Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>en</strong>tidad. G<strong>en</strong>eralm<strong>en</strong>te, se <strong>de</strong>finirán distintas tipologías <strong>de</strong> usuarios y se seleccionará<br />
una pob<strong>la</strong>ción <strong>de</strong> ellos para extrapo<strong>la</strong>r posteriorm<strong>en</strong>te los resultados.<br />
Existe un continuo <strong>de</strong>bate sobre si <strong>la</strong>s auditorías <strong>la</strong>s <strong>de</strong>be realizar personal <strong>de</strong><br />
<strong>la</strong> propia <strong>en</strong>tidad o se <strong>de</strong>be contratar a una <strong>empresa</strong> externa. Lo cierto, es que<br />
<strong>la</strong>s auditorías <strong>de</strong>bieran ser lo más objetivas posible. G<strong>en</strong>eralm<strong>en</strong>te, una<br />
<strong>empresa</strong> externa será “más objetiva”; sin embargo, no conocerá los recovecos<br />
<strong>de</strong> <strong>la</strong> <strong>en</strong>tidad auditada. Con <strong>la</strong> finalidad <strong>de</strong> ser objetivos, es conv<strong>en</strong>i<strong>en</strong>te<br />
disponer <strong>de</strong> p<strong>la</strong>ntil<strong>la</strong>s específicas para <strong>la</strong> realización <strong>de</strong> <strong>la</strong>s auditorías. Consi<strong>de</strong>rando<br />
el ejemplo anterior, un auditor interno evitará <strong>en</strong>trar <strong>en</strong> conflicto con<br />
sus compañeros. En consecu<strong>en</strong>cia, evitará ser exig<strong>en</strong>te; sin embargo, si ti<strong>en</strong>e<br />
que rell<strong>en</strong>ar una p<strong>la</strong>ntil<strong>la</strong> <strong>en</strong> <strong>la</strong> que <strong>de</strong>ba especificar concretam<strong>en</strong>te los resultados<br />
<strong>de</strong> <strong>la</strong> misma, se estará responsabilizando <strong>de</strong> los resultados.<br />
Por ejemplo, se pue<strong>de</strong>n establecer <strong>la</strong>s sigui<strong>en</strong>tes pruebas si <strong>la</strong> política <strong>de</strong> <strong>la</strong><br />
<strong>en</strong>tidad establece que el antivirus se actualizará continuam<strong>en</strong>te, que queda<br />
prohibida <strong>la</strong> insta<strong>la</strong>ción <strong>de</strong> software que no sea corporativo y que no se<br />
podrán almac<strong>en</strong>ar ficheros <strong>de</strong> uso privado.<br />
• Nombre <strong>de</strong> <strong>la</strong> estación <strong>de</strong> trabajo.<br />
• Dispone el equipo <strong>de</strong> antivirus (S/N).<br />
• Antivirus (producto y versión).<br />
• Fecha <strong>de</strong> <strong>la</strong> actualización <strong>de</strong>l antivirus (–/–/–)<br />
• Listado <strong>de</strong> <strong>la</strong>s aplicaciones insta<strong>la</strong>das (Instrucciones para listar <strong>la</strong> totalidad<br />
<strong>de</strong> <strong>la</strong>s aplicaciones insta<strong>la</strong>das <strong>en</strong> el equipo y guardarlo <strong>en</strong> un fichero<br />
– posteriorm<strong>en</strong>te se <strong>de</strong>berá verificar cuáles son y cuáles no son corporativas).<br />
• Listado <strong>de</strong> ficheros (instrucciones para realizar búsquedas <strong>de</strong> ficheros<br />
mp3, jpg, etc.)<br />
En otras ocasiones no es tan s<strong>en</strong>cillo <strong>en</strong>contrar tal objetividad. Este es el caso<br />
por ejemplo <strong>de</strong> <strong>la</strong> auditorías técnicas intrusivas (test <strong>de</strong> intrusión, hacking ético,<br />
etc.). En esta tipología <strong>de</strong> auditorías hay que <strong>de</strong>cidir <strong>en</strong>tre buscar unos<br />
resultados homogéneos y su nivel <strong>de</strong> profundidad o <strong>de</strong>talle.<br />
En este s<strong>en</strong>tido, hay qui<strong>en</strong>es prefier<strong>en</strong> o buscan un grado <strong>de</strong> <strong>seguridad</strong> medio<br />
para toda su organización y hay qui<strong>en</strong>es prefier<strong>en</strong> buscar algo s<strong>en</strong>cillo para <strong>la</strong><br />
totalidad y algo profundo para sus aspectos más críticos.<br />
81