En primer lugar debes definir claramente el objetivo del estudio. El término auditoría se utiliza de forma amplia e imprecisa y a menudo se etiqueta con esta palabra a cosas muy diferentes.
Si la auditoría de la que hablas es una revisión de la seguridad de los sistemas de información, puedes utilizar diferentes tipos de test. El objetivo de este tipo de revisiones el localizar vulnerabilidades debido a errores en la configuración o problemas para los que no existe una medida de seguridad.
El análisis de riesgos tiene un objetivo mucho más ambicioso. Intenta hacer un diagnóstico general de cuales son las necesidades de seguridad de la organización en base a los riesgos detectados. Ya no se limita al ámbito de la seguridad informática sino que alcanza a toda la organización y la definición estratégica de qué seguridad de la información se necesita.
Podemos establecer básicamente las siguientes diferencias entre ambas tareas:
- La auditoria informática es un proceso de revisión e inventariado.
- El análisis y gestión de riesgos es un proceso de diagnóstico y detección.
Lo usual es usar la Auditoria Informática como información de retroalimentación, para analizar en que medida el sistema garantiza la seguridad informática, pero no ofrece una visión general del sistema, solo puede detectar puntos de fallo concretos sobre cada activo.
El Análisis y Gestión de Riesgos nos aporta mucha más información sobre el sistema. Identifica las relaciones funcionales entre los distintos activos de información, analiza todas las posibles contingencias que pueden presentarse. De alguna forma, delimita y establece en contexto de seguridad en el que se encuentra el sistema de información, pudiendo con esta información elegir de forma más precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre nuestro sistema.
El Análisis y Gestión de Riesgos nos aporta mucha más información sobre el sistema. Identifica las relaciones funcionales entre los distintos activos de información, analiza todas las posibles contingencias que pueden presentarse. De alguna forma, delimita y establece en contexto de seguridad en el que se encuentra el sistema de información, pudiendo con esta información elegir de forma más precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre nuestro sistema.
Respecto a metodologías de análisis de riesgos, personalmente te recomiendo MAGERIT 2.0. Puedes ver un resumen de esta nueva versión en un post en mi blog (
http://seguridad-de-la-informacion.blogspot.com/2005/11/magerit-20-primeras-impresiones.html).
Respecto a una auditoría de seguridad, también publique hace poco un resumen de los diferentes tipos de test (http://seguridad-de-la-informacion.blogspot.com/2005/12/hay-ataques-y-ataques.html
) y yo recomiendo seguir la metodología OSSTMM (http://www.isecom.org/osstmm/)
Un saludo
El día 29/12/05, tANAKO <[EMAIL PROTECTED]> escribió:
Hola a todos y felices fiestas:
Estoy preparando una auditoría para una empresa grande y en la que hemos
delimitado
el alcance de éste estudio en busca de fallas y vulnerabilidades, pero
nos hemos quedado atascados
en definir con mayor amplitud lo que son Vulnerabilidades severas,
graves y menos graves,
¿ podría alguien ayudarme a delimitar el alcance y gravedad de cada
una?, para poder asi
cuantificar el costo de cada una, a la hora de delimitar o abordar el
presupuesto que estoy
creando para ésta empresa, tras la delimitación de ésta tipologia, se
incluye la propuesta de solución y posterior aplicación.
Muchas gracias
Tanako
_______________________________________________
Seguridad0(arroba)seguridad0.info
http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info
Busqueda y archivos de mensajes http://www.mail-archive.com/[email protected]/
_______________________________________________
[Hospedado y patrocinado por Seguridad0 - http://www.seguridad0.biz]
_______________________________________________ Seguridad0(arroba)seguridad0.info http://seguridad0.info/mailman/listinfo/seguridad0_seguridad0.info Busqueda y archivos de mensajes http://www.mail-archive.com/[email protected]/ _______________________________________________ [Hospedado y patrocinado por Seguridad0 - http://www.seguridad0.biz]
