El objetivo de esta auditoría es revisar, desde el punto de vista de la Seguridad, todos aquellos aspectos que implican los Sistemas de Información de la empresa.
En estas auditorías se llevan a cabo revisiones técnicas exhaustivas de los sistemas, convirtiendo este análisis en un estudio integral y profundo a todos los niveles de los SI.
El resultado de estas auditorías proporciona una visión exacta de las necesidades presentes y futuras en materia de seguridad de éstos, con la confianza de estar siguiendo los aspectos de un estándar de calidad y confianza reconocido a nivel mundial como es la ISO 27001.
La metodología seguida por Internet Security Auditors tiene como objetivo permitir la revisión exhaustiva de los aspectos de seguridad de todos los componentes dentro de los Sistemas de Información de la empresa, que cubren los siguientes aspectos:
Seguridad en la red
Análisis de la estructura de la red, revisión de los dispositivos encargados de controlar el flujo de datos, de la configuración y estado de dispositivos de acceso remoto e inalámbrico y de los dispositivos de protección, filtrado y detección de intrusiones así como detección de puntos públicos no securizados.
Seguridad de Servidores y Servicios de Red Internos
Detección de servidores y servicios con versiones no actualizadas, de configuraciones inadecuadas de Sistemas Operativos y Servicios de Red y de requerimientos de seguridad (actualizaciones y parches, ajustes de configuración de seguridad o procesos completos de securización).
Sistemas de Gestión de Disponibilidad de Sistemas y Datos
Detección de deficiencias en la Política de Backup o su aplicación, en los Sistemas de Monitorización o Gestión Remota y en los Planes de Contingencias y Continuidad o en su aplicación; detección de dispositivos y sistemas de criticidad elevada para la continuidad del negocio; y comprobación de las medidas de tolerancia a fallos aplicados.
Sistemas de Protección
Revisión de la Seguridad de los Sistemas de Contención y Filtrado de Contenidos, detección de anomalías en el funcionamiento de los sistemas de protección a nivel de aplicación (Antivirus, Antispam y Filtrado de Contenidos -Web, FTP, P2P...-), identificación de requerimientos de seguridad (necesidad de actualización o aplicación de parches, deficiencias de configuración de Seguridad y ámbito de actuación) y posibilidad de compromiso legal o daño a la imagen.
Seguridad de los Ordenadores de Usuario
Determinar la capacidad de un usuario de realizar acciones sin control por los administradores de la red en o desde su máquina (comprometer un sistema, acceder o compartir datos o recursos e instalar o desinstalar el software) y detección de máquinas no actualizadas y con sistemas de seguridad deshabilitados o desconfigurados (antivirus de cliente, firewalls personales, herramienta de monitorización o gestión remota...).
Como resultado de todo el trabajo de análisis de los sistemas y el posterior análisis de resultados y documentación, en el informe se expondrán los resultados obtenidos en la auditoría de seguridad junto con las recomendaciones, en caso necesario (de arquitectura de red, de sistemas...).
Algunos de los resultados, que dependerán de las características propias de cado caso, son los siguientes:
- Resumen ejecutivo.
- Resultado obtenido en cada uno de los puntos analizados.
- Vulnerabilidades detectadas y catalogadas según su nivel de peligrosidad, así como las recomendaciones para su eliminación.
- Cambios de configuración recomendados en los sistemas para mejorar la seguridad.
- Cambios recomendados en las políticas de autenticación, control de acceso, contraseñas...
- Recomendaciones sobre nuevas aplicaciones y servicios que ayuden a aumentar el nivel de seguridad.
- Mapa de red actual y recomendaciones de cambios para mejorar la topología de red actual.
- Cambios recomendados en las reglas de los Sistemas de Protección Perimetral (routers, firewalls, IDS...).
- Identificación de puntos críticos donde es recomendable mejorar la disponibilidad.
- Cambios recomendados en los diferentes accesos a la red.
- Recomendaciones para mejorar la autenticación de usuarios y puntos de acceso en la red inalámbrica.
- Cambios recomendados en los sistemas antivirus, su distribución y configuración.
- Mejoras en los sistemas de seguridad reactiva.
- Recomendaciones, salvedades y acciones correctivas de los aspectos técnicos definidos por la ISO 27001.