INB COMPUTERS "Honestidad, calidad y profesionalismo"

Metodologías-Auditorías Ciberseguridad

POST ED: 6 septiembre, 2020. ACTUALIZADO EN: 30 agosto, 2023.

PCI Protección de Datos

Auditoría Ciberseguridad

Penetration Testing Framework

OWISAM

ISO 27000

STRIDE

ISSAF

PTES

OWASP

NIST 800–27

OSSTMM

OSINT

Las principales metodologías en ciberseguridad son las siguientes:

OSSTMM
OWASP
ISSAF
PTES (No tan utilizada)

Organizaciones:

OWASP (Ciberseguridad aplicaciones móviles y páginas WEB)
OWISAM (Metodología abierta para el análisis de segridad Wireless)
- https://www.dragonjar.org/owisam-open-wireless-security-assessment-methodology.xhtml
- ISACA (ISACA es el acrónimo de Information Systems Audit and Control Association, una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información. Wikipedia) https://www.isaca.org/credentialing/certificates

Metodología y técnicas

OSINT (Inteligencia de fuentes abiertas o del inglés Open Source Intelligence)
- OSINT - La información es poder https://www.incibe-cert.es/blog/osint-la-informacion-es-poder
- Tricking online tracking: la desinformación como método de protección https://www.incibe-cert.es/blog/tricking-online-tracking
- Técnicas y herramientas OSINT para la investigación en Internet https://www.welivesecurity.com/.
- Open Source Intelligence Techniques - 7th Edition (2019) https://inteltechniques.com/book1.html

Presentación principales Metodologías.

Recuperado el 16 de octubre de 2020 de https://www.isacavalencia.org/docs/Eventos/2011/201103_25_Carlos.pdf

¿Que es auditoría en Ciberseguridad?

¿Qué se debe tener en cuenta para auditar la seguridad?

Cuando se trata de implementar modelos para gestionar la seguridad de la información el aspecto más importante para garantizar la mejora del sistema son las revisiones, y una de sus principales herramientas son las auditorías de seguridad. Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado

Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado actual de la protección de la información en una empresa. Además, brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.

Con todas la implicaciones que tiene una auditoría de seguridad de la información es necesario tener claro cuáles son los puntos por los cuales se quiere empezar. Para esto es recomendable analizar que en la política de seguridad se tenga en cuenta la clasificación de los activos de información al igual que las medidas de protección respectivas. Para conocer un poco más sobre las políticas de seguridad pueden leer nuestro post ¿Qué se debe tener en cuenta en la política de seguridad de la información?.

Con una auditoría se debe llegar a validar que los niveles de riesgo a los cuales está expuesta una organización realmente cumplen con sus políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y los estándares que apliquen según la industria. Este análisis debe ser transversal a la organización, revisando todos sus procesos.

Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden considerar dos opciones. La primera es realizar una auditoría interna es decir, utilizando un equipo de trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las realizan personas que conocen los procesos y cómo funciona la empresa, por lo cual puede llegar a ser más rápida y realizarse con una mayor periodicidad.

La otra opción es hacer una auditoría externa, en la cual participa un experto ajeno a la empresa y se hace más independiente. La principal ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo de revisiones, que de otra forma parecerían obvias. Dentro de este tipo de auditorías es común que se realice algún Penetration Test para buscar las vulnerabilidades que puedan dar lugar a un incidente de seguridad.

Independiente del tipo de auditoría seleccionado siempre se debe velar porque además de tener especialistas técnicos, se incluyan también especialistas en gestión de procesos para trabajar no solamente sobre la tecnología sino también sobre la forma en que fluye la información a lo largo de la empresa.

En cualquier caso debe ser clara la necesidad de la revisión periódica de los riesgos en las empresas, lo cual se puede lograr a través de auditorías constantes, siguiendo un proceso juicioso y que esté incorporado como parte de la gestión de la seguridad. Finalmente para que una auditoría genere realmente valor debe estar ligada a los objetivos estratégicos de tal forma que su cumplimiento no sea ajeno a garantizar la seguridad de la información.

H. Camilo Gutiérrez Amaya

Especialista de Awareness & Research

14 Aug 2013 - 11:28AM

Texto extraído de:

We live security by Eset. ¿Qué se debe tener en cuenta para auditar la seguridad? Recuperado el 05 de septiembre de 2020 de https://www.welivesecurity.com/la-es/2013/08/14/que-se-debe-tener-en-cuenta-para-auditar-la-seguridad/

Lecturas recomendadas

Descifrar los riesgos de fraude y recuperar la confianza de las partes interesadas en tiempos de COVID-19 https://www.ey.com/es_cr/forensic-integrity-services/descifrar-los-riesgos-de-fraude-y-recuperar-la-confianza-de-las-

"Delitos cibernéticos, phishing y fraudes digitales: con los esquemas de trabajo remoto, el phishing por correo electrónico, intrusiones a sistemas informáticos e infraestructura de teletrabajo, los malwares, ataques de ransomware y ataques de ingeniería social pueden comprometer los datos confidenciales de las organizaciones y los datos personales de los empleados".

Descifrar los riesgos de fraude y recuperar la confianza de las partes interesadas en tiempos de COVID 19Desde el punto de vista del cumplimiento y el gobierno corporativo, un modelo de preparación dirigido por la tecnología con un enfoque en la mitigación de riesgos actuales, inminentes y a largo plazo puede ayudar a abordar varios desafíos.

Puntos principales de una auditoría en seguridad

Gestión de la crisis
Implementación de protocolos de trabajo remoto
Administración de la cadena de suministro
Respuesta a incidentes cibernéticos
Revisión de contratos

Enfrentar riesgos potenciales en medio de operaciones.

Realizar una evaluación de riesgo de fraude.
Revisar la infraestructura tecnológica
Revisión de riesgos de terceros
Cápsulas de capacitación Digital
Creación de Resiliencia

Más allá de la crisis

Enfocarse en un crecimiento ético sustentable
Utilizar tecnologías emergentes
Evaluación continua y actualización en la cobertura del seguro
Volver a examinar los acuerdos legales
Priorizar el cumplimiento de los esfuerzos de RSC

Ernst & Young Global Limited (EYG) (19 de junio de 2020). Descifrar los riesgos de fraude y recuperar la confianza de las partes interesadas en tiempos de COVID-19. Recuperado el 06 de septiembre de 2020 de https://www.ey.com/es_cr/forensic-integrity-services/descifrar-los-riesgos-de-fraude-y-recuperar-la-confianza-de-las-

Page updated

Report abuse