Auditoría De Seguridad Informática. Mf0487.

Por Beatriz Coronado García

Puede solicitar gratuitamente las soluciones a todas las actividades en el email tutor@tutorformacion.es Capacidades que se adquieren con este Manual: - Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática. - Aplicar procedimientos relativos al cumplimiento de la normativa legal vigente. - Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.

• Idioma: Español
• Editorial: Clube de Autores
• Fecha de lanzamiento: 18 jun 2025

Vista previa del libro

Introducción

Este manual ofrece una visión integral sobre la auditoría de seguridad informática en los sistemas de información, cubriendo tanto principios generales como prácticas específicas para evaluar y mejorar la seguridad en entornos empresariales. Su contenido se orienta a aquellos que buscan adquirir conocimientos sólidos sobre cómo llevar a cabo auditorías efectivas en el contexto de la seguridad informática y la protección de datos.

En los primeros capítulos, se describen los criterios generales comúnmente aceptados en auditoría informática, incluyendo el código deontológico, los diferentes tipos de auditoría en sistemas de información, y las competencias necesarias para componer un equipo auditor eficaz. Asimismo, se detallan las pruebas de auditoría más utilizadas, las técnicas de muestreo aplicables y el uso de herramientas CAAT (Computer Assisted Audit Tools), esenciales para realizar un análisis profundo y preciso.

A continuación, se explora la normativa vigente en protección de datos, con especial énfasis en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), fundamentales para cumplir con los requerimientos legales y proteger los datos personales manejados en la organización. Se incluye también una guía para la auditoría de protección de datos, orientando a los auditores en la evaluación del cumplimiento normativo.

Otra sección clave aborda el análisis de riesgos de los sistemas de información, incluyendo la identificación y valoración de activos, amenazas y vulnerabilidades, así como el uso de metodologías cualitativas y cuantitativas. Se destacan metodologías ampliamente aceptadas, como el NIST SP 800-30 y Magerit versión 3, para gestionar los riesgos de seguridad en sistemas de información de manera estructurada. El análisis se complementa con una explicación sobre la creación de escenarios de riesgo, la determinación de su impacto y probabilidad, y las medidas de salvaguarda que pueden implementarse para mitigarlos.

En el siguiente apartado, se revisa el uso de herramientas de auditoría. Aquí se incluyen herramientas específicas para el análisis de red y de vulnerabilidades, así como analizadores de protocolos y herramientas avanzadas para pruebas de fuerza bruta, entre otras. Esta sección proporciona una base práctica para la selección y aplicación de herramientas que permitan realizar auditorías efectivas y detalladas.

Finalmente, se dedica un capítulo a los aspectos específicos de los cortafuegos en auditorías de sistemas informáticos, donde se abordan los principios y componentes de los cortafuegos de red, así como las arquitecturas más comunes, incluyendo cortafuegos de nueva generación (NGFW) y entornos de nube híbrida.

Con este manual, los lectores podrán adquirir una formación exhaustiva y práctica en auditoría de seguridad informática, desarrollando habilidades esenciales para proteger los sistemas de información y los datos críticos en sus organizaciones. A lo largo del documento, se incluyen secciones de autoevaluación que permitirán al lector medir su comprensión y dominio de los conceptos tratados.

A continuación, se presentará un glosario de términos clave relacionados con auditoría de gestión informática:

Acceso condicional: Método que ajusta permisos de acceso según el contexto o ubicación del usuario.

Activo crítico: Recurso que, en caso de ser afectado, podría impactar significativamente a la organización.

Activo: Cualquier recurso valioso para una organización, como datos, hardware o software.

Actualización automática: Configuración que permite aplicar parches de seguridad automáticamente.

Administrador de contraseñas: Herramienta que almacena y gestiona contraseñas de forma segura.

Algoritmo de cifrado: Método matemático utilizado para cifrar y descifrar información.

Algoritmo hash: Función que convierte datos en un valor de longitud fija para verificar integridad.

Amenaza interna: Riesgo de seguridad proveniente de empleados o socios con acceso a la organización.

Amenaza persistente avanzada (APT): Amenaza compleja y continua que busca acceso prolongado a un sistema.

Amenaza: Potencial de causar daños a un sistema o activo mediante el acceso no autorizado, destrucción o alteración de datos.

Análisis de caja blanca: Evaluación de seguridad en la que el auditor tiene acceso completo al sistema.

Análisis de caja negra: Prueba en la que el auditor desconoce la arquitectura interna del sistema.

Análisis de logs: Proceso de revisar registros de actividad para detectar anomalías o incidentes.

Análisis de riesgos: Proceso de identificación, evaluación y priorización de riesgos asociados a un sistema.

Antimalware: Software que identifica, previene y elimina software malicioso.

Ataque de fuerza bruta: Método de prueba y error para descifrar contraseñas o claves.

Auditoría continua: Proceso de auditoría en tiempo real para detectar y gestionar problemas de inmediato.

Auditoría de aplicaciones: Evaluación de la seguridad y control de aplicaciones específicas.

Auditoría de cumplimiento: Evaluación para verificar que se cumplen las normativas, políticas y estándares.

Auditoría de red: Proceso de revisión de la seguridad y configuración de la infraestructura de red.

Auditoría externa: Evaluación realizada por una entidad independiente para verificar la seguridad.

Auditoría informática: Proceso sistemático de evaluación de sistemas de información para verificar su seguridad, integridad y eficiencia.

Auditoría interna: Evaluación llevada a cabo por el equipo de la organización para verificar el cumplimiento.

Autenticación basada en riesgo: Ajusta los requisitos de autenticación en función de la actividad del usuario y el contexto.

Autenticación multifactor (MFA): Requiere múltiples verificaciones de identidad para acceder a un sistema.

Autenticación sin contraseña (passwordless): Método de autenticación que no requiere contraseñas tradicionales.

Backdoor: Método no autorizado que permite el acceso remoto a un sistema.

Backup incremental: Copia de seguridad que solo guarda los cambios desde el último backup.

CAAT (Computer Assisted Audit Tools): Herramientas informáticas que facilitan la ejecución de auditorías.

Ciberinteligencia: Recolección y análisis de información para anticipar y mitigar amenazas.

Cifrado de extremo a extremo: Cifrado que asegura la comunicación entre dos partes sin que terceros puedan acceder.

Cifrado: Proceso de transformar información legible en un formato inaccesible sin una clave específica.

COBIT: Marco de referencia para la gestión y auditoría de TI.

Código deontológico: Conjunto de principios éticos que guían la función de la auditoría.

Compilación de evidencias: Recolección de datos y pruebas que respalden los hallazgos de una auditoría.

Compromiso de datos: Pérdida, acceso no autorizado o divulgación de información sensible.

Confidencialidad: Garantía de que la información solo es accesible a personas autorizadas.

Consistencia de datos: Garantía de que los datos permanecen coherentes y sin errores en todo el sistema.

Contingencia: Preparación para eventos inesperados que pueden interrumpir las operaciones.

Control administrativo: Políticas, procedimientos y normas destinadas a proteger la información.

Control de acceso basado en atributos (ABAC): Restricción de acceso según los atributos del usuario y el contexto.

Control de acceso basado en roles (RBAC): Permite el acceso a información en función del rol del usuario.

Control de acceso: Restricciones establecidas para asegurar que solo personas autorizadas accedan a la información.

Control de cambios: Proceso de administración y registro de modificaciones en sistemas de TI.

Control de cuentas privilegiadas (PAM): Administración de cuentas con altos niveles de acceso para evitar abusos.

Control físico: Medidas de seguridad físicas como cámaras y acceso restringido para proteger activos.

Control técnico: Medidas de seguridad implementadas en sistemas y redes para proteger los datos.

Controles de seguridad: Medidas aplicadas para proteger sistemas y datos contra amenazas y reducir riesgos.

Correo electrónico seguro (S/MIME): Protocolo para firmar y cifrar correos electrónicos.

Cortafuegos de aplicaciones web (WAF): Protección específica para aplicaciones web contra ataques como inyecciones SQL.

Criptografía: Técnica de protección de la información mediante cifrado para evitar el acceso no autorizado.

Data Loss Prevention (DLP): Estrategias y herramientas para prevenir la pérdida de datos.

Depuración remota: Práctica de realizar un análisis y resolución de problemas desde un lugar remoto.

Desencriptación: Proceso de convertir información cifrada en su formato original legible.

Despliegue seguro: Proceso de configuración y lanzamiento de sistemas con medidas de seguridad preestablecidas.

Desvío de seguridad: Comportamiento o situación que se aleja de las políticas y estándares de seguridad.

Disponibilidad: Capacidad de un sistema de estar operativo y accesible cuando se necesite.

Doble autenticación (2FA): Método de seguridad que requiere dos factores de verificación.

Escalabilidad: Capacidad de un sistema para crecer y adaptarse al aumento de demanda sin comprometer la seguridad.

Escaneo de vulnerabilidades: Proceso de identificar posibles debilidades en un sistema.

Evaluación de conformidad: Proceso de verificación del cumplimiento de normas y estándares de seguridad.

Evaluación de impacto de privacidad (EIP): Análisis de los efectos de una actividad en la privacidad de los datos personales.

Evaluación de impacto: Proceso para determinar el posible efecto de un incidente en el negocio o los sistemas.

Evaluación de madurez: Medición del nivel de desarrollo y control de los procesos de seguridad de TI.

Evaluación de proveedores: Revisión de los controles de seguridad de los proveedores externos.

Evento de seguridad: Cualquier actividad que podría indicar un riesgo de seguridad.

Filtrado de contenido: Control que limita el acceso a ciertos tipos de contenido en una red.

Firewall (cortafuegos): Dispositivo o software que filtra el tráfico de red para bloquear accesos no autorizados.

Firma digital: Verificación de la autenticidad y la integridad de documentos digitales.

Forense digital: Proceso de recopilación y análisis de pruebas digitales para investigar incidentes de seguridad.

GDPR/RGPD: Reglamento General de Protección de Datos, normativa europea para proteger los datos personales.

Gestión de certificados: Proceso para emitir, renovar y revocar certificados de seguridad digitales.

Gestión de identidades (IAM): Sistema para controlar y gestionar las identidades digitales y sus accesos.

Gestión de parches: Proceso de monitoreo y aplicación de actualizaciones de software y seguridad.

Hallazgo de auditoría: Resultado o evidencia obtenida en una auditoría, que puede ser una observación o no conformidad.

Hardening: Proceso de reforzar la seguridad de un sistema mediante la reducción de vulnerabilidades.

Huella digital: Registro o rastro que deja un usuario al interactuar con un sistema.

Identificación biométrica: Uso de características físicas, como huellas digitales, para verificar identidad.

IDS (Intrusion Detection System): Sistema que detecta y notifica actividades sospechosas en la red o sistema.

Impacto: Consecuencia que un incidente de seguridad puede tener sobre los activos y la organización.

Informe de auditoría: Documento que recoge los hallazgos, observaciones y conclusiones de la auditoría.

Ingeniería social: Técnica de manipulación psicológica para obtener información confidencial.

Inmunidad: Capacidad de un sistema para resistir intentos de vulneración sin comprometerse.

Integridad: Propiedad que asegura que la información se mantiene inalterada, precisa y completa.

IPS (Intrusion Prevention System): Sistema que detecta e impide actividades maliciosas en la red o sistema.

Limitación de privilegios: Restricción de permisos para reducir el riesgo de acceso no autorizado.

Lista blanca: Conjunto de entidades aprobadas que pueden acceder a un sistema o red.

Lista negra: Conjunto de entidades bloqueadas o prohibidas de acceder a un sistema o red.

LOPDGDD: Ley Orgánica de Protección de Datos