Paradigamas de auditoria de sistemas
Páginas: 9 (2083 palabras)
Publicado: 1 de febrero de 2012
21/07/2010
::Jeimy J. Cano:: en Derecho Tecnologico.…
Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática.
Por Jeimy J. CANO (*)
::: En DerechoTecnológico.com ::: (Nota del autor: La palabra Paradigma proviene del griego. En el sentido más general, es el modo en que "vemos" el mundo, no en los términos de nuestro sentido dela vista, sino como percepción, comprensión, interpretación. [COVEY, S. (1996) Los siete hábitos de la gente altamente efectiva. Editorial Paidos. Pág. 28])
Resumen
Este documento ofrece una reflexión relacionada con la aplicación y difusión de prácticas como la auditoría de seguridad (AS), la evaluación de seguridad (ES) y las pruebas de penetración (PP), que busca compartir con losauditores, profesionales inquietos y consultores de seguridad, la necesidad de incorporar estas prácticas como herramientas proactivas en la administración de la seguridad informática de las organizaciones modernas.
Introducción
La actual infraestructura de telecomunicaciones se ha encargado de generar nuevos y novedosos negocios, que han permitido la expansión y generación de mercados antesdesconocidos, y un crecimiento sostenido de la utilidades de múltiples compañías en el mundo. En esta medida la información que viaja a través de millones de líneas, se ha convertido en uno de los mayores tesoros de las empresas, y en el motor de conocimiento para reconocer las fluctuaciones del entorno en el cual se encuentran. Por tanto, se hace necesario mantener y desarrollar posiciones y accionesclaras y seguras frente a la información estratégica de la compañía: [1] Información acerca de los mercados sensitivos: planes de productos, penetración en segmentos de mercados, identificación de clientes. Información financiera: Estado de pérdidas y ganancias, estado de los proyectos, presupuestos de operación e inversión. Secretos industriales: fórmulas de productos, diseños exclusivos. Procesos deaprovechamiento tecnológico: Relacionado con el cómo la empresa produce y distribuye sus productos o servicios, que por lo general no se encuentran documentados. Información acerca del personal: Contratos, retribución, pagos, seguridad social, seguros. Información de clientes: Productos o servicios que utilizan, estadísticas acerca de sus consumos. Información de productos: Diseños, propuestas,ideas y conceptos. Información interna: Memorandos, reportes definitivos, borradores, conversaciones. Información de seguridad: Dispositivos o mecanismos de seguridad utilizados, zonas de máxima seguridad, planes de seguridad.
derechotecnologico.com/…/estrado003.h… 1/6
21/07/2010
::Jeimy J. Cano:: en Derecho Tecnologico.…
De acuerdo con lo anterior, la organización debe establecerciertas directrices de seguridad informática [2] que le permitan valorar y proteger de la mejor manera sus activos. Así mismo, basados en esos planteamientos, formular y promover prácticas que soporten y verifiquen los lineamientos formulados en función de la seguridad de la información. Por tal razón, han surgido ejercicios como la auditoría de seguridad (security audit), evaluación de la seguridad(security assessment) y las pruebas de penetración (penetration testing) que nos permiten conocer con cierta profundidad las debilidades y amenazas a las que puede estar sujeta la información crítica de una organización almacenada, creada o transportada por medios electrónicos.
Auditoría de Seguridad Informática
Una auditoría es un proceso formal utilizado para medir aspectos de alto nivel de lainfraestructura de seguridad desde la perspectiva organizacional. Tradicionalmente, los auditores limitan el alcance de sus trabajos y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Sin embargo, es posible encontrar auditorías con un mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. El proceso de auditoría generalmente se...
::Jeimy J. Cano:: en Derecho Tecnologico.…
Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática.
Por Jeimy J. CANO (*)
::: En DerechoTecnológico.com ::: (Nota del autor: La palabra Paradigma proviene del griego. En el sentido más general, es el modo en que "vemos" el mundo, no en los términos de nuestro sentido dela vista, sino como percepción, comprensión, interpretación. [COVEY, S. (1996) Los siete hábitos de la gente altamente efectiva. Editorial Paidos. Pág. 28])
Resumen
Este documento ofrece una reflexión relacionada con la aplicación y difusión de prácticas como la auditoría de seguridad (AS), la evaluación de seguridad (ES) y las pruebas de penetración (PP), que busca compartir con losauditores, profesionales inquietos y consultores de seguridad, la necesidad de incorporar estas prácticas como herramientas proactivas en la administración de la seguridad informática de las organizaciones modernas.
Introducción
La actual infraestructura de telecomunicaciones se ha encargado de generar nuevos y novedosos negocios, que han permitido la expansión y generación de mercados antesdesconocidos, y un crecimiento sostenido de la utilidades de múltiples compañías en el mundo. En esta medida la información que viaja a través de millones de líneas, se ha convertido en uno de los mayores tesoros de las empresas, y en el motor de conocimiento para reconocer las fluctuaciones del entorno en el cual se encuentran. Por tanto, se hace necesario mantener y desarrollar posiciones y accionesclaras y seguras frente a la información estratégica de la compañía: [1] Información acerca de los mercados sensitivos: planes de productos, penetración en segmentos de mercados, identificación de clientes. Información financiera: Estado de pérdidas y ganancias, estado de los proyectos, presupuestos de operación e inversión. Secretos industriales: fórmulas de productos, diseños exclusivos. Procesos deaprovechamiento tecnológico: Relacionado con el cómo la empresa produce y distribuye sus productos o servicios, que por lo general no se encuentran documentados. Información acerca del personal: Contratos, retribución, pagos, seguridad social, seguros. Información de clientes: Productos o servicios que utilizan, estadísticas acerca de sus consumos. Información de productos: Diseños, propuestas,ideas y conceptos. Información interna: Memorandos, reportes definitivos, borradores, conversaciones. Información de seguridad: Dispositivos o mecanismos de seguridad utilizados, zonas de máxima seguridad, planes de seguridad.
derechotecnologico.com/…/estrado003.h… 1/6
21/07/2010
::Jeimy J. Cano:: en Derecho Tecnologico.…
De acuerdo con lo anterior, la organización debe establecerciertas directrices de seguridad informática [2] que le permitan valorar y proteger de la mejor manera sus activos. Así mismo, basados en esos planteamientos, formular y promover prácticas que soporten y verifiquen los lineamientos formulados en función de la seguridad de la información. Por tal razón, han surgido ejercicios como la auditoría de seguridad (security audit), evaluación de la seguridad(security assessment) y las pruebas de penetración (penetration testing) que nos permiten conocer con cierta profundidad las debilidades y amenazas a las que puede estar sujeta la información crítica de una organización almacenada, creada o transportada por medios electrónicos.
Auditoría de Seguridad Informática
Una auditoría es un proceso formal utilizado para medir aspectos de alto nivel de lainfraestructura de seguridad desde la perspectiva organizacional. Tradicionalmente, los auditores limitan el alcance de sus trabajos y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Sin embargo, es posible encontrar auditorías con un mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. El proceso de auditoría generalmente se...
Leer documento completo
Regístrate para leer el documento completo.