jueves, 10 de enero de 2019

Auditoría de sus sistemas informáticos

El campo de Auditoría de sistemas informáticos realmente ha explotado en los últimos 15 años y esto se debe al aumento en los sistemas que se están utilizando a nivel de pequeñas empresas, manejando tres veces más datos que antes. Si usted es una pequeña empresa con una red, debe tener instalado algún tipo de programa de auditoría de computadora.


Una auditoría de seguridad informática es una evaluación técnica sistemática y mensurable de cómo se emplea la política de seguridad de la organización en un sitio específico. Los auditores de seguridad informática trabajan con el pleno conocimiento de la organización, a veces con considerable información interna, para comprender los recursos que deben auditarse.

Las auditorías de seguridad no se realizan en el vacío; son parte del proceso continuo de definición y mantenimiento de políticas de seguridad efectivas. Esto no es solo una actividad de sala de conferencias. Involucra a todos los que utilizan cualquier recurso informático en toda la organización.

Los auditores de seguridad informática realizan su trabajo a través de entrevistas personales, análisis de vulnerabilidad, análisis de la configuración del sistema operativo, análisis de recursos compartidos de red y datos históricos. Se ocupan principalmente de cómo se utilizan realmente las políticas de seguridad, la base de cualquier estrategia de seguridad organizativa efectiva. Hay una serie de preguntas clave que las auditorías de seguridad deberían intentar responder:

¿Las contraseñas son difíciles de descifrar?
¿Existen listas de control de acceso (ACL) en los dispositivos de red para controlar quién tiene acceso a los datos compartidos?
¿Hay registros de auditoría para registrar quién accede a los datos?
¿Se revisan los registros de auditoría?
¿Las configuraciones de seguridad para los sistemas operativos están de acuerdo con las prácticas de seguridad aceptadas en la industria?
¿Se han eliminado todas las aplicaciones y servicios informáticos innecesarios para cada sistema?
¿Están estos sistemas operativos y aplicaciones comerciales parcheados a los niveles actuales?
¿Cómo se almacenan los medios de respaldo? ¿Quién tiene acceso a ella? ¿Está actualizado?
¿Hay un plan de recuperación de desastres? ¿Los participantes y las partes interesadas han ensayado alguna vez el plan de recuperación de desastres?
¿Existen herramientas criptográficas adecuadas para controlar el cifrado de datos, y se han configurado correctamente estas herramientas?
¿Las aplicaciones personalizadas se han escrito teniendo en cuenta la seguridad?
¿Cómo se han probado estas aplicaciones personalizadas para detectar fallas de seguridad?
¿Cómo se documentan los cambios de configuración y código en cada nivel? ¿Cómo se revisan estos registros y quién realiza la revisión?
Estas son solo algunas de las preguntas que pueden y deben evaluarse en una auditoría de seguridad. Al responder estas preguntas de manera honesta y rigurosa, una organización puede evaluar de manera realista la seguridad de su información vital.


Como pequeña empresa, es posible que su lista de verificación de auditoría no sea tan detallada, pero estas son algunas de las preguntas que desea que haga un auditor externo en caso de que decida que su sistema sea auditado.

No hay comentarios:

Publicar un comentario