Soluciones de seguridad para la empresa: auditoría técnica
En la actualidad la seguridad TIC se considera parte integral y necesaria de cualquier empresa u organización, es por ello que muchas empresas están implantando medidas de seguridad con muy diversos objetivos: adecuarse a diversa normativa legal, como la LOPD, implantar un sistema de gestión de la seguridad (SGSI) o proteger los sistemas e infraestructuras de cualquier ataque o amenaza.
Pero independientemente de las razones para mejorar la seguridad, antes de implantar cualquier medida, es fundamental conocer el nivel real de seguridad de la organización, de forma que en base a la información obtenida sea posible diseñar y seleccionar las medidas de seguridad adecuadas, que luego serán implantadas allí donde más se necesitan, o en base a los criterios que se tomen como guía para cada organización y escenario particular.
Para conocer el nivel de seguridad real, uno de los pasos fundamentales, es la realización de una auditoría técnica. Una auditoría técnica es un conjunto de procedimientos y herramientas que un consultor o experto en seguridad combina y aplica allí donde sea necesario para obtener información que le permita conocer el estado o nivel de seguridad de un servicio, sistema o infraestructura.
Las auditorías técnicas hacen referencia a toda la estructura TIC de la organización, y debido a la gran variedad de infraestructuras existentes, la realización de este tipo de auditorías es compleja y requiere de personal muy especializado, aunque en la actualidad el mercado de soluciones de seguridad ofrece multitud de ellas para facilitar la realización de auditorías técnicas.
Existen muchos tipos de auditorías técnicas, tal vez tantos como sistemas e infraestructuras a analizar. A continuación describimos algunos de los tipos de auditorías técnicas:
•Test de Penetración. Es un tipo de auditoría técnica que consiste en un conjunto de pruebas a las que se somete una aplicación, servicio o sistema, con el objetivo de encontrar huecos o fallos a través de los cuales sea posible conseguir acceso no autorizado evitando así los distintos mecanismos de seguridad.
•Auditoría de red. Cuando se quiere conocer el estado de la seguridad de la red corporativa se pueden realizar auditorías especializadas en el análisis tanto de la red de comunicaciones, como de los distintos dispositivos conectados a ella. Estas auditorías permiten analizar toda la red en busca de puertos abiertos, recursos compartidos, servicios o electrónica de red, como los routers o los switches, entre otros. Además, en estas auditorías se emplean herramientas que permiten realizar la catalogación de las infraestructuras conectadas a la red o incluso detectar versiones de dispositivos inseguros, versiones de software o la necesidad de instalar actualizaciones o parches.
•Auditoría de seguridad perimetral. Se trata de un proceso destinado a determinar el nivel de seguridad de las barreras que protegen la red de comunicaciones de una organización de peligros que provienen del exterior y del interior. Podríamos englobarla dentro de la auditoría de red, puesto que está relacionada, aunque está más especializada en detectar fallos de seguridad desde el punto de vista de exterior.
•Auditoría de software. La auditoría de software es un tipo de inspección que ha cobrando gran importancia. Este tipo de auditoría está destinada al análisis de software, detectando fallos de seguridad o vulnerabilidades en todo tipo de aplicaciones o código en general. En la actualidad, las empresas realizan de forma sistemática este tipo de análisis, aunque en muchas ocasiones los fallos son detectados por terceros.
En la actualidad, gracias a las soluciones que podemos encontrar en el mercado de seguridad TIC, la realización de las auditorías técnicas que se han indicado o de otras, se ha simplificado de forma significativa, pero por lo general sigue siendo necesario que las realice personal especializado, por lo que las empresas y organizaciones recurren habitualmente a empresas que ofrecen este tipo de servicios.
Desde INTECO-CERT recomendamos la realización de al menos una auditoría técnica de seguridad al año, de carácter general, con el objetivo de conocer el nivel de seguridad de la organización, detectar fallos de seguridad graves, incumplimientos de las políticas de seguridad o fallos de seguridad que supongan el incumplimiento de normativa de legal, como la LOPD.
Por último, recordar que conocer el nivel real de seguridad de la organización, es el primer paso para decidir dónde y cómo aplicar las medidas de seguridad más adecuadas.
Fuente: http://cert.inteco.es/cert/Notas_Actualidad/soluciones_seguridad_empresa_auditoria_tecnica_20120410?origen=boletin
Pero independientemente de las razones para mejorar la seguridad, antes de implantar cualquier medida, es fundamental conocer el nivel real de seguridad de la organización, de forma que en base a la información obtenida sea posible diseñar y seleccionar las medidas de seguridad adecuadas, que luego serán implantadas allí donde más se necesitan, o en base a los criterios que se tomen como guía para cada organización y escenario particular.
Para conocer el nivel de seguridad real, uno de los pasos fundamentales, es la realización de una auditoría técnica. Una auditoría técnica es un conjunto de procedimientos y herramientas que un consultor o experto en seguridad combina y aplica allí donde sea necesario para obtener información que le permita conocer el estado o nivel de seguridad de un servicio, sistema o infraestructura.
Las auditorías técnicas hacen referencia a toda la estructura TIC de la organización, y debido a la gran variedad de infraestructuras existentes, la realización de este tipo de auditorías es compleja y requiere de personal muy especializado, aunque en la actualidad el mercado de soluciones de seguridad ofrece multitud de ellas para facilitar la realización de auditorías técnicas.
Existen muchos tipos de auditorías técnicas, tal vez tantos como sistemas e infraestructuras a analizar. A continuación describimos algunos de los tipos de auditorías técnicas:
•Test de Penetración. Es un tipo de auditoría técnica que consiste en un conjunto de pruebas a las que se somete una aplicación, servicio o sistema, con el objetivo de encontrar huecos o fallos a través de los cuales sea posible conseguir acceso no autorizado evitando así los distintos mecanismos de seguridad.
•Auditoría de red. Cuando se quiere conocer el estado de la seguridad de la red corporativa se pueden realizar auditorías especializadas en el análisis tanto de la red de comunicaciones, como de los distintos dispositivos conectados a ella. Estas auditorías permiten analizar toda la red en busca de puertos abiertos, recursos compartidos, servicios o electrónica de red, como los routers o los switches, entre otros. Además, en estas auditorías se emplean herramientas que permiten realizar la catalogación de las infraestructuras conectadas a la red o incluso detectar versiones de dispositivos inseguros, versiones de software o la necesidad de instalar actualizaciones o parches.
•Auditoría de seguridad perimetral. Se trata de un proceso destinado a determinar el nivel de seguridad de las barreras que protegen la red de comunicaciones de una organización de peligros que provienen del exterior y del interior. Podríamos englobarla dentro de la auditoría de red, puesto que está relacionada, aunque está más especializada en detectar fallos de seguridad desde el punto de vista de exterior.
•Auditoría de software. La auditoría de software es un tipo de inspección que ha cobrando gran importancia. Este tipo de auditoría está destinada al análisis de software, detectando fallos de seguridad o vulnerabilidades en todo tipo de aplicaciones o código en general. En la actualidad, las empresas realizan de forma sistemática este tipo de análisis, aunque en muchas ocasiones los fallos son detectados por terceros.
En la actualidad, gracias a las soluciones que podemos encontrar en el mercado de seguridad TIC, la realización de las auditorías técnicas que se han indicado o de otras, se ha simplificado de forma significativa, pero por lo general sigue siendo necesario que las realice personal especializado, por lo que las empresas y organizaciones recurren habitualmente a empresas que ofrecen este tipo de servicios.
Desde INTECO-CERT recomendamos la realización de al menos una auditoría técnica de seguridad al año, de carácter general, con el objetivo de conocer el nivel de seguridad de la organización, detectar fallos de seguridad graves, incumplimientos de las políticas de seguridad o fallos de seguridad que supongan el incumplimiento de normativa de legal, como la LOPD.
Por último, recordar que conocer el nivel real de seguridad de la organización, es el primer paso para decidir dónde y cómo aplicar las medidas de seguridad más adecuadas.
Fuente: http://cert.inteco.es/cert/Notas_Actualidad/soluciones_seguridad_empresa_auditoria_tecnica_20120410?origen=boletin
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios