Auditoría de sistemas de seguridad

Resultado de imagen para seguridadLa información es uno de los activos más importantes de cualquier organización. Potenciar el uso de la tecnología puede aportarnos en tiempos de crisis importantes eficiencias y oportunidades, ayudando a la organización a lograr sus objetivos estratégicos de una forma diferencial. Es conveniente velar porque se gestiona adecuadamente, auditando si se están abordando los proyectos de forma apropiada.

Potenciar el uso de la tecnología puede aportarnos en tiempos de crisis importantes eficiencias y oportunidades, ayudando a la organización a lograr sus objetivos estratégicos de una forma diferencial.

Resultado de imagen para seguridadSin embargo, si no se gestiona correctamente el uso de la tecnología, transforma la oportunidad en una amenaza para la compañía. Desde evaluar si las inversiones tecnológicas aportan lo esperado a la organización, hasta la revisión de las medidas de seguridad implantadas, o un análisis del grado de adecuación a la legislación vigente, son aspectos importantes que toda organización tiene que tener presente.

Dentro de las Organizaciones que se encargan de este tipo de Auditoría se puede tomar como Ejemplo a MAZARS

MAZARS cuenta con expertos informáticos habituados a trabajar en equipos multi-disciplinares y multi-culturales, que le podrán ayudar conocer sus riesgos tecnológicos y de seguridad informática en su organización, aportando un análisis especializado dentro de la función de auditoría interna, control interno y buen gobierno.

Dentro de los servicios que ofrece se encuentran:
    Resultado de imagen para seguridad
  • Auditoría de Buenas Prácticas de Seguridad (ISO 27000). Pre-certificación y herramienta de soporte. 
  • Auditoría bienal LOPD sobre medidas de seguridad en datos de carácter personal. 
  • Auditoría de proyectos informáticos e inversión tecnológica. 
  • Auditoría de calidad de los servicios externalizados. 
  • Due Diligence de los Sistemas de Información. 
  • Plan de Continuidad de Negocio (ISO 22301). 
  • Auditoría de seguridad en servicios web. 
  • Auditoría del modelo PCI DSS en tarjetas de crédito. 
  • Auditoría de software legal. 
  • Formación a medida en Seguridad y Buen Gobierno IT.
Resultado de imagen para seguridadUna vez obtenidos los resultados, se detallaran, archivaran y reportaran a los responsables, quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas, aprendiendo de los errores cometidos con anterioridad.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Metodología PTES (Penetration Testing Execution Standard).

Imagen
PTES PTES (Penetration Testing Execution Standart) consta de siete (7) secciones principales. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración: Herramientas requeridas Son esos programas, aplicaciones o simplemente instrucciones usadas para efectuar otras tareas de modo más sencillo. En un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instrucción que facilita una tarea, pero también podríamos hablar del hardware o accesorios como herramientas. Recolección de información Recopilación de información de inteligencia competitiva publicada en motores de búsqueda que nos dará una idea del objetivo que estamos estudiando y de las personas que trabajan dentro dela empresa.. ...
Leer más

Auditoría tipo Black box, White box y Gray box.

Imagen
Básicamente existen tres tipos de auditorías a realizar para un testing de penetración  cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes: Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc. Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, l...
Leer más

Herramientas (LanGuard, Nessus, OpenVAS, NeXpose, McAfee Vulnerability Manager)

Imagen
LanGuard: Es una galardonada solución de escáner de red y de seguridad, que le permite analizar su red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con el mínimo esfuerzo administrativo, ofreciendo: Administración de actualizaciones. Evaluación de vulnerabilidad. Auditoría de red. Principales características: Administración de actualizaciones para sistemas operativos y aplicaciones Microsoft® y Max OS X. Implementa software a medida y de terceros y actualizaciones en toda la red. Administración de actualizaciones para otras aplicaciones (no Microsoft). Corrección automática de aplicaciones no autorizadas. Conexión a escritorio remoto. Nessus: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos...
Leer más