Red de Respuestas Legales - Derecho de patentes - ¿Qué incluye una auditoría de seguridad?

¿Qué incluye una auditoría de seguridad?

La auditoría de seguridad implica cuatro elementos básicos: objetivos de control, vulnerabilidades de seguridad, medidas de control y pruebas de control. Entre ellos, los objetivos de control se refieren a los requisitos de control de seguridad formulados por la empresa en función de aplicaciones informáticas específicas y la situación real de la unidad. Una vulnerabilidad de seguridad se refiere a un eslabón débil en la seguridad del sistema que puede ser fácilmente interferido o destruido. Las medidas de control se refieren a las tecnologías de control de seguridad, los métodos de configuración y diversas normas y sistemas desarrollados por las empresas para lograr sus objetivos de control de seguridad. Las pruebas de control consisten en comparar la coherencia de varias medidas de control de seguridad de una empresa con estándares de seguridad predeterminados para determinar si las medidas de control existen, si se han implementado, si son efectivas para prevenir lagunas y evaluar la confiabilidad de la seguridad de la empresa. medidas. Obviamente, la auditoría de seguridad, como proyecto de auditoría especial, requiere que los auditores tengan sólidos conocimientos y habilidades técnicas profesionales.

La auditoría de seguridad es una parte integral de la auditoría. Porque la seguridad del entorno de las redes informáticas no sólo implica la seguridad nacional, sino también los intereses económicos de las empresas. Por lo tanto, creemos que es necesario establecer lo antes posible un sistema trinitario de auditoría de seguridad del Estado, la sociedad y las empresas. Entre ellos, la agencia nacional de auditoría de seguridad debe implementar un sistema de auditoría anual para la seguridad de la información de las empresas en la red de área amplia de acuerdo con las leyes nacionales, especialmente los diversos requisitos técnicos de seguridad para la propia red informática. Además, deberían desarrollarse intermediarios sociales para proporcionar servicios de auditoría de la seguridad de los entornos de redes informáticas. Al igual que las firmas de contabilidad y los despachos de abogados, todas son instituciones que evalúan la seguridad de los sistemas de redes informáticas corporativas. Cuando las autoridades de gestión empresarial sopesan las pérdidas potenciales causadas por los sistemas de red, necesitan utilizar intermediarios para examinar y evaluar la seguridad. Además, las finanzas y la auditoría financiera son inseparables de los expertos en seguridad de la red. Evalúan los controles de seguridad de la red y ayudan a los contadores públicos a emitir juicios correctos sobre la autenticidad y confiabilidad de la información revelada por los sistemas de procesamiento de información correspondientes.

Ira Winkler, presidente del Grupo Asesor de Seguridad de Internet, cree que las auditorías de seguridad, las evaluaciones de vulnerabilidad y las pruebas de penetración son los tres métodos principales de diagnóstico de seguridad. Los tres utilizan enfoques diferentes, adecuados a objetivos específicos. Las auditorías de seguridad miden el desempeño de los sistemas de información a través de una serie de criterios. Una evaluación de vulnerabilidad implica una investigación exhaustiva de todo un sistema de información y la búsqueda de posibles vulnerabilidades de seguridad. Las pruebas de penetración son una operación encubierta en la que expertos en seguridad realizan numerosos ataques para ver si un sistema es resistente a ataques similares de piratas informáticos malintencionados. En una prueba de penetración, los ataques falsos pueden incluir cualquier cosa que un hacker real pueda intentar, como ingeniería social. Cada uno de estos métodos tiene sus propias capacidades inherentes y una combinación de dos o más puede ser la más eficaz.