proceso de auditoria de seguridad informática

Índice

proceso de auditoria de seguridad informática, el reglamento del Consejo de Ministros sobre el Marco Nacional de Interoperabilidad,  los requisitos mínimos para los registros públicos y el intercambio de información electrónica y los requisitos mínimos para los sistemas de TIC introduce numerosos requisitos, entre ellos, obligar a las unidades de la administración pública pertinentes.

indice del tema

Obligación de realizar auditorias de seguridad 

  • Realización de auditorias internas anuales de seguridad.
  • Capacitación en seguridad informática.

¿Que es la auditoria?

IT AUDIT es una herramienta eficaz para verificar el nivel de seguridad informática de la unidad. Es un proceso complejo que involucra la recopilación de información completa sobre seguridad, recursos de hardware, software instalado, uso de computadoras y conexión a Internet, y cumplimiento de procedimientos internos (por ejemplo, relacionados con el procesamiento de datos personales) en la unidad.

¿Para que es la auditoria?

La auditoria verifica todos los aspectos de la seguridad de TI. El análisis de los resultados de los elementos de auditoria individuales y las relaciones entre ellos brinda una imagen completa del problema, le permite seleccionar las recomendaciones adecuadas y, en consecuencia, aumentar la eficiencia de los procesos que tienen lugar en la unidad.

Gracias a ella podemos dar respuesta a las siguientes preguntas:

  1. ¿Es la entidad vulnerable a  ataques de piratería ?
  2. ¿Tiene una licencia para el software instalado en las computadoras?
  3. ¿Las copias de seguridad de TI recuperan datos en  caso de desastre ?
  4. ¿Se utiliza de forma óptima el equipo informático, por ejemplo, adquirido como parte de proyectos de la UE  ?
  5. ¿Los empleados utilizan el equipo informático que se les ha confiado de  acuerdo con su finalidad prevista ?
  6. ¿Se respetan  los procedimientos de seguridad de la  información en la unidad?

La auditoria se debe realizar cuando:

  • Aún no se ha realizado una auditoria en esta área  .
  • Hay indicios de que es posible que la red informática y las computadoras no  estén configuradas correctamente.
  • Fue  despedido o un especialista en  informática dejó su trabajo.
  • Existe la sospecha de que hay  películas o música en las computadoras de los empleados .
  • No existen procedimientos  para el uso de computadoras y la administración del sistema de TI.
  • La unidad fue  informatizada con fondos de la UE.
  • Los empleados tienen  acceso completo (ilimitado) a las computadoras.

7 Pasos de los elementos de una auditoria de la seguridad TI:

1. Auditoría de seguridad de la interfaz entre la red local e Internet

De nuestra experiencia

  • El 60% de las entidades auditadas no cuenta con mecanismos de protección de red debidamente implementados. La mayoría cuentan con equipamiento profesional, pero su configuración es incorrecta e insuficiente.

Consecuencias

  • Los errores y omisiones en este aspecto causan pérdidas financieras reales: dos oficinas en la región de Lublin perdieron 72.332,00 PLN como resultado de piratas informáticos de EE. UU. Y China.

2. Auditoría de la seguridad de la infraestructura y los servidores

De nuestra experiencia

  • Las contraseñas de acceso para dispositivos / servidores clave son predeterminadas o de diccionario.
  • No existe una política de seguridad de contraseñas administrativas en las entidades auditadas, por lo que, después de que el técnico de TI se retira, las unidades no tienen contraseñas de acceso a los dispositivos / servidores clave.
  • Las unidades tienen servidores costosos pero no se utilizan y la mayoría de las bases de datos se encuentran en computadoras locales.
  • Las costosas soluciones de servidor (adquiridas principalmente con fondos de la UE) no se implementan correctamente.
  • La compra de más soluciones de hardware sin una re configuración significativa de la red no mejora la seguridad, solo aumenta la tasa de fallas.
  • Los puntos de acceso a Internet (puntos calientes) permiten un fácil acceso a los recursos de la unidad.

Consecuencias

  • Falta de control sobre la seguridad de la unidad debido a la falta de contraseñas para acceder a dispositivos clave.
  • Si no se implementan las soluciones de servidor adecuadas, se impide una administración de red adecuada y una copia de seguridad de datos eficaz.
  • Existe la Posibilidad de fácil acceso a la red local desde redes inalámbricas por personas no autorizadas lo cuál es un peligro.
  • Reembolso de la cofinanciación de la UE en caso de no utilizar las soluciones adquiridas en los proyectos.

3. Auditoria de respaldo

De nuestra experiencia

  • El 85% de las entidades auditadas no hacen copias de los datos o no pueden restaurarlos a partir de las copias de seguridad.
  • El disco duro es el componente más común de una computadora: la tasa anual de reemplazo de discos duros varía del 2% al 4% (según la empresa) y, en casos extremos, para algunos modelos, incluso el 13%.

Consecuencias

  • Parálisis funcional de un individuo debido a la pérdida de bases de datos clave
  • El costo de recuperación de bases de datos de discos duros dañados por empresas profesionales comienza en 10 mil. PLN, y a menudo superan los 20 mil. A pesar de los importantes desembolso económicos, la recuperación de datos suele ser imposible. El tiempo de recuperación de datos es de 1 a 2 meses.

4. Análisis de la conformidad del tratamiento de datos personales de acuerdo con la Ley de Protección de Datos Personales

De nuestra experiencia

  • El 70% de las entidades auditadas no cuenta con una política de seguridad de la información actualizada y otros documentos requeridos por la Ley de Protección de Datos Personales.

Consecuencias

  • Violación del art. 36 a 39a de la Ley de Protección de Datos Personales.

5. Análisis del uso de hardware informático

De nuestra experiencia

  • Los empleados utilizan con mucha frecuencia Internet durante el horario laboral para fines privados. Visitan con mayor frecuencia: facebook.com, allegro.pl, youtube.com, otomoto.pl, pudelek.pl, aleseriale.pl.

Consecuencias

  • Una entidad con 30 computadoras pierde un promedio de 135 mil. PLN por el uso de Internet para fines no relacionados con el trabajo.
  • El poseedor del récord pasó 4,5 horas al día en Internet (en promedio por usuario), lo que con 30 computadoras da una cantidad anual de 607,5 mil PLN. PLN.

6. Auditoria del software instalado

De nuestra experiencia

  • El 80% de los usuarios trabaja en equipos con privilegios de administrador, lo que permite instalar cualquier software, incluidos los pirateados.
  • 1 de cada 3 computadoras auditadas tiene materiales multimedia (películas y archivos de música) protegidos por derechos de autor.

Consecuencias

  • Responsabilidad penal por software ilegal - Art. 278 §2 del Código Penal (de 3 meses a 5 años de prisión).
  • Responsabilidad penal por recepción de bienes robados, art. 293 § 1 del CC (de 3 meses a 5 años de prisión, y cuando el valor de la propiedad exceda de 200.000, art. 294 § 1 del CC, de 1 a 10 años de prisión).

7. Realización de investigaciones: encuestas a los usuarios para verificar el conocimiento y la conciencia de la seguridad de la TI.

De nuestra experiencia

  • La pérdida de dicha unidad flash o disco puede provocar la filtración de datos importantes e incluso dañar la imagen de la empresa.
  • Los empleados no son conscientes de la eliminación permanente de datos.
  • El 54% de los empleados no respeta la política de seguridad de la información de la unidad.
  • Más de la mitad de los empleados usan una contraseña para la mayoría de los servicios (computadora, correo electrónico del trabajo, sitios de redes sociales).

Consecuencias

  • Fuga de información por ignorancia o ingenuidad de los empleados (ataques de ingeniería social).

Auditorias de seguridad de TI

Direct IT realiza auditorias detalladas de las redes informáticas y la infraestructura de TI en la sede de la empresa. Además, podemos ofrecer un análisis de los procedimientos de gestión de TI, análisis del cumplimiento de la normativa de protección de datos personales (el llamado RGPD ).

El procedimiento de auditoria de seguridad comienza con la identificación de amenazas potenciales y la preparación de un plan de prueba. La siguiente etapa son las pruebas de seguridad de acuerdo con el plan desarrollado, cuyo efecto es la presentación de recomendaciones y soluciones específicas del sistema. La siguiente etapa es la capacitación y las consultas posteriores a la auditoria, así como la verificación cíclica de los procedimientos previamente desarrollados e implementados. También implementamos los procedimientos antes mencionados y los ajustamos a los estándares y buenas prácticas de TI, así como a la normativa legal aplicable. El alcance de implementación se determina individualmente en función de las necesidades del cliente.

Al realizar una auditoria de seguridad, verificamos las redes informáticas , los dispositivos de red , el uso y la seguridad del correo electrónico. 

Red de computadoras

Verificamos la configuración y seguridad de los enrutadores, también verificamos el software y factores como el acceso de los empleados a los servidores, el acceso a la red informática para personas externas, la carga de la red, el acceso a los recursos de la empresa desde una ubicación determinada y otros. Redactamos información general sobre la red informática y hacemos recomendaciones.

Control detallado del servidor

Al inspeccionar los servidores, verificamos el estado de los discos duros y los mecanismos que protegen los datos contra su falla, si los discos están encriptados y el método de acceso administrativo y acceso a la copia de seguridad del servidor. Realizamos controles de seguridad ante posibles ataques y muchos más.

También verificamos la seguridad del correo electrónico utilizado en la empresa y los mecanismos de seguridad.

Hardware

Controlamos la seguridad informática, las actualizaciones de software, la seguridad informática y muchos más. La seguridad también se verifica en el caso de dispositivos móviles, vídeo vigilancia e impresoras.

Procedimientos adicionales y seguridad en la empresa

En el caso de procedimientos vigentes en la empresa y política de seguridad, verificamos los planes de continuidad del sistema informático, los procedimientos relacionados con el uso del correo electrónico, los equipos de la empresa y los procedimientos de transporte. También se verifica el procedimiento para datos personales y mucho más.

Ventajas de realizar una auditoria de seguridad de TI:

  • el emprendedor obtiene una mayor seguridad empresarial y la continuidad de los sistemas de TI gracias al soporte directo de TI. Además, gana la estabilidad de la infraestructura de TI en su empresa y la verificación de procedimientos previamente implementados,
  • aumento de la conciencia de las amenazas de seguridad de TI en los empleados de la compañía informática de red , dispositivos de red , ordenadores y dispositivos móviles,
  • conocimientos adicionales en el campo de la copia de seguridad de dispositivos, 
  • conocimientos adicionales en el campo de la política de contraseñas, creación de contraseñas seguras,
  • mayor conciencia de las fallas de varios dispositivos y la posibilidad de restaurar el estado de los dispositivos antes de que ocurriera la falla,
  • aumentar la conciencia de los empleados sobre los riesgos de no tener copias legales del software y no actualizar el software,
  • aumentar la conciencia de los empleados sobre los procedimientos y políticas de seguridad,
  • aumentando la seguridad y confiabilidad de toda la infraestructura de TI.

También te puede interesar:

diferencia entre seguridad activa y pasiva informática
HACKING ÉTICO
La ISO de la ciberseguridad y seguridad de la información
cuanto gana un especialista en ciberseguridad
FIREWALL
Auditoria del sistema de gestión de la ciberseguridad
facebookShare on Facebook
TwitterTweet
FollowFollow us
PinterestSave

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir