Una auditoría de seguridad informática o auditoría de seguridad de
sistemas de información (SI) es el estudio que comprende el análisis y
gestión de sistemas para identificar y posteriormente corregir las
diversas vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de las estaciones de trabajo, redes de comunicaciones o
servidores.
Una vez obtenidos los resultados, se detallan,
archivan y reportan a los responsables quienes deberán establecer
medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial
que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las
auditorías de seguridad de SI permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en
cuanto a protección, control y medidas de seguridad.
Tipos de auditoría
Los servicios de auditoría pueden ser de distinta índole:
Auditoría de seguridad interna.
En este tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter interno.
Auditoría de seguridad perimetral.
En este tipo de análisis, el perímetro de la red local o corporativa es
estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores.
Test de intrusión. El test de
intrusión es un método de auditoría mediante el cual se intenta acceder a
los sistemas, para comprobar el nivel de resistencia a la intrusión no
deseada. Es un complemento fundamental para la auditoría perimetral.
Análisis forense.
El análisis forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se trata de
reconstruir cómo se ha penetrado en el sistema, a la par que se valoran
los daños ocasionados. Si los daños han provocado la inoperabilidad del
sistema, el análisis es denominado análisis postmortem.
Auditoría de páginas web.
Entendida como el análisis externo de la web, comprobando
vulnerabilidades como la inyección de código sql, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS),
etc.
Auditoría de código de aplicaciones.
Análisis del código tanto de aplicaciones páginas Web como de cualquier
tipo de aplicación, independientemente del lenguaje empleado.
Nos vemos en el siguiente post
No hay comentarios:
Publicar un comentario