UNIVERSIDAD NACIONAL EXPERIMENTAL DE GUAYANA

VICERRECTORADO ACADÉMICO
COORDINACIÓN GENERAL DE PREGRADO
PROYECTO DE CARRERA: INGENIERIA EN INFORMATICA
UNIDAD CURRICULAR SEGURIDAD DE LA INFORMACION

Auditoria de la seguridad de la información

TUTOR ACADEMICO: ESTUDIANTES:

Leniska Quilarquez Sánchez, Genesis C.I:26.138.853

Ciudad Guayana, julio del 2024

 Introducción

En la actualidad, aunque una organización cuente con sistemas de

ciberseguridad, los ataques cada vez son más sofisticados y buscan las grietas para
acceder, por lo cual, no es extraño encontrar a menudo noticias sobre robo de datos
o acceso a sistemas de grandes empresas, por citar algunos ejemplos.

En este sentido, la auditoría de seguridad informática mantiene un gran nivel de

importancia a nivel empresarial específicamente para identificar las vulnerabilidades
y riesgos de las redes y sistemas de una organización, así como el cumplimiento de
las medidas y políticas de seguridad instaladas y las medidas necesarias para
garantizar la resolución de problemas.
Definición

La auditoría se basa en identificar problemas de seguridad en estaciones de

trabajo, redes de comunicaciones, servidores o aplicaciones desde el análisis y
gestión de las tecnologías de la información (TI) realizando un seguimiento a las
acciones de los usuarios en un determinado tiempo, a los servicios accedidos, así
como a los datos manipulados y transferidos. Para realizar una auditoría se debe
identificar los activos de la información que queremos revisar, los activos a revisar
pueden ser ficheros, las bases de datos, equipos o programas, sistemas de red
entre otros

Tipos de ataques

En cuanto a los tipos de ataques se pueden encontrar dos clasificaciones si se

hace referencia a tipos de auditoría de seguridad informática. Si se atiende a quien
la realiza se encuentran dos variantes:

• Auditoría externa: la realiza personal ajeno a la organización.

• Auditoría interna: se encargan personas que trabajan directamente para la
empresa.

Existen diferentes tipos de auditorías de seguridad informática que se pueden

llevar a cabo, según los objetivos específicos y el alcance. A continuación, se
presentan los más comunes en una empresa:

Auditoría de cumplimiento normativo

• Esta auditoría tiene por objeto evaluar si una organización cumple con los
requisitos legales y normativos en materia de seguridad de la información.
Esto puede abarcar el cumplimiento de leyes de protección de datos,
regulaciones específicas de la industria, como PCI-DSS para el sector de
pagos con tarjeta, o estándares internacionales, como la ISO 27001.

Auditoría de políticas y procedimientos

 • Se centra en revisar y evaluar las políticas, normas y procedimientos de
seguridad establecidos en una organización. El objetivo es determinar si
dichas políticas y procedimientos son adecuados, están actualizados y se
cumplen en la práctica.

Auditoría de controles de acceso

• Se concentra en evaluar los sistemas y métodos utilizados para controlar el

acceso a los sistemas y datos de la organización. Esto incluye la revisión de
la gestión de contraseñas, los niveles de privilegios de los usuarios, la
autenticación multifactor, entre otros controles.

Auditoría de seguridad de redes

• Se enfoca en examinar la infraestructura de red de una organización para

identificar vulnerabilidades y riesgos de seguridad. Esto puede abarcar
pruebas de penetración, análisis de configuración de firewall, detección de
intrusiones y evaluación de la protección de la red contra ataques.

Auditoría de seguridad de aplicaciones

• Se centra en evaluar la seguridad de las aplicaciones y sistemas

desarrollados o utilizados por la organización. Esto implica revisar el código
fuente, la configuración de seguridad de las aplicaciones, la autenticación y
autorización de usuarios, así como la protección contra vulnerabilidades
comunes, como inyecciones SQL o cross-site scripting (XSS).

Auditoría de gestión de incidentes

• Se ocupa de evaluar los procedimientos y las capacidades de respuesta de

una organización ante incidentes de seguridad. Esto incluye examinar la
preparación y planificación de incidentes, la detección y notificación de
incidentes, la gestión de respuesta y recuperación, y el aprendizaje de
lecciones de los incidentes anteriores.
Tecnologías utilizadas en el proceso de auditoria

Las auditorías de seguridad informática requieren herramientas especializadas

para evaluar sistemas, redes y aplicaciones en busca de vulnerabilidades. Algunas
de las herramientas comunes utilizadas incluyen:

• Escáneres de vulnerabilidad. Estas herramientas automatizadas escanean

sistemas y redes en busca de posibles vulnerabilidades, como puertos
abiertos o configuraciones incorrectas.
• Herramientas de análisis de tráfico. Ayudan a identificar patrones de tráfico
sospechosos o anómalos en una red, lo que puede indicar actividad
maliciosa.
• Herramientas de análisis de código. Estas herramientas examinan el código
fuente de aplicaciones en busca de vulnerabilidades de seguridad, como
inyecciones SQL o fallos de autenticación.
• Herramientas de auditoría de contraseñas. Evalúan la robustez de las
contraseñas utilizadas en sistemas y aplicaciones, ayudando a prevenir el
acceso no autorizado.

Metodología utilizada en la auditoria de seguridad

Una auditoría de seguridad de la información completa debe abarcar las

siguientes áreas generales:

• Seguridad física.

• Seguridad lógica.

• Seguridad del desarrollo de aplicaciones: ¿son aptas y seguras para pasarlas a

explotación?

• Seguridad en el área de producción. Protección de los servicios subcontratados.

• Seguridad en los datos y su ciclo de vida.

• Seguridad en comunicaciones y redes.

• Continuidad de las operaciones.

 Las fases que han de llevarse a cabo para el desarrollo de una auditoría de
seguridad, desde un punto de vista genérico son las siguientes:

• Determinación y concreción de objetivos. Delimitación del alcance y la profundidad

de la auditoria, y el periodo que cubre la misma.

• Análisis de posibles fuentes y recopilación de información.

• Determinación de un plan de trabajo y de los recursos y plazos en caso necesario.

Comunicación a la entidad de dicho plan.

• Adaptación de cuestionarios y consideración de herramientas o perfiles de

especialistas para el caso.

• Realización de entrevistas y pruebas. Análisis de resultados y valoración de

riesgos.

• Presentación y discusión del informe provisional.

• Informe definitivo.
 Conclusión
En la época actual, la gran mayoría de empresas dependen de la informática
para realizar sus labores diarias, ya que, con el avance de la tecnología, la presencia
de esta en las empresas y la sociedad en general es de suma importancia. Sin
embargo, cualquier tipo de empresa, sea cual sea su tamaño, es susceptible de
sufrir un ataque informático. Por eso es necesario una auditoria en el entorno laboral
de forma periódica y evitar así los inconvenientes de sufrir un ataque informático.

En términos generales, una auditoria puede obtener las siguientes ventajas:

• Detecta errores y debilidades de seguridad dentro de la empresa.

• Contribuye a tener un mayor control de toda la información sensible
de trabajadores, clientes y proveedores.
• Identifica la posible existencia de actuaciones fraudulentas, tanto a
nivel interno como externo.
• Supone un valor añadido para los clientes, puesto que la empresa
puede garantizar la seguridad de la información.
• Contribuye a eliminar y reforzar los puntos débiles específicamente
en la seguridad informática.
• Ayuda a tener un control sobre el acceso a la información.
• Permite tener actualizado el sistema, así como las herramientas.
 Bibliografía

• Samaniego, E., Ponce, J. (2021) Fundamentos de seguridad informática, Ed.

Grupo Compas
• (2024). Auditoría de seguridad informática: definición, tipos y fases.
Proeduca. https://unirfp.unir.net/revista/ingenieria-y-tecnologia/auditoria-
seguridad-informatica/
• Coppola, M.(23 de mayo del 2023). Auditoría de seguridad informática: qué
es, ventajas, tipos y fases. https://blog.hubspot.es/website/auditoria-de-
seguridad#:~:text=Qu%C3%A9%20es%20la%20auditor%C3%ADa%20de%
20seguridad%20inform%C3%A1tica&text=El%20objetivo%20principal%20d
e%20una,y%20proteger%20la%20informaci%C3%B3n%20sensible.
• Busto, L.(9 de agosto del 2023). Qué es y cómo se hace una auditoría de
seguridad informática. TokyoSchool.
https://www.tokioschool.com/noticias/auditoria-seguridad-
informatica/#herramientas-utilizadas-para-una-auditoria-de-seguridad-
informatica
• Corredera, E., García, F. Auditoria Informática.
https://gredos.usal.es/bitstream/handle/10366/139644/BISITE_Corredera_G
arc%C3%ADa_Auditor%C3%ADainform%C3%A1tica.pdf?sequence=1&isAl
lowed=y
• (17 de marzo del 2022). ¿Por Qué Es Necesario Realizar Auditorías De
Seguridad Informática?. Imagar. https://www.imagar.com/blog-desarrollo-
web/por-que-es-necesario-realizar-auditorias-de-seguridad-informatica/