MARCO PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
Edita: ISACA-Capítulo de Madrid (Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones)
Año: 2009 – 565 páginas
ISBN: 978-84-613-4128-3
www.isacamadrid.es
Con este propósito, el documento se estructura en torno a tres epígrafes temáticos: el primero recorre los aspectos generales de la auditoría de TI, determinando los alcances y responsabilidades de los auditores, considerando aspectos como la diligencia profesional, la documentación soporte de la auditoría, o las consideraciones por irregularidades; el segundo engloba las cuestiones relativas al soporte de gobierno de TI, ajustándose a las necesidades de una organización moderna, en la que todas las tecnologías deben estar vinculadas a las pautas razonables del negocio; y el tercer grupo hace referencia a controles técnicos de aplicación puntuales sobre las arquitecturas o esquemas que con frecuencia el auditor de TI encontrará en su ejercicio.
Siguiendo este esquema, la obra consta de tres epígrafes: “Estándares”, “Guías” y “Procedimientos”. Dentro del apartado de “Estándares” se revisan aspectos como el estatuto de auditoría, la independencia, la ética y las normas profesionales, la competencia profesional, planeación, labores de auditoría, reporte, actividades de seguimiento, e irregularidades y acciones ilegales, entre otros. En el segundo apartado se incluyen 39 guías con foco en ámbitos como el uso del trabajo de otros expertos o de técnicas de auditoría asistidas por ordenador; los requisitos de las evidencias de auditoría; la externalización de las actividades de los sistemas de información (SI); los conceptos relevantes para la auditoría de SI; el efecto de los controles generales de los SI, así como el de terceras partes en los controles de TI; la revisión de un plan de continuidad de negocio, o el control de accesos.
Finalmente, la tercera parte, dedicada a los “Procedimientos”, hace referencia a conceptos como la medición del análisis de riesgos en SSII, la firma digital y los métodos de gestión de claves, las metodologías de cifrado o el control de cambios en software de aplicación para el negocio, entre muchos otros.
SECURITY IN A WEB 2.0+ WORLD A Standards-Based Approach
Editorial: Wiley
Año: 2009 – 249 páginas
ISBN: 978-0-470-74575-5
www.wiley.com
Carlos Solari, con una destacada trayectoria profesional en instituciones del gobierno de los Estados Unidos, como CIO de la Casa Blanca y alto ejecutivo del FBI, aborda en estas páginas los problemas anejos a la seguridad digital en el contexto de la nueva era Web 2.0+, ofreciendo claves para realizar decisiones eficaces en política de seguridad, así como destinadas a los ingenieros encargados de diseñar sistemas TIC.
El autor defiende en este sentido las bondades del uso de nuevos estándares de seguridad (ISO/ITU), que permiten a los profesionales de este ámbito emplear un lenguaje común y a las compañías cotejar el nivel de madurez de sus soluciones de seguridad a partir del cumplimiento de las recomendaciones definidas por el estándar. En concreto, Solari propone utilizar el estándar ITU-T X.805, que fue introducido por Bell Labs (Alcatel- Lucent) en el año 2003.
El libro establece el punto de partida para una aproximación basada en estándares en el diseño de seguridad, orientada por factores varios que incluyen la protección de sistemas complejos de información y comunicación; y la necesidad de llevar la seguridad al desarrollo de productos y a la mejor aplicación de los fundamentos de la seguridad para conseguir un óptimo retorno de la inversión.
UNAUTHORISED ACCESS Physical Penetration Testing For IT Security Teams
Editorial: Wiley
Año: 2009 – 287 páginas
ISBN: 978-0-470-74761-2
www.wiley.com
En este sentido, recorre en su libro el ciclo de vida de este tipo de ensayos de forma completa: desde la planificación y la gestión del proyecto, así como la progresión de las diferentes etapas de ejecución, aportando información en campos como la ingeniería social, el hacking de redes inalámbricas, las herramientas de apertura (lock picking), y el equipamiento necesario para realizar pruebas de penetración (dónde conseguirlo y cómo utilizarlo), además de algunos casos reales procedentes de la experiencia personal del autor; todos aquellos escenarios que una política de seguridad debería cubrir, y cómo minimizar los riesgos de ser víctima de fugas de información, ingeniería social y vigilancia electrónica.
Además, la obra contiene cinco apéndices que proporcionan referencias legales para los profesionales que lleven a cabo este tipo de pruebas en Estados Unidos, el Reino Unido y el resto de la Unión Europea, los diferentes términos empleados en Estados Unidos y el Reino Unido dentro de este campo, y las diversas pruebas a realizar, así como las que se deben exigir a un profesional en la materia antes de contratarle.
