo sobre los equipos, ejecutando herramientas software de identificación

de vulnerabilidades, identificación de tipos de archivos contenidos de software

espía, virus informáticos y análisis personales del estado físico, lógico y locativo

de cada uno de los equipos. Existe un número tan elevado de software

potencialmente dañino alcanzable por cualquier usuario que es muy importante la

evaluación del software de cada equipo.

4. Ejecución de entrevistas sobre el manejo de las políticas de seguridad física,

lógica y locativa de los miembros de la organización. Un proceso fundamental en

la seguridad de los sistemas es la evaluación del manejo del equipo y este manejo

se debe referir no solo al componente lógico sino también al manejo físico y

locativo. En este punto es importante hace la diferencia entre seguridad física y

locativa.

ESTANDARES: BUENAS PRÁCTICAS DE SEGURIDAD INFORMATICA

Dentro de cada una de las organizaciones que tengan su operatividad basada en

tecnologías de la información, es recomendable implementar buenas prácticas de

seguridad informática, ya que en la mayoría de casos en que no se sigue un

proceso de implementación adecuado, puede generar huecos que aumenten la

posibilidad de riesgos en la información. Para el efecto, se crean normas y

estándares internacionales de alto nivel para la administración de la seguridad

informática como son

:

ISO/IEC 27000

FIPS 140 (Federal Information Precessing Systems 140)

COBIT

ITIL

ISO/IEC 27001:2005

Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el

conocido “Ciclo de Deming”: PDCA- acrónimo de Plan, Do, Check, Act (Planificar,

Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas

en ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orígenes en

la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica,

la British Standards Institution (BSI).

Beneficios

Demuestra la garantía independiente de los controles internos y cumple los

requisitos de gestión corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que

sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales

y demuestra a los clientes que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén

correctamente identificados, evaluados y gestionados al tiempo que

formaliza unos procesos, procedimientos y documentación de protección de

la información.

Demuestra el compromiso de la cúpula directiva de su organización con la

seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el

rendimiento y la mejora.

CONCLUSION

Implementando una auditoria de sistemas para la seguridad informática, se logra

alcanzar un nivel de seguridad en los sistemas informáticos, siempre y cuando se

utilicen las herramientas y técnicas adecuadas, las cuales permitirán a las

empresas detectar problemas y vulnerabilidades, a su vez implementar las

soluciones que correspondan a cada caso.

REFERENCIAS

Echenique García, José Antonio. (1995), Auditoría en Informática. Edit. Mc Graw

Hill, México.

www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/estandares.ppt‎