La implantación de sistemas informáticos en la empresa hace imprescindible que sean evaluados mediante una auditoría de seguridad informática

Un artículo de Angel Bahamontes Gomez Presidente de ANTPJI

Antiguamente la comprobación de la gestión, control y actividad económica-financiera de las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditoría financiera.

La implantación de sistemas informáticos, deja anulado estos sistemas, debido a que hay que no pueden detectar las entradas y salidas generadas y si habían sido objeto o no de manipulación.

Una empresa que cuente con una plantilla mínima de 50 personas, ha de tener una auditoria informática independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como externos.

Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos:

  • Equipos instalados, servidores, programas, sistemas operativos…
  • Procedimientos instalados
  • Análisis de Seguridad en los equipos y en la red
  • Análisis de la eficiencia de los Sistemas y Programas informáticos
  • Gestión de los sistemas instalados
  • Optimización del Parque Informático (Software y Hardware)
  • Verificación del cumplimiento de la Normativa vigente LOPD
  • Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores.
  • Protocolo de Seguridad ante una amenaza tecnológica

Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Una Auditoria de Seguridad conlleva:

  • Amenazas y elementos de Seguridad de entrada y salida de datos.
  • Aspectos Gerenciales
  • Análisis de Riesgos
  • Identificación de amenazas.
  • Seguridad en Internet
  • Control de Sistemas y Programas instalados
  • Protocolo de Riesgos, Seguridad, Seguros, Programas instalados…
  • Protocolo ante perdidas, fraude y ciberataques
  • Planes de Contingencia y Recuperación de Desastres
  • Seguridad Física
  • Seguridad de Datos y Programas
  • Plan de Seguridad
  • Políticas de Seguridad
  • Medidas de Seguridad (Directivas, Preventivas y Correctivas)
  • Cadena de Custodia
  • LOPD

Es necesario en las empresas, dependiendo de la cantidad de empleados y facturación un Plan de Auditoria Informática que oriente sobre la planificación de un sistema seguro y un plan de emergencia ante posibles desastres; implementando una metodología a seguir en caso de que ocurra alguna vulnerabilidad.

Nadie está a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el control interno y evitar situaciones no deseadas.

Hay que instalar un sistema apoyado en herramientas de análisis y verificación que permitan determinar las debilidades y posibles fallos y su inmediata reparación, reposición o contra-ataque.

Los servicios de auditoría pueden ser de distinta índole:

  • Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
  • Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
  • Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
  • Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados.  Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades.
  • Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.
  • Auditoria de Seguridad ante la amenaza de un ataque cibernético, extorsión empresarial cibernética y creación de un gabinete y protocolo de actuación ante cualquier ataque, chantaje o fuga de datos.
  • Una Auditoria de Seguridad Informática se realiza en base a un conjunto de directrices de buenas prácticas que garanticen la seguridad de los sistemas.

Existen estándares base para auditorias informáticas como:

  • COBIT (objetivos de Control de la Tecnológica de la Información)
  • ISO 17799
  • ISO 27001
  • ISO 27002
  • Normas NFPA75
  • TIA 942
  • ISACA
  • ANBASO (Certificación propia de ANTPJI para Software)
  • ANBAET(Certificación propia de ANTPJI para Hardware)

No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informático a la hora de implantar un modelo de Auditoria de Seguridad Informática sería el siguiente:

  • Estudio General, evaluando la empresa, el personal, equipos y programas
  • Observación de los sistemas implantados y realización de cuestionarios y entrevistas, sobre todo al personal que tenga acceso a documentación o datos sensibles.
  • Elabora gráficos estadísticos y flujogramas.
  • Análisis de datos (Comparación de programas, Mapeo y rastreo de programas, Análisis de código de programas, Datos de prueba, Datos de prueba integrados, Análisis de bitácoras, Simulación paralela)
  • Enumera los equipos, redes, protocolos
  • Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados
  • Identifica y confirma todos los sistemas operáticos instalados
  • Identifica, ejecuta análisis, inspecciona, verifica, comprueba y evalúa las evidencias y fallas (OJO con el factor humano)
  • Diseña controles y medidas correctivas en las actividades y recursos dentro de la empresa.
  • Conciencia sobre la normativa y legislación vigente
  • Realiza un completo Análisis de Riesgos.
  • Realiza un informe completo sobre la implantación de la Auditoria de Seguridad, implantación de medidas preventivas y protocolo de Seguridad a instalar
  • Emite un certificado de Seguridad de Auditoria Informática

Visitas cada tres meses para la comprobación de la aplicación de las normas.

Es necesario pensar de manera analítica, reflexiva y critica a la hora de integrar equipos y personas.

Debemos ser creativos en la implantación de los paquetes de medidas a instalar concienciando al personal, facilitándole la labor de controles internos y aplicación de medidas correctivas con un lenguaje sencillo y aplicaciones básicas pero efectivas que garanticen la seguridad ante un ataque externo.

Un sistema implantado de Auditoria Informática ha de ser válido y efectivo, sin que dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas organizacionales.

Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control que se indiquen según el número de empleados y facturación de la empresa.

El cliente conoce el valor de la seguridad física, pero en contadas ocasiones conoce el precio de la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o sanciones por la pérdida de información sensible o la quiebra del negocio por un ciberataque.

No sólo es necesario una Auditoria de Seguridad Informática, sino realizar un mantenimiento, al igual que se hace con los equipos informáticos, ya que así podemos asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los avances tecnológicos avanzan meteóricamente al igual que los delitos cibernéticos, con lo que es necesario parches, actualizaciones de software, adquisición de nuevos productos tanto en software como hardware.

Es necesario desde el primer momento realizar una evaluación de la empresa con sus variables de personal, equipos, facturación, delegaciones… para calcular los tiempos y realizar un coste aproximado de la implantación de una Auditoria Informática, identificando los riesgos actuales y la forma de superarlos.

No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos, sino con un número de personas desconocidas que van a utilizar el resultado de nuestro trabajo como base para tomar decisiones.

Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos

El informe inicial de Auditoria de Seguridad Informática ha de contener:

  • Tipo de Auditoria a instalar (Ámbito, Aplicación, y Planificación de la misma)
  • Riesgos actuales
  • Seguridad física y lógica del Centro Tecnológico (Central, Servidores)
  • Auditoria de dirección y personal autorizado a integrar en la Auditoria
  • Auditoria del desarrollo del negocio (Física, Forense y Financiera)
  • Base de Datos ( LOPD, normativa, irregularidades, correos personales)
  • Implantación de medidas de seguridad
  • Análisis de Negocio Electrónico y administración de la WEB
  • Aplicación de técnicas y procedimientos de auditoría forense.
  • Aplicación de nuevas tecnologías en equipos o programas en la Empresa.
  • Aplicación de los sistemas instalados ante incidentes Protocolo de Seguridad ante ataques cibernéticos

Ah, hola 👋
Un placer conocerte.

Regístrate para recibir contenido genial en tu bandeja de entrada.

¡No enviamos spam! Lee nuestra política de privacidad para más información.

Por Ángel Bahamontes Gómez

Presidente Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies