Auditoría de seguridad de sistemas de información

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

La Auditoría de seguridad de sistemas de información puden ser clasificadas de la siguiente forma:

• Auditoría de seguridad interna:Se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.

• Auditoría de seguridad perimetral: El perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores

• Test de intrusión: Es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.

• Análisis forense: Es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema

• Auditoría de páginas web: Análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

• Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Elaborado: Ronald Gómez

Tema: Auditoria

Fuente:  Enlace