En muchas ocasiones, hemos argumentado que a la hora de implementar ciberseguridad en una organización primero, hay que ser consciente del nivel de seguridad existente en la empresa, y posteriormente, establecer qué nivel se ha de conseguir para garantizar la seguridad de los procesos más críticos. Para la consecución de tal fin, será necesario realizar auditorías que permitan analizar y evaluar la situación de los distintos elementos que conforman la organización, ya sean tecnológicos (sistemas, ordenadores, routers, etc.), o físicos (salas de servidores, control de acceso a diferentes instalaciones, etc.).
Además hay que tener en cuenta que estas auditorías deberán realizarse por personal cualificado, lo que sin duda conlleva mejorar la eficacia y eficiencia de todos los procesos de una empresa, y por consiguiente, mejorar su seguridad, es decir, que en ciertos momentos será necesario contar con servicios especializados de auditoría, como por ejemplo, a la hora de realizar auditorías de revisión de cumplimiento legal o normativo (RGPD, SGSI), o auditorías forenses, que se encargan de investigar lo ocurrido tras un incidente de grave de seguridad (brecha de datos, botnet, ransomware, etc.).
En todo caso, las auditorías de sistemas tendrán como finalidad obtener evidencias de cómo los sistemas de información de nuestra organización cumplen con los requisitos de seguridad. Estas evidencias servirán para analizar el estado actual en materia de seguridad de una empresa o como parte de un proceso de mejora continua.
¿Sabes qué tener en cuenta a la hora de implementar una política de auditorías?
A continuación se detallan una serie de controles que deberán tenerse en cuenta en nuestra política de seguridad de auditoría de sistemas.
En primer lugar, tendremos que detallar los elementos clave que queremos que sean auditados. Para poder llevar a cabo con éxito un proceso de auditoría es necesario identificar los elementos que son esenciales para el negocio y por lo tanto, que necesariamente deberán ser comprobados: ficheros, bases de datos, páginas web, equipos, programas, etc. Para cada uno de estos activos revisaremos si disponen de las siguientes medidas de seguridad:
- sistemas antimalware,
- procesos de gestión de permisos,
- procesos de cumplimiento legal,
- políticas de prevención de fraude y de fuga de datos,
- sistema de actualizaciones,
- sistemas de monitorización de recursos.
Es recomendable seleccionar un esquema de mejora continua o un modelo de madurez para garantizar que los resultados de las auditorías tengan como fin la implantación continua de mejoras en materia de ciberseguridad, y de la consecución de los diferentes niveles.
No podemos olvidarnos de revisar si tenemos que realizar auditorías legales necesarias para garantizar que en nuestra organización se cumplen los requerimientos legales, como por ejemplo el RGPD.
En el caso de que ocurra algún incidente de seguridad tendremos que realizar auditorías forenses para identificar cuáles han sido las causas. Con estas auditorías, se recaban evidencias para su posterior análisis, cuyo fin será depurar responsabilidades y en según qué caso, iniciar un proceso de denuncia.
Con todo lo anterior estableceremos los procedimientos adecuados en función del tipo de auditoría que necesitamos:
- test de penetración,
- auditoría de red,
- auditoría de seguridad perimetral,
- auditoría web,
- auditoría forense,
- auditoría legal.
Tendremos que definir con detalle tanto el procedimiento que se seguirá como el registro de logs. Además, habrá que concretar cómo registrar los resultados de las revisiones para realizar los correspondientes informes.
Planificaremos las auditorías de forma periódica. La finalidad de una auditoría es la revisión y evaluación de todos los aspectos relacionados con la seguridad de la información en nuestra organización. Por tanto, fijaremos la periodicidad de estas revisiones que deberán realizarse al menos con carácter bianual. Además, es necesario repetir estas auditorías tras la implantación de algún cambio significativo en los sistemas de la empresa. Esto es, que si tras un proceso de auditoría se ha implantado una medida que tiene relevancia para nuestro negocio, estableceremos un proceso que audite si esa medida cumple los objetivos y expectativas para los que fue impuesta.
Finalmente, analizaremos el resultado de la auditoría para buscar errores e identificar debilidades y puntos de mejora. Además, se deberán llevar a cabo las acciones necesarias a fin de corregir las vulnerabilidades detectadas y así:
- identificar las causas y motivos del resultado desfavorable,
- evaluar las medidas de seguridad,
- implantar y revisar dichas medidas.
Seguro que no serán pocas las veces que nos hemos preguntado si contamos con el nivel de seguridad adecuado para proteger la información que manejamos en nuestra empresa u organización. Conocer este nivel de seguridad será el primer paso antes de diseñar e implantar cualquier medida de prevención o mitigación, y el método para obtener esta información será a través de una auditoría. Con una auditoría conocerás el estado de seguridad de tu negocio. Es un buen comienzo. ¿Tienes ya una política de auditorías de sistemas? Piensa en la seguridad, ¡protege tu empresa!