Ir al contenido principal

HERRAMIENTAS Y TÉCNICAS DE AUDITORIA TIC

 

 

HERRAMIENTAS Y TÉCNICAS DE AUDITORIA TIC

En este mundo globalizado donde la interconexión busca facilitar las comunicaciones entre diferentes factores de la vida social, cultural y económica de cualquier persona, tanto natural como jurídico convirtiendo los medios tecnológicos en un asunto más relevante, para la protección de la información a través de medios, por tanto la auditoria de seguridad de informática pasa a convertirse en una necesaria herramienta para reducir los riesgos que involucra la conexión a los sistemas que procesan, transmiten o almacenan información, haciendo que destinen recursos y procedimientos que permitan a las redes, sistemas y datos un grado de seguridad aceptables para reducir o eliminar cualquier amenaza interna o externa.

Por ende la Auditoria de Seguridad de la Información debe ser un proceso sistemático y objetivo  para identificar posibles debilidades en los sistemas de información usados por una organización y proporcionar recomendaciones que mejoren la seguridad.

En tal sentido se podría indicar que existen ventajas en la aplicación de auditorías en una organización del cual se podrían resumir en identificar la existencia de controles de seguridad, como se implementan esas políticas, el cumplimiento de las mismas, o si estas normas dan solución a posibles vulnerabilidades que expongan la integridad del software y hardware, etc.

Los resultados de estos análisis, darían, unas conclusiones y recomendaciones para optimizar la seguridad en las redes y los sistemas, físicos o no, logrando con ello reducir a corto o mediano plazo los gastos en equipo e incrementar la reputación de una organización, al detectar en forma temprana las amenazas al usar análisis de riesgos y pruebas de penetración para reducir posibles ataques que amenacen total o parcialmente lo más importante en una organización que es la información.

Con el fin de optimizar procesos al reducir recursos, tiempo horas/hombre usados para detectar cualquier tipo de anomalías en una organización se puede clasificar los tipos de auditoría TIC en:

1.    La Auditoria de Políticas y Procedimientos: Del cual tiene por fin evaluar las políticas, normas y procedimientos. En relación con su vigencia y efectiva aplicación en la organización.

2.  Auditoría de Cumplimiento en las Normativas: Basada en evaluar las normativas internas y como estas cumplan con normas legales de seguridad en la información, como serian las regulaciones especificas de la organización en materia financiera relacionadas por ejemplo: a los pagos electrónicos o por tarjetas electrónicas, normas de protección de datos, leyes relacionadas con seguridad de datos en materia nacional e incluso el cumplimientos en leyes y normas internacionales, entre las cuales se encuentra las normas ISO 27001.  

3.  Auditoria de Controles de Acceso: Aplicados en la evaluación de los sistemas y métodos usados en el acceso a los sistemas de datos a través de la existencia y maneras de aplicar una gestión de contraseñas, los niveles de privilegios de usuarios, etc.

4.  Auditoría de Seguridad de Aplicaciones: Enfocada en la seguridad de aplicaciones y sistema desarrollados o adquiridos por la organización, por tanto es importante conocer como revisar el código fuente, la autentificación, la gestión de la respuesta, como se debería configurar la seguridad de las aplicaciones, protección contra vulnerabilidades y maneras de autorizar a los usuarios.

5. Auditoría de Gestión de Incidentes: Consistente en evaluar la respuesta de la organización en caso de existir uno o varios incidente, como manejar su detención, notificación, respuesta y posterior recuperación del servicio. 

6.  Auditoria de Seguridad de Redes: Dedicada a evaluar la Infraestructura de una Red para identificar posibles riesgos de seguridad, usando para ello pruebas de penetración y configuración de firewall.

7.  Auditoria Interna de Blockchain: Este tipo de auditoria se enfoca en un nuevo paradigma de proceso de auditoria debido a las características que presenta una cadena de bloques, conformadas por ejemplo como una cadena de libros contables compartidas o mas exactamente definida en forma distribuidas que permiten realizar una auditoria a tiempo real, del cual se puede cotejar con una serie de copias alojados o en propiedad de un usuario.   

Técnicas Básicas de Aplicaciones de Auditoría

Las diversos tipos de auditoría debe aplicar las siguientes técnicas para su accionar:

  1. Definir los Límites de la Auditoría: Establecer donde iniciar la auditoría y hasta donde realizar la investigación.
  2. Planificación de la Auditoría: Definir los procedimientos a  seguir, el cronograma de trabajo, definición de las responsabilidades y roles de los auditores involucrados, así como los métodos y herramientas a usar.
  3. Recopilar Información: Dependiendo del tipo de auditoría, se debería conocer el funcionamiento de las herramientas tecnológicas a auditar, así como la existencias o no de manuales y demás políticas usadas en la gestión del área tecnológicas.
  4. Evaluar los Controles de Seguridad: En caso de contar la Organización con las normas y procedimientos internos, se inicia la evaluación de como estas cumplan con los objetivos y si están acordes con las normativas internacionales, como elemento referencial. Aunado al cumplimiento de las políticas de gestión de contraseñas, evaluar la configuración de seguridad de los sistemas, procedimientos de automatización y autorizaciones, revisión de gestión de parches, así como el acceso a las instalaciones y protección de los equipos tecnológicos físicos o digitales.
  5. Realizar una Evaluación de Riesgo: a Través de esta herramienta, se busca cubrir todos los aspectos técnicos y pasos a cubrir en una auditoría, así como establecer las prioridades que puedan mejorar la seguridad de los sistemas.
  6. Inicio de las Pruebas de Seguridad: En este paso, se busca evaluar las posibles vulnerabilidades en los sistemas y en las redes como son:
    1.       Prueba de penetración o PENTESTING, consistente en simular un ataque a la red y los sistemas, encontrándose a su vez subdividida en:
      • Metodología PTES: Esta es una destructora que se encuentra dividida a su ves en 7 secciones.
      • OOSTMM: medir las posibles vulnerabilidades de la red.
      • OWASP: mide las posibles fallas de las aplicaciones desde su arquitectura.  
    2.       Escaneo de vulnerabilidades: usando programas especializados para tal fin.
  7. Análisis de Hallazgos: Finalizadas las evaluaciones se identifican con precisión las debilidades encontradas, determinado la gravedad.
  8. Elabora un Informe de Auditoría: En esta parte, es necesario detallar en el informe los manuales, métodos usados, los hallazgos encontrados, conclusiones y recomendaciones.  

Comentarios

Publicar un comentario

Entradas populares de este blog

Ingeniería del Software en los Mercados de Negocios I

.. Principio de Modelos de Negocio  y la Tecnología Actualmente la tendencia es hacia un paradigma orientado a procesos, donde las aplicaciones cubren la actividad global de la empresa y las herramientas aplicables como la B.P.M.S. (Business Process Management Systems o Sistemas de Gestión de Procesos de Negocio), la cual busca mejorar procesos en una empresa determinada.  Entre tanto el B.P.M. (Business Process Management o Gestión de procesos de negocio) cuenta con la adecuada atención desde hacia años, pero tras la pandemia (covid-19 ) se incremento de forma considerable todo tipo de necesidad relacionada con la tecnológicas, logrando mejorar procesos administrativos de negocios pasando a ser el eje fundamental los procesos informáticos. Entre ellos encontramos los analistas de negocios, que están interesados en mejorar las operaciones de las compañías como incrementar la satisfacción de los clientes, reducir los costos de las operaciones, y establecer nuevos productos...
Publicar un comentario
Leer más

La Gestión de Servicios TIC

La Gestión de Servicios TIC La gestión de servicios de tecnologías de la información y comunicación   (TIC) es una disciplina que se enfoca en diseñar, implementar, operar y mejorar los servicios TI en una organización, buscando ofrecer a los usuarios o clientes una mejor satisfacción. El objetivo principal es asegurar a las empresas, métodos que les permitan entender, planificar y operar los servicios de tecnología de la información (TI) con el fin de garantizar al usuario la entrega de un servicio eficiente, efectiva y alineada con los objetivos del negocio.   La Importancia de la Seguridad TIC.   La seguridad TIC. Se ha aplicado desde la introducción de las computadoras como herramienta de procesamiento de la información, en el área de la arquitectura del computador, pero el desarrollo de la tecnología de la información, las posibilidades de usabilidad de las TI se amplió con la aparición de los sistemas operativos, las aplicaciones y los sistemas de red. ...
Publicar un comentario
Leer más

Tipos de Software

Tipos de Software Los tipos de software  Los tipos de software son parte de una larga lista que tienen las aplicaciones o programas para ser usados según las necesidades de casa usuario, y su permanencia en el tiempo dependiendo del buen funcionamiento en los sistemas informático El alcance del softwares en la actualidad es indudable por su  flexibilidad, facilidad de descarga y gran gama de uso, llegando abarcar el educativo, negocios, entretenimiento, salud, entre otros. Clasificación del Software Según su clasificación se puede definir dependiendo del objetivo que tenga el o los usuarios: Software de sistema : Sin duda alguna este tipo de software tan específico es muy importante y mas conocido por las personas. Estos programas informáticos permiten la interacción entre el sistema operativo clasificado en monotarea y multitarea, siendo este ultimo modelo de uso común en los equipo de computación actuales, debido a que son capaces de realizar múltiples tareas al mimo ti...
Publicar un comentario
Leer más