ADMINISTRACIN DE SERVICIOS DE INTERNET

Apuntes

Auditora de Seguridad Informtica

OBJETIVOS

Aplicar procedimientos de auditora de seguridad informtica en los sistemas

de informacin.
Aplicar la normativa legal vigente que afecta a la informacin utilizada por
una organizacin.

Una empresa que cuente con una plantilla mnima de 50 personas, ha de tener una auditoria
informtica independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de
activos; capaz de detectar ataques internos como externos.

Una auditora de seguridad informtica es una evaluacin de los sistemas informticos cuyo fin es
detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que
describimos:
Equipos instalados, servidores, programas, sistemas operativos
Procedimientos instalados
Anlisis de Seguridad en los equipos y en la red
Anlisis de la eficiencia de los Sistemas y Programas informticos
Gestin de los sistemas instalados
Verificacin del cumplimiento de la Normativa vigente LOPD
Vulnerabilidades que pudieran presentarse en una revisin de las estaciones de trabajo,
redes de comunicaciones, servidores.

Una vez obtenidos los resultados y verificados, se emite otro informe, indicndole el
establecimiento de las medidas preventivas de refuerzo y/o correccin siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditoras de seguridad permiten conocer en el momento de su realizacin cul es la situacin
exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.
Una Auditoria de Seguridad conlleva:
Amenazas y elementos de Seguridad de entrada y salida de datos
Aspectos Gerenciales
Anlisis de Riesgos
Identificacin de amenazas
Seguridad en Internet
Control de Sistemas y Programas instalados
Protocolo de riesgos, seguridad, seguros, programas instalados
Protocolo ante perdidas, fraude y ciberataques
Planes de Contingencia y Recuperacin de Desastres
Seguridad Fsica
Seguridad de Datos y Programas
Plan de Seguridad

ADMINISTRACIN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 1

 ADMINISTRACIN DE SERVICIOS DE INTERNET

Polticas de Seguridad
Medidas de Seguridad (Directivas, Preventivas y Correctivas)
Cadena de Custodia
LOPD

Es necesario en las empresas, dependiendo de la cantidad de empleados y facturacin un Plan de

Auditoria Informtica que oriente sobre la planificacin de un sistema seguro y un plan de
emergencia ante posibles desastres; implementando una metodologa a seguir en caso de que
ocurra alguna vulnerabilidad.
Nadie est a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el
control interno y evitar situaciones no deseadas.
Hay que instalar un sistema apoyado en herramientas de anlisis y verificacin que permitan
determinar las debilidades y posibles fallos y su inmediata reparacin, reposicin o contra-ataque.

Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es
un complemento fundamental para la auditora perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio para el anlisis posterior
de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema,
a la par que se valoran los daos ocasionados.
Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando
vulnerabilidades.
Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web
como de cualquier tipo de aplicacin, independientemente del lenguaje empleado.
Una Auditoria de Seguridad Informtica se realiza en base a un conjunto de directrices de buenas
prcticas que garanticen la seguridad de los sistemas.

Existen estndares base para auditorias informticas como:

COBIT (Objetivos de Control de la Tecnolgica de la Informacin)
ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestin de la
seguridad de la informacin)
ISO 27002 (Cdigo de buenas prcticas)
ISO 27007 (Gua para auditar un SGSI*)
ISACA (Asociacin de Auditora y Control de Sistemas de Informacin)
ITIL (Biblioteca/Gua de Infraestructura de Tecnologas de la Informacin) estndar mundial
de facto en la Gestin de Servicios Informticos. til para las organizaciones en todos los
sectores para consulta, educacin y soporte de herramientas de software, de libre
utilizacin.
*Sistemas de Gestin de la Seguridad de la Informacin

ADMINISTRACIN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 2

ADMINISTRACIN DE SERVICIOS DE INTERNET
Apuntes

A modo de ejemplo el procedimiento a seguir por el Perito Informtico a la hora de implantar un

modelo de Auditoria de Seguridad Informtica sera el siguiente:
Estudio General, evaluando la empresa, el personal, equipos y programas.
Observacin de los sistemas implantados y realizacin de cuestionarios y entrevistas, sobre
todo al personal que tenga acceso a documentacin o datos sensibles.
Elabora grficos estadsticos y flujogramas.
Anlisis de datos (Comparacin de programas, Mapeo y rastreo de programas, Anlisis de
cdigo de programas, Datos de prueba, Datos de prueba integrados, Anlisis de bitcoras,
Simulacin paralela).
Enumera los equipos, redes, protocolos.
Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados.
Identifica y confirma todos los sistemas operticos instalados.
Identifica, ejecuta anlisis, inspecciona, verifica, comprueba y evala las evidencias y fallas
(OJO con el factor humano)
Disea controles y medidas correctivas en las actividades y recursos dentro de la empresa.
Conciencia sobre la normativa y legislacin vigente.
Realiza un completo Anlisis de Riesgos.
Realiza un informe completo sobre la implantacin de la Auditoria de Seguridad,
implantacin de medidas preventivas y protocolo de Seguridad a instalar.
Emite un certificado de Seguridad de Auditoria Informtica.
Visitas cada tres meses para la comprobacin de la aplicacin de las normas.
Es necesario pensar de manera analtica, reflexiva y critica a la hora de integrar equipos y
personas.

Debemos ser creativos en la implantacin de los paquetes de medidas a instalar concienciando al

personal, facilitndole la labor de controles internos y aplicacin de medidas correctivas con un
lenguaje sencillo y aplicaciones bsicas pero efectivas que garanticen la seguridad ante un ataque
externo.
Un sistema implantado de Auditoria Informtica ha de ser vlido y efectivo, sin que dependa
exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas
organizacionales.
Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal
de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control
que se indiquen segn el nmero de empleados y facturacin de la empresa.
El cliente conoce el valor de la seguridad fsica, pero en contadas ocasiones conoce el precio de la
seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o
sanciones por la prdida de informacin sensible o la quiebra del negocio por un ciberataque.
No solo es necesario una Auditoria de Seguridad Informtica, sino realizar un mantenimiento, al
igual que se hace con los equipos informticos, ya que as podemos asegurar la integridad de los
controles de seguridad aplicados. No olvidemos que los avances tecnolgicos avanzan
metericamente al igual que los delitos cibernticos, con lo que es necesario parches,
actualizaciones de software, adquisicin de nuevos productos tanto en software como hardware.
Es necesario desde el primer momento realizar una evaluacin de la empresa con sus variables de
personal, equipos, facturacin, delegaciones para calcular los tiempos y realizar un coste
aproximado de la implantacin de una Auditoria Informtica, identificando los riesgos actuales y la
forma de superarlos.

ADMINISTRACIN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 3

 ADMINISTRACIN DE SERVICIOS DE INTERNET

No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos,
sino con un nmero de personas desconocidas que van a utilizar el resultado de nuestro trabajo
como base para tomar decisiones. Una Auditoria de Seguridad requiere el ejercicio de un juicio
profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los
resultados obtenidos El informe inicial de Auditoria de Seguridad Informtica ha de contener:
Tipo de Auditoria a instalar (mbito, Aplicacin, y Planificacin de la misma)
Riesgos actuales
Seguridad fsica y lgica del Centro Tecnolgico (Central, Servidores)
Auditoria de direccin y personal autorizado a integrar en la Auditoria
Auditoria del desarrollo del negocio (Fsica, Forense y Financiera)
Base de Datos ( LOPD, normativa, irregularidades, correos personales)
Implantacin de medidas de seguridad
Anlisis de Negocio Electrnico y administracin de la WEB
Aplicacin de tcnicas y procedimientos de auditora forense.
Aplicacin de nuevas tecnologas en equipos o programas en la Empresa.
Aplicacin de los sistemas instalados ante incidentes
Curso de gestin de conocimiento al personal sobre:
- Amenazas y problemas en el uso de las tecnolgicas de informacin
- Conceptos de Seguridad
- Control de Confidencialidad
- Correos
- Redes sociales
- Privacidad
- Instalacin de programas
- Medidas de control ante un ataque
- Normas de seguridad a instalar en la empresa
- Normativa de seguridad
- SCII Sistema de Control Informtico Interno
- Riesgos y control de los mismos

Fuente
Asociacin Nacional de Tasadores y Peritos Judiciales Informticos

ADMINISTRACIN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 4