La auditoría de seguridad permite determinar la situación actual de la seguridad en los sistemas de información y en las comunicaciones para, de esto modo, poder decidir qué se debe mejorar y actuar en consecuencia. Este proceso se fundamenta en las pautas establecidas en OSSTMM, con las necesarias adaptaciones en las diferentes actuaciones de la auditoría; así mismo se posibilita la verificación en el cumplimiento de las recomendaciones recogidas en la norma ISO-17799.
En función de las necesidades definidas, la auditoría puede incluir varias de las actuaciones que se detallan a continuación.
INVENTARIO
Realizar un inventario de los diferentes sistemas informáticos (hardware y software) que forman parte de la infraestructura tecnológica, así como de la carga de trabajo que soporta esa infraestructura.
SEGURIDAD PERIMETRAL
Auditar la configuración de cortafuegos, sistemas de detección de intrusiones, proxys de aplicaciones, filtrado de contenidos, sistemas contra el correo basura, etc.
Permite por tanto determinar la fortaleza frente a intentos de acceso no autorizados, tanto desde el exterior como desde el interior, y la posibilidad de detectarlos si se llegan a producir; analizando también los sistemas de respuesta implementados.
PRUEBAS DE PENETRACIÓN INTERNA Y/O EXTERNA
Determinar si es posible el acceso a sistemas sensibles y el grado de acceso desde el exterior y/o desde el interior de la red corporativa.
ANÁLISIS DE VULNERABILIDADES INTERNA Y/O EXTERNA
Determinar si los sistemas adolecen de errores conocidos, bien debidos al propio software o bien a una incorrecta configuración, explotables desde el exterior y/o interior de la red corporativa, así como la existencia de puertas traseras conocidas y normalmente instaladas por código maligno (virus, troyanos, etc.).
ACTUALIZACIÓN Y PARCHEADO DE SISTEMAS.
Comprobar el grado de actualización de los diferentes elementos de la infraestructura informática corporativa.
CORRECTA IMPLANTACIÓN DE SISTEMAS CONTRA EL CÓDIGO MALIGNO
Revisar la correcta instalación, configuración y actualización de antivirus, sistemas contra código espía, etc.
VERIFICACIÓN DE INTEGRIDAD
Comprobar la implantación de soluciones que permitan verificar la integridad de los sistemas para que, de este modo, sea más fácil y rápido determinar si un sistema ha sido comprometido y en qué grado.
SEGURIDAD DE APLICACIONES
Determinar si la solución adoptada para realizar una determinada tarea es la adecuada en términos de seguridad informática y, en todo caso, su correcta implementación; esto incluye las aplicaciones Web.
CIFRADO DE DATOS Y COMUNICACIONES
Determinar la existencia de cifrado en las comunicaciones externas y/o internas y su correcto uso, desde VPN hasta cifrado del correo electrónico, pasando por el cifrado de las transmisiones dentro de la red local y en el almacenamiento de datos.
RESPALDO DE DATOS Y PLAN DE CONTINGENCIA
Comprobar la correcta implantación de un sistema de respaldo de la información, que permita su recuperación en caso de daños en los sistemas, y la existencia de un Plan de Contingencia que permita hacer frente, de manera ordenada, a esos daños.
PLAN DIRECTOR DE SEGURIDAD
Determinar la existencia de un plan que recoja los diferentes puntos detallados con anterioridad, así como su adecuada definición y actualización. Este plan debe definir todos los procesos y procedimientos que inciden en la seguridad de la información, incluyendo la seguridad física (acceso físico a los sistemas, respuesta ante incendios, etc.).
De interés
Acceso no autorizado en segundos a Windows XP por puerto FirewireMarzo 2008
Un consultor neozelandes comunicó la vulnerabilidad a Microsoft hace más de 2 años, en vistas de que la compañía no la ha solucionado ha decidido publicar en su web una herramienta para automatizar el proceso, con el objetivo de forzar a Microsoft a corregir la vulnerabilidad. Obtenida de theregister.es
Fuga de datos en la Marina Japonesa debida al software P2PAgosto 2007
Según ComputerWorld información relativa al sistema de misiles Aegis, el interceptor Missile-3 y el satélite de reconocimiento Link16 aparecieron en un ordenador no autorizado debido al intercambio de ficheros pornográficos; según la misma fuente en las instituciones gubernamentales y militares japonesas se ejecuta mucho software P2P lo que facilita la proliferación de virus y la fuga de información.
Graves vulnerabilidades en controles ActiveX de Yahoo MessengerJunio 2007
McAfee advierte de vulnerabilidades en la funcionalidad de webcam de este cliente de mensajería instantánea que permitiría el control del equipo comprometido; estas vulnerabilidades junto a la capacidad de estos programas para compartir archivos, carpetas o, incluso, una unidad de disco en su totalidad suponen una grave amenaza a la seguridad de los sistemas.
Ataques a bancos costaron 9 millones de euros en eneroFebrero 2007
En enero se detectaron más de 100 ataques a las entidades financieras españolas, según la asociación de internautas, siendo Banesto, Santander y La Caixa las más afectadas. También se constata la diversificación en los ataques a la Agencia Tributaria y el Instituto Nacional de Estadística. Obtenido de elpais.com.
España quinto productor mundial de spamNoviembre 2006
Según datos de la Comisión Europea casi el 6% del spam se produce en España, siendo EE.UU. el mayor productor de correo basura con un 21,6%. Esta lacra supone entre el 50% y el 80% de los mensajes recibidos por los usuarios finales. Obtenido de elperiodico.com.
Las mayores pérdidas son por accesos no autorizados a través de cuentas privilegiadasSeptiembre 2006
Según estudio de Trusted Strategies sobre el informe de la sección de ciber-crimen y propiedad intelectual del Departamento de Justicia de EE.UU. las pérdidas empresariales debidas a este tipo de ataques superan a las que ocasiona el malware. Información de net-security.org.
Para comentarios y cuestiones sobre el sitio web contacten por correo electrónico con el Webmaster
© 2005-2008 Tecnologías de Vigilancia y Detección, S.L. Todos los derechos reservados