Para realizar una auditoría de seguridad de los sistemas informáticos de la empresa no hay que invertir meses ni invertir cantidades similares a la de varios servidores de última generación. Esto es un mito: 250 horas de trabajo--entre el Jefe de Proyecto (que estará presente durante el 40-60% del tiempo del proyecto) y el Consultor Técnico--son suficientes para quedarse tranquilo. Es decir, para una infraestructura de un centenar de ordenadores con menos de 200 direcciones IP son necesariamente aproximadamente 20 días.

Este trabajo se realiza en diversas fases: La recopilación de información (tanto la interna como la pública sobre la infraestructura de red que posee la empresa) · Realización de escaneos en la red · Llevar a cabo la fase de análisis de datos iniciales obtenidos que determinará el grado de los trabajos técnicos que se realizarán con posterioridad · Estudio de los puertos TCP/UDP · Realizar comprobaciones manuales de algunos datos recogidos · Identificación de los sistemas operativos utilizados en la infraestructura · Efectuar diversas pruebas con los servicios activos (TCP, UDP, SSH, FTP, HTTP, SMTP, Telnet, IMAP...) · Búsqueda y verificación de vulnerabilidades · El grado de actualización del software y hardware así como de la política que ha definido la empresa al respecto · Identificación de falsos positivos · Redacción del informe final.

Uno de los métodos más populares que se utiliza en una auditoría de seguridad informática es el OSSTMM (Open Source Security Testing Methodology Manual) y exige el dejar preparada la infraestructura contra las 20 más importantes vulnerabilidades existentes en materia de Internet que son consensuadas regularmente por expertos, consultoras e informáticos con el Sans Institute.

La guinda a este proceso sería implantar la norma técnica INCITS/ISO/IEC 17799-2005 en materia de información tecnológica, prácticas de seguridad y de diseño del código de buenas prácticas en la gestión segura de la información.

La Auditoría de seguridad es, de todos los proceso comunes de verificación de seguridad informática, el más caro. Hay otros que requieren mayor o menor coste y tiempo: hacking ético, los test de penetración, las comprobaciones de seguridad o simplemente el análisis de vulnerabilidades.

+info: ¿Qué es una vulnerabilidad '0 day'? | Tor, una forma de comunicarse anónimamente | Los diez errores más comunes en materia de seguridad | Lo siento... Harrison Ford no inventó el cortafuegos | Invite a un extraño a compartir su conexión inalámbrica | cpio y la sencilla gestión de copías de seguridad | Escalado de privilegios en Windows al descubierto |

>> Publicado en Categoría: Tecnología y Consultoría