5.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoría de redes.

Para determinar el nivel de aplicación de una norma en la auditoría de redes, se deben considerar varios factores, como el tipo de red, el sector de la industria y los requisitos específicos de cumplimiento. A continuación, se presenta un ejemplo de una norma comúnmente utilizada en la auditoría de redes y cómo se puede aplicar: Norma: ISO 27001 (Sistemas de gestión de seguridad de la información) Nivel de aplicación: Alto La norma ISO 27001 establece un marco para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) en una organización. En el contexto de la auditoría de redes, la norma ISO 27001 se puede aplicar para evaluar y auditar la seguridad de la red y los sistemas de información asociados. La aplicación de la norma ISO 27001 en la auditoría de redes puede involucrar los siguientes aspectos:

Evaluación de riesgos: La norma ISO 27001 requiere una evaluación de riesgos para identificar las amenazas y vulnerabilidades que podrían afectar la seguridad de la red. Durante la auditoría, se evaluará si la organización ha realizado una evaluación de riesgos adecuada y si ha implementado las medidas de seguridad necesarias para mitigar los riesgos identificados.

Políticas y procedimientos de seguridad: La norma ISO 27001 establece la necesidad de contar con políticas y procedimientos de seguridad de la información documentados. Durante la auditoría, se revisarán estas políticas y procedimientos para determinar si están implementados correctamente y si cumplen con los requisitos de la norma.

Controles de seguridad: La norma ISO 27001 proporciona un conjunto de controles de seguridad que deben implementarse para proteger la información y los activos de la organización. Durante la auditoría, se verificará si la organización ha implementado adecuadamente estos controles de seguridad en la red, como controles de acceso, encriptación, gestión de parches, detección de intrusiones, entre otros.

Gestión de incidentes: La norma ISO 27001 también exige la implementación de un proceso de gestión de incidentes de seguridad. Durante la auditoría, se evaluará si la organización tiene un proceso establecido para la detección, respuesta y resolución de incidentes de seguridad en la red.

Referencias Bibliograficas

Título: "Auditoría de Redes y Telecomunicaciones: Un Enfoque Práctico" Autor: Eduardo Márquez D'Olivo Editorial: Universidad de Sevilla Año de publicación: 2019