Posteado February 25, 2009 a 7:43 pm por invitado
Feed Articulos
Por Albert Coronado, fundador de Lostsys Informática
Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorías. Una Auditoría es una radiografía de una parte de una empresa o organización. Las auditorías pueden ser externas(Hechas por un consultor externo a la organización) o Internas(Hechas por gente de la misma organización ).
El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son:
- Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.),
- Auditoría de la explotación para conocer el estado actual de los elementos de una explotación(Licencias, Recursos de explotación, ),
- Auditoría de las redes de la empresa (LAN, WAN, Intranets, Extranets, etc.) y evaluar su adecuación, seguridad, etc.
La información obtenida de la auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software o otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.
El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría es el siguiente:
1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atención a esto).
2- Revisión de la documentación y preparación de las actividades: Aquí se define el plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.).
3- Desarrollo del plan de auditoría
4- Preparación del informe de la auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos.
En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.
Fuente de la imagen: Universitat de Valencia
Publicado en: General
Posteado January 31, 2009 a 7:02 pm por failurez
Gracias a E-Zone os pasamos un documento con una lista de 10 apartados que conforman los puntos clave a tener en cuenta y a tratar en la seguridad informática. Son recomendaciones para una mejor custodia de la información y una mayor estabilidad de la red informática: 
1.- Backup
2.- Firewall
3.- Permisos y Autenticación
4.- Antivirus / AntiMalware
5.- Monitorización / Mantenimiento / Auditoria
6.- Adaptación LOPD
7.- Comunicaciones seguras
8.- AntiSpam / Webfiltering
9.- Alta disponibilidad
10.- Plan de contingencia / DRP
1. Backup. Tener un backup es fundamental. Aquellas empresas que no tengan implantada una política de copias de seguridad se arriesgan a perder toda su información. Es importante hacerse la pregunta: ¿Qué pasaría si mañana, por un robo o por un error, desaparecieran mis datos? ¿Estamos cubiertos? Hoy no hay excusas, hay soluciones de todo tipo y precio, incluso con los avanzados backups automáticos a través de Internet
2.- Firewall. Disponer de un firewall es disponer de una puerta blindada de seguridad en la red de una empresa hacia el acceso a Internet. Desde estos dispositivos se controla quién accede a nuestra red o quién sale de ella, y se bloquean los accesos no deseados.
3.- Permisos y autenticación. Es necesario asignar permisos y tener una buena política de contraseñas. De esta manera se asegura que sólo las personas autorizadas tengan acceso a la información.
4.- Antivirus / AntiMalware. No disponer de un sistema antivirus es sinónimo de problemas. Ahora ya no hablamos sólo de virus, sino también de programas espía, (Spyware), troyanos, gusanos, etc. En general lo llamamos software malicioso o malware. El malware está en constante evolución, por lo que nuestro antivirus debe estar continuamente actualizado.
5.- Monitorización / Mantenimiento / Auditoria. Una vez se tiene implementada una solución de seguridad, no se puede abandonar. Hay que estar pendiente de actualizar todos los dispositivos y asegurarse de que todo funciona correctamente. Para ello es necesaria la monitorización. Lo más recomendable es contratar a empresas especializadas para que vigilen el correcto funcionamiento y que resuelvan las incidencias cuando aparezcan.
Es necesario realizar una auditoría periódica para conocer y comprobar el estado real de nuestra red. Nos permite cerciorarnos de la eficiencia de las medidas de seguridad que empleamos, así como conocer nuestras carencias.
6.- Adaptación LOPD. Cualquier empresa trabaja con datos personales, en consecuencia necesita haber realizado la Adaptación a la Ley de Protección de Datos (LOPD). Las empresas que no estén adaptadas, se arriesgan a ser sancionadas, con multas que oscilan entre los 600€ y los 600.000€.
7.- Comunicaciones seguras. Por la red de una empresa circulan datos muy importantes y confidenciales. Por eso es necesario que las comunicaciones sean lo más seguras posibles. Una buena solución son las conexiones VPN que permiten conectar oficinas remotas o usuarios móviles desde cualquier punto de Internet sin comprometer la seguridad.
8.- AntiSpam / Webfiltering. Estamos hartos de recibir innumerables correos que ni hemos pedido, ni nos interesan. A estos correos se les conoce como Spam (correo basura). Un antispam, identifica y elimina directamente todo este correo no deseado.
El webfiltering permite definir qué tipo de páginas web pueden visitar los usuarios. Muchas empresas mejoran su rendimiento impidiendo el acceso a webs de dudosa utilidad (pornográficas, periódicos y revistas, búsqueda de empleo, chats, etc..)
9.- Alta disponibilidad La parada de un servidor, un router, una línea de comunicaciones, aunque sólo sea durante unas horas, puede suponer costes importantes. Por ello es recomendable redundarlos, eliminando así los puntos únicos y garantizando que todo funcione sin interrupciones.
10.-Plan de contingencia / DRP. Tener un plan de contingencia es tener los procedimientos para recuperar la normalidad de las funciones de nuestro negocio en caso de un fallo de los sistemas. Nos aporta la tranquilidad de poder restaurar los servicios vitales en un tiempo mínimo.
Aunque no estoy muy deacurerdo con el webfiltering tal y como se plantea en el artículo, (por cuestiones de rendimiento laboral) lo he querido reproducir de forma fiel y exacta. Si es cierto que se hace en muchas empresas no creo que el no disponer de acceso a ciertas páginas mejore el rendimiento ni el estado de animo de la plantilla.
Me resulta cuanto menos curioso el que corporativamente se filtre el acceso a internet por rendimiento y sin embargo se permita corporativamente las pausas del cigarrito a los fumadores, si de temas de rendimiento laboral estamos hablando.
Si estoy deacuerdo por supuesto en aplicar webfiltering para seguridad, restringiendo sitios de internet potencialmente inseguros o que contengan codigo malicioso.
Publicado en: Casos de exito uso de IT, Comunicaciones, Hardware, Software
