//
you're reading...
Seguridad de la información

Soluciones de seguridad para la empresa: auditoría técnica


Conocer el nivel de seguridad de la organización, es el primer paso antes de diseñar e implantar cualquier medida de seguridad.

En la actualidad la seguridad TIC se considera parte integral y necesaria de cualquier empresa u organización, es por ello que muchas empresas están implantando medidas de seguridad con muy diversos objetivos: adecuarse a diversa normativa legal, como la LOPD, implantar un sistema de gestión de la seguridad (SGSI) o proteger los sistemas e infraestructuras de cualquier ataque o amenaza.

Pero independientemente de las razones para mejorar la seguridad, antes de implantar cualquier medida, es fundamental conocer el nivel real de seguridad de la organización, de forma que en base a la información obtenida sea posible diseñar y seleccionar las medidas de seguridad adecuadas, que luego serán implantadas allí donde más se necesitan, o en base a los criterios que se tomen como guía para cada organización y escenario particular.

Para conocer el nivel de seguridad real, uno de los pasos fundamentales, es la realización de una auditoría técnica. Una auditoría técnica es un conjunto de procedimientos y herramientas que un consultor o experto en seguridad combina y aplica allí donde sea necesario para obtener información que le permita conocer el estado o nivel de seguridad de un servicio, sistema o infraestructura.

Las auditorías técnicas hacen referencia a toda la estructura TIC de la organización, y debido a la gran variedad de infraestructuras existentes, la realización de este tipo de auditorías es compleja y requiere de personal muy especializado, aunque en la actualidad el mercado de soluciones de seguridad ofrece multitud de ellas para facilitar la realización de auditorías técnicas.

Existen muchos tipos de auditorías técnicas, tal vez tantos como sistemas e infraestructuras a analizar. A continuación describimos algunos de los tipos de auditorías técnicas:

  • Test de Penetración. Es un tipo de auditoría técnica que consiste en un conjunto de pruebas a las que se somete una aplicación, servicio o sistema, con el objetivo de encontrar huecos o fallos a través de los cuales sea posible conseguir acceso no autorizado evitando así los distintos mecanismos de seguridad.
  • Auditoría de red. Cuando se quiere conocer el estado de la seguridad de la red corporativa se pueden realizar auditorías especializadas en el análisis tanto de la red de comunicaciones, como de los distintos dispositivos conectados a ella. Estas auditorías permiten analizar toda la red en busca de puertos abiertos, recursos compartidos, servicios o electrónica de red, como los routers o los switches, entre otros. Además, en estas auditorías se emplean herramientas que permiten realizar la catalogación de las infraestructuras conectadas a la red o incluso detectar versiones de dispositivos inseguros, versiones de software o la necesidad de instalar actualizaciones o parches.
  • Auditoría de seguridad perimetral. Se trata de un proceso destinado a determinar el nivel de seguridad de las barreras que protegen la red de comunicaciones de una organización de peligros que provienen del exterior y del interior. Podríamos englobarla dentro de la auditoría de red, puesto que está relacionada, aunque está más especializada en detectar fallos de seguridad desde el punto de vista de exterior.
  • Auditoría de software. La auditoría de software es un tipo de inspección que ha cobrando gran importancia. Este tipo de auditoría está destinada al análisis de software, detectando fallos de seguridad o vulnerabilidades en todo tipo de aplicaciones o código en general. En la actualidad, las empresas realizan de forma sistemática este tipo de análisis, aunque en muchas ocasiones los fallos son detectados por terceros.

En la actualidad, gracias a las soluciones que podemos encontrar en el mercado de seguridad TIC, la realización de las auditorías técnicas que se han indicado o de otras, se ha simplificado de forma significativa, pero por lo general sigue siendo necesario que las realice personal especializado, por lo que las empresas y organizaciones recurren habitualmente a empresas que ofrecen este tipo de servicios.

Desde INTECO-CERT recomendamos la realización de al menos una auditoría técnica de seguridad al año, de carácter general, con el objetivo de conocer el nivel de seguridad de la organización, detectar fallos de seguridad graves, incumplimientos de las políticas de seguridad o fallos de seguridad que supongan el incumplimiento de normativa de legal, como la LOPD.

Por último, recordar que conocer el nivel real de seguridad de la organización, es el primer paso para decidir dónde y cómo aplicar las medidas de seguridad más adecuadas.

Fuente: Inteco

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Estadística del blog

  • 158.197 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: