SCD Servicios Informáticos - Soporte Técnico Informático

más de 20 años de experiencia en servicios informáticos - garantizamos la continuidad de su negocio

Conozca y aproveche sus recursos tecnológicos

Auditoría informática

Auditoría informáticaAsí como la Auditoría Contable controla los sistemas y registraciones de su contabilidad, la Auditoría Informática es la encargada de verificar que sus sistemas y procesos informáticos funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos.

Auditoría informática

El desarrollo de los procesos bajo eficientes medidas de control y productividad son hoy dos de los principales objetivos que persigue una empresa moderna.

Así como la Auditoría Contable controla los sistemas y registraciones de su contabilidad, la Auditoría Informática es la encargada de verificar que sus sistemas y procesos informáticos funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos.

Muchas empresas no conocen los recursos tecnológicos que poseen o no los utilizan adecuadamente, lo que les representa ineficiencia en sus procesos.

Nuestros servicios incluyen, entre otros,

  • revisión y evaluación de los sistemas, procedimientos y controles informáticos;
  • revisión del equipamiento, utilización, eficiencia y seguridad
  • relevamiento del personal interviniente en todos los procesos informáticos, a efectos de recomendar las mejoras necesarias para una utilización más eficiente y segura de los sistemas informáticos.

Esto le permitirá confiar en la información que los mismos le brindan y tomar mejores decisiones para sus negocios.

Las áreas sujetas a Auditoría Informática son, entre otras:

  • Hardware
  • Redes y Comunicaciones
  • Infraestructura eléctrica
  • Soporte y Mantenimiento
  • Seguridad Lógica y Física
  • Software
  • Desarrollo de sistemas
  • Procesamiento de datos
  • Normas, Procedimientos y Documentación
  • Recursos humanos intervinientes en los procesos informáticos y sus responsabilidades.
  • Costos

Todos los procedimientos se hacen de acuerdo a las normas internacionales vigentes en la materia y con personal certificado por reconocidas Asociaciones Internacionales

SCD Servicios Informáticos es miembro de las siguientes Asociaciones Internacionales que agrupan a las más prestigiosas empresas de Auditoria Informática:

SEI Carnegie Mellon Software Engineering Institute
ADACSI Asociación de Auditoria y Control de Sistemas de Información
ISACA Information Systems Audit and Control Association

¿Por qué es necesaria la Auditoría de Seguridad de la información?

La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial.

Las organizaciones, sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados. La dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes públicas y privadas y el uso compartido de los recursos de información incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado.

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige, como mínimo, la participación de todos los empleados de la organización. También puede requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramiento experto de organizaciones externas. Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño.

Las empresas acuden a las auditorias externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante

Síntomas insatisfacción de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los archivos que deben ponerse diariamente a su disposición, etc.
No se reparan los problemas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

Incremento desmesurado de costos
Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones)
Desviaciones Presupuestarias significativas
Costos y plazos de nuevos proyectos (deben auditarse simultáneamente con el Desarrollo de Proyectos y con el órgano que realizó la petición)

Síntomas de Inseguridad: Evaluación de nivel de riesgos

Seguridad Lógica
Seguridad Física
Confidencialidad

Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales

Continuidad del Servicio. Es un concepto a ún más importante que la Seguridad Informática y no es tenido en cuenta en la mayoría de las empresas. Establece las estrategias de continuidad de los procesos empresariales al producirse fallos informáticos mediante Planes de Contingencia Totales y Locales Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. En la mayoría de estos casos no es posible realizar acciones preventivas, sino sólo reparadoras, dado que el daño ya se ha producido y no se habían tomado las precauciones necesarias con la debida antelación.

Por ello insistimos en la necesidad de una correcta Auditoria Informática que permita detectar con anticipación todas las vulnerabilidades de la empresa, para así poder implementar un correcto Plan de Gestión de Riesgos Informáticos, con una inversión mínima frente a las cuantiosas pérdidas que cualquier fallo informático puede causar en la empresa.

¿Qué comprende la Auditoría de Seguridad de la información?

El término de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoria es mucho más amplio. Es un análisis crítico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc. Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de IT agrupados de forma tal de obtener un modelo de referencia a implementar.

El marco o Modelo de Referencia adoptado por nuestra firma para realizar los distintos tipos de auditorias están basados en los modelos y normas internacionales universalmente reconocidos: COBIT, ITIL, ISO, NFPA, IEEE, TIA.

Como el campo de acción de la Auditoria informática es muy amplio, efectuamos distintos tipos de auditorias con el fin de cubrirlo en su totalidad puntualizando y profundizando cada área, departamento, organización o proceso bajo estudio, adoptando el modelo de referencia o las normas que correspondan a cada caso en estudio.

Auditoría de Seguridad Informática ISO 17799

1.1 - Auditoria de Seguridad Global
1.2 - Auditoria de Seguridad del Centro de Computos
1.3 - Auditoria de Seguridad de los Sistemas Operativos
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática
1.5 - Test de Penetración e Intrusión (Ethical Hacking)

Auditoria de Aplicaciones
Auditoria de Desarrollo de Software
Auditoria Forense
Auditoria de Control Interno y Monitoreo
Auditoria de Adquisición e Implementación
Auditoria de Comunicaciones
1- Auditoria de Seguridad Informática ISO 17799

La Norma ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información publicado por la International Organization for Standardization y por la Comisión Electrotécnica Internacional, con el título de Information technology - Security techniques - Code of practice for information security management.

Cuando hablamos de seguridad la mayoría de las personas automáticamente asocian este termino frente a ataques externos a la empresa. Se limitan a investigar la seguridad en la periferia de la empresa, que tan vulnerable es la misma frente a ataques externos, ya sea por virus, hacking, phishing, etc.

El termino de Seguridad Informática es mas amplio y abarcativo, y así lo entienden las organizaciones internacionales de las cuales somos miembros, la seguridad interna es tanto o mas importante que la externa. No nos limitamos a asegurar el exterior sino que analizamos y auditamos la seguridad interna y externa.

Se estima que el 70% de los ataques que sufren las empresas provienen desde el interior de la misma.

La Seguridad de la Información basada en la norma ISO 17799, la podemos definir como la preservación de las siguientes características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

 

La seguridad informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de los activos digitales, uso del software, protección de los datos, procesos, así como a los procedimientos, normas de orden y autorización de acceso de los usuarios a la información, etc.

Se elaboran "matrices de riesgo", en donde se consideran los factores críticos de éxito, las "Amenazas" a las que está sometida y los "Impactos" que aquellas puedan causar cuando se presentan.

La auditoria de Seguridad Informática podemos dividirla en:

1.1 - Auditoria de Seguridad Global, basados en las normas ISO 17799 – BS7799 – ISO 27001
1.2 - Auditoria de Seguridad del Centro de Cómputos (Data Centers)basados en las normas NFPA75, TIA 942.
1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red. (Vulnerability Assesment.)
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática.
1.5 - Test de Penetración e Intrusión. (Ethical Hacking).

1.1 - Auditoria Informática de Seguridad Global, basados en las normas ISO 17799 – BS7799 – ISO 27001

La decisión de realizar una Auditoria Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.
Es esencial para una organización identificar sus requerimientos en materia de seguridad. Existen tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

Con origen en la norma británica BS7799, la ISO 17799 es la especificación técnica de nivel internacional en materia de Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.

Cuando se ejecuta esta auditoria los trabajos se basan en los dominios y objetivos que dictamina dicha norma.

1.2 - Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las normas NFPA75, TIA 942.

La auditoria de Seguridad de Centro de Cómputos (Data Centers) está basada en las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la red, topología del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc.

TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su construcción.

El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construcción con computadoras necesitando protección contra incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La aplicación esta basada en consideraciones de riesgo tal como los aspectos de interrupción de negocio de la función o amenazas de fuego a la instalación.

1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.(Vulnerability Assesment.)

Se analizarán y cuantificarán las vulnerabilidades encontradas en los sistemas operativos y componentes de red. Se estudiarán las políticas de seguridad implementadas, los responsables designados para el mantenimiento de los mismos. Se evaluará si los sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Se revisarán los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el desarrollador.

1.4 - Auditoria del Impacto de los Riesgos de la Seguridad Informática.

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. La evaluación de riesgos es una consideración sistemática de los siguientes puntos:

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos concernientes de la seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos.

Puede resultar necesario que el proceso de evaluación de riesgos y selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;
b) considerar nuevas amenazas y vulnerabilidades;
c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto de abordar riesgos específicos.

1.5- Test de Penetración e Intrusión. (Ethical Hacking).

El Test de Penetración es un método de auditoria mediante el cual se evalúa la seguridad de los sistemas de protección perimetral de una empresa así como los diferentes sistemas que están accesibles desde Internet (routers exteriores, firewall, servidores web, de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas de la red de una empresa como puede ser la red interna o la DMZ.
Las metodologías en las que basamos nuestros trabajos son OpenSource OSSTMM e ISSAF.
Los aspectos relevados son:

Estudio de la Red: Análisis de la red del cliente con el objetivo de obtener un mapa detallado de la misma.
Escaneo de puertos e identificación de servicios: Análisis de las posibles vías de entrada a las máquinas contratadas identificando las características y servicios de las mismas. Se realiza un escaneo automático y manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente.
Test automático de vulnerabilidades: Utilizando tanto herramientas propias como externas se determinan los deficiencias de seguridad que existen en los sistemas analizados.
Password cracking: Se intentan obtener cuentas de usuarios (login y password) del sistema analizado a través de herramientas automáticas utilizadas por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta, diccionarios de passwords, etc.
Documentación Alcanzada: Recopilación de la mayor cantidad de información susceptible de ser utilizada para quebrar cualquiera de las protecciones de las que pudiera disponer la empresa. Utilizando toda la información que se encuentre accesible desde Internet: web corporativa y de los empleados, grupos de noticias, bases de datos de búsqueda de trabajo, etc.
Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en los sistemas analizando las relaciones de confianza o dependencias que existen entre ellos.
Test de las medidas de contención: Comprueba la existencia de herramientas de contención y el nivel de defensa que ofrecen frente a la llegada de código malicioso (troyanos, ActiveX o applets dañinos, etc.).
Test del sistema de detección de intrusos (IDS): Análisis de los IDS con la finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis de los logs del IDS.

2- Auditoria de Aplicaciones

La Auditoria de Aplicaciones se basa en la observación y el análisis de cuatro grandes áreas:

Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
Control Interno de las Aplicaciones: se revisan las fases que presuntamente han debido seguir en el área correspondiente de Desarrollo:

Estudio de Viabilidad de la Aplicación.
Definición Lógica de la Aplicación. Se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto.
Desarrollo Técnico de la Aplicación. Se verificará que éste sea ordenado y correcto. Cuales fueron las herramientas y técnicas utilizadas en desarrollo de la aplicación.
Diseño del Sistema
Métodos de Pruebas (Testing). Se evaluara si existe un documento de testing y como fueron ejecutadas de acuerdo a las Normas adoptas.
Documentación.
Equipo de Programación.

Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó.
Control de Procesos y Ejecuciones de Programas Críticos: Separación de ambientes. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran pueden provocar, altos costos de mantenimiento, fraudes, acciones de sabotaje, espionaje industrial-informativo, etc. Se analizara si existe separación de ambientes, personal responsables de los mismos, etc.
3- Auditoria de Desarrollo de Software

Sintéticamente el desarrollo de software comprende las siguientes áreas:

Análisis y Gestión de Requerimientos
Documentación
Análisis y Diseño
Implementación
Validación y Verificación (Testing)
Control de la Configuración
Proceso de Desarrollo de Software en general
Estas áreas deben estar sometidas a un exigente control interno, porque en caso contrario, además del aumento de los costos, se puede producir la insatisfacción del usuario.

4- Auditoria Forense

La auditoria forense es una metodología de estudio apta para el análisis a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados y se determinan los controles a implementar.

5- Auditoria de Control Interno y Monitoreo

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio también advierte a la Administración sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditorías internas y externas u obtenidas de fuentes alternativas.

6- Auditoria de Adquisición e Implementación

Las soluciones de IT deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida sea continuo para esos sistemas. Esta auditoria hace hincapié en el análisis del desarrollo de las etapas mencionadas anteriormente, al grado de cumplimiento y a la segregación de funciones que debe existir en la empresa para el aseguramiento del éxito en la misma.

7- Auditoria de Comunicaciones

El objetivo de esta auditoria es evaluar los sistemas de comunicaciones de la compañía analizando los índices de utilización de las líneas contratadas, trafico de la mismas, índices pactados en los contratos, etc. La empresa deberá contar con la topología de la Red de Comunicaciones, actualizada. Se estudiarán las disfunciones organizativas, roles y encargados del cumplimiento y del mantenimiento de los servicios de comunicaciones de la empresa auditada.

Tenemos una propuesta a su medida
Contáctenos

Complete el siguiente formulario para obtener un presupuesto de Auditoría informática a la medida de su empresa.

Código de seguridad

Casos de éxito

Boston Compañía
de Seguros S.A.

Esta Compañía de Seguros fue cliente de SCD Servicios Informáticos entre los años 2004 y 2007.

Fuimos convocados dado que el directorio de la empresa había cambiado recientemente y deseaba conocer el estado del área informática, para poder tomar decisiones referentes a la organización del departamento de sistemas interno, controles de procesos  y circuitos de seguridad de los sistemas, seguridad informática, antigüedad del parque,  función y relevancia de los servidores y procesos críticos del negocio, control y resguardo de los activos digitales.

Con este fin realizamos una Auditoria Informática operativa para  satisfacer las necesidades manifestadas por el directorio de la empresa. El resultado de la misma dio origen al Plan de Acción que redactó nuestra empresa y  que luego ejecutó Boston Compañía de Seguros con distintos proveedores especialistas en cada área.

Como resultado se reestructuró completamente el departamento de sistemas interno, se realizó un cambio de tecnología de servidores y estaciones de trabajo, se cambiaron y agregaron controles de seguridad a distintos procesos de negocio y demás cambios propuestos en nuestro Plan.

conozca otros casos de éxito

© 1997 / 2012
SCD Servicios Informáticos S.R.L.
Av. Monroe 5117
Buenos Aires - Argentina
Tel.: 54 + 11 + 4523-2900 (Rot.)
C.U.I.T.: 30-68310781-2
ventas@scd.com.ar
http://www.scd.com.ar/