sábado, 28 de mayo de 2016

Normas ISO aplicadas a Auditoria de Sistemas

Resultado de imagen para normas iso aplicadas a auditoria de sistemas



Las ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.


En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.

La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento.
1. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
2. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
3. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.


ISO APLICADAS A AUDITORIA DE SISTEMAS:
  • ISO 27001:
  • ISO 27000:
  • ISO 27002:
  • ISO 27003- Guía para la implementación de un Sistema de Gestión de Seguridad de la Información
  • ISO 27004-Medicion de la seguridad de la información
  • ISO 27005-Gestion de riesgos de la seguridad de la información
  • ISO 27006-Guia para la certificación del SGSI
  • ISO 27007-Guia para auditar
  • ISO 27031-Continuidad del negocio
  • ISO 27033-Seguridad en la red
  • ISO 27034-seguridad de aplicaciones
  • ISO 27799-para la industria sanitaria
  • ISO/IEC 20000-Gestion de servicios de TI
  • ISO 15408



ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN


Ventajas de implantar un SGSI:
  •   Analizar posibles riesgos
  •   Establecer medidas de seguridad
  •   Controles para evaluar medidas
  •   Anticipar problemas
  •   Manejar contingencias


CERTIFICACIÓN

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo emite el correspondiente certificado. 



 BENEFICIOS


El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:

  • Demuestra la garantía independiente de los controles internos y cumple los requisitos  de gestión corporativa y de continuidad de la actividad comercial.
  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
  • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Publicado por en 3 comentarios:

Seguridad Informatica




SEGURIDAD INFORMÁTICA:

Resultado de imagen para seguridad informatica

También conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.


Factores de Riesgo:

Resultado de imagen para factores de riesgo auditoria de sistemas

Ambientales/Físicos: factores externos , lluvias, inundaciones , terremotos, tormentas, rayos, humedad, calor entre otros.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Protección contra virus:

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.

Control del software instalado:

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la re instalación en caso de desastre. El software con métodos de instalación rápidos facilita también la re instalación en caso de contingencia.

Control de la red:

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.

Protección física de acceso a las redes

Independientemente de las medidas que se adopten para proteger los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.
A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

Redes cableadas:

Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida básica es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por asignación reservada, etc.

Redes inalámbricas:

En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de contención de la emisión electromagnética para circunscribirla a aquellos lugares que consideremos apropiados y seguros. Además se consideran medidas de calidad el uso del cifrado ( WPA, WPA v.2, uso de certificados digitales, etc.), contraseñas compartidas y, también en este caso, los filtros de direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente al uso de un único método.
Resultado de imagen para seguridad informatica
Publicado por en No hay comentarios:

Principios de Seguridad Informatica

Principios de Seguridad Informática

Resultado de imagen para principios de seguridad informatica


Para lograr sus objetivos de seguridad informática se fundamenta en tres principios que debe cumplir todo sistema informático.

confidencialidad: se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios , computadores y datos residen en localidades diferentes , pero están física y lógicamente interconectados.
integridad: se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios , computadores y procesos comparten la misma información.
disponibilidad: se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.
Resultado de imagen para principios de seguridad informatica
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.


Publicado por en 1 comentario:

Metodología de Auditoria de Sistemas

METODOLOGÍAS 

Resultado de imagen para metodologia de auditoria de sistemas

Existen algunas metodologías de Auditorias de Sistemas y todas depende de lo que se
pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas
de un proceso de revisión:
  1. Estudio preliminar.
   
  2.Revisión y evaluación de controles y seguridades.
  3. Examen detallado de áreas criticas 
  4. Comunicación de resultados


Estudio preliminar.- Incluye definir el grupo de trabajo, el Programa de Auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas criticas.- Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción  simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoria.



Resultado de imagen para metodologia de auditoria de sistemas

 

El informe debe contener lo siguiente:

Motivos de la Auditoría.
Objetivos.
Alcance.
Estructura Orgánico-Funcional del área Informática.
Configuración del Hardware y Software instalado.
Control Interno.
Resultados de la Auditoría.




Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)