¿Has revisado tu nivel de seguridad? Utiliza las auditorías de sistemas

¿Has revisado tu nivel de seguridad? Utiliza las auditorías de sistemas

En muchas ocasiones, hemos argumentado que a la hora de implementar ciberseguridad en una organización primero, hay que ser consciente del nivel de seguridad existente en la empresa, y posteriormente, establecer qué nivel se ha de conseguir para garantizar la seguridad de los procesos más críticos. Para la consecución de tal fin, será necesario realizar auditorías que permitan analizar y evaluar la situación de los distintos elementos que conforman la organización, ya sean tecnológicos (sistemas, ordenadores, routers, etc.), o físicos (salas de servidores, control de acceso a diferentes instalaciones, etc.).

Además hay que tener en cuenta que estas auditorías deberán realizarse por personal cualificado, lo que sin duda conlleva mejorar la eficacia y eficiencia de todos los procesos de una empresa, y por consiguiente, mejorar su seguridad, es decir, que en ciertos momentos será necesario contar con servicios especializados de auditoría, como por ejemplo, a la hora de realizar auditorías de revisión de cumplimiento legal o normativo (RGPD, SGSI), o auditorías forenses, que se encargan de investigar lo ocurrido tras un incidente de grave de seguridad (brecha de datosbotnetransomware, etc.).

En todo caso, las auditorías de sistemas tendrán como finalidad obtener evidencias de cómo los sistemas de información de nuestra organización cumplen con los requisitos de seguridad. Estas evidencias servirán para analizar el estado actual en materia de seguridad de una empresa o como parte de un proceso de mejora continua.

¿Sabes qué tener en cuenta a la hora de implementar una política de auditorías?

A continuación se detallan una serie de controles que deberán tenerse en cuenta en nuestra política de seguridad de auditoría de sistemas.

En primer lugar, tendremos que detallar los elementos clave que queremos que sean auditados. Para poder llevar a cabo con éxito un proceso de auditoría es necesario identificar los elementos que son esenciales para el negocio y por lo tanto, que necesariamente deberán ser comprobados: ficheros, bases de datos, páginas web, equipos, programas, etc. Para cada uno de estos activos revisaremos si disponen de las siguientes medidas de seguridad:

  • sistemas antimalware,
  • procesos de gestión de permisos,
  • procesos de cumplimiento legal,
  • políticas de prevención de fraude y de fuga de datos,
  • sistema de actualizaciones,
  • sistemas de monitorización de recursos.

Es recomendable seleccionar un esquema de mejora continua o un modelo de madurez para garantizar que los resultados de las auditorías tengan como fin la implantación continua de mejoras en materia de ciberseguridad, y de la consecución de los diferentes niveles.

No podemos olvidarnos de revisar si tenemos que realizar auditorías legales necesarias para garantizar que en nuestra organización se cumplen los requerimientos legales, como por ejemplo el RGPD.

En el caso de que ocurra algún incidente de seguridad tendremos que realizar auditorías forenses para identificar cuáles han sido las causas. Con estas auditorías, se recaban evidencias para su posterior análisis, cuyo fin será depurar responsabilidades y en según qué caso, iniciar un proceso de denuncia.

Con todo lo anterior estableceremos los procedimientos adecuados en función del tipo de auditoría que necesitamos:

  • test de penetración,
  • auditoría de red,
  • auditoría de seguridad perimetral,
  • auditoría web,
  • auditoría forense,
  • auditoría legal.

Tendremos que definir con detalle tanto el procedimiento que se seguirá como el registro de logs. Además, habrá que concretar cómo registrar los resultados de las revisiones para realizar los correspondientes informes.

Planificaremos las auditorías de forma periódica. La finalidad de una auditoría es la revisión y evaluación de todos los aspectos relacionados con la seguridad de la información en nuestra organización. Por tanto, fijaremos la periodicidad de estas revisiones que deberán realizarse al menos con carácter bianual. Además, es necesario repetir estas auditorías tras la implantación de algún cambio significativo en los sistemas de la empresa. Esto es, que si tras un proceso de auditoría se ha implantado una medida que tiene relevancia para nuestro negocio, estableceremos un proceso que audite si esa medida cumple los objetivos y expectativas para los que fue impuesta.

Finalmente, analizaremos el resultado de la auditoría para buscar errores e identificar debilidades y puntos de mejora. Además, se deberán llevar a cabo las acciones necesarias a fin de corregir las vulnerabilidades detectadas y así:

  • identificar las causas y motivos del resultado desfavorable,
  • evaluar las medidas de seguridad,
  • implantar y revisar dichas medidas.

Seguro que no serán pocas las veces que nos hemos preguntado si contamos con el nivel de seguridad adecuado para proteger la información que manejamos en nuestra empresa u organización. Conocer este nivel de seguridad será el primer paso antes de diseñar e implantar cualquier medida de prevención o mitigación, y el método para obtener esta información será a través de una auditoría. Con una auditoría conocerás el estado de seguridad de tu negocio. Es un buen comienzo. ¿Tienes ya una política de auditorías de sistemas? Piensa en la seguridad, ¡protege tu empresa!

Close Popup

Utilizamos cookies propias y de terceros. Al hacer click en “Aceptar cookies” acepta que las cookies se guarden en su dispositivo para permitir un correcto funcionamiento de la web, analizar datos de uso, proveer funcionalidades mejoradas y personalizar anuncios en web de terceros. También puedes configurarlas o rechazar su uso clickando en “Configurar cookies”.

Close Popup
Privacy Settings saved!
Configuracion de Privacidad

Cuando visita cualquier sitio web, el mismo podría obtener o guardar información en su navegador, generalmente mediante el uso de cookies. Esta información puede ser sobre usted, sus preferencias o su dispositivo, y se usa principalmente para que el sitio funcione según lo esperado. Por lo general, la información no lo identifica directamente, pero puede proporcionarle una experiencia web más personalizada. Ya que respetamos su derecho a la privacidad, usted puede escoger no permitirnos usar ciertas cookies. Haga clic en los encabezados de cada categoría para saber más y cambiar nuestras configuraciones predeterminadas. Sin embargo, el bloqueo de algunos tipos de cookies puede afectar su experiencia en el sitio y los servicios que podemos ofrecer.


Cookies Estrictamente Necesarias
Estas cookies son necesarias para que el sitio web funcione correctamente y no se pueden desactivar. Están configuradas para adecuar la página web para cuestiones como recordar sus preferencias de privacidad, iniciar sesión o rellenar formularios. Puede configurar su navegador para bloquear o alertarle acerca de estas cookies, pero si lo hace puede ocasionar que algunas partes de la web no funcionen correctamente. Estas cookies no guardan ninguna información personal identificable.

Cookies de Preferencias
Estas cookies permiten que el sitio ofrezca una mejor funcionalidad y personalización. Pueden ser establecidas por nosotros o por terceras partes cuyos servicios hemos agregado a nuestras páginas. Si no permite estas cookies algunos de nuestros servicios podrían no funcionar correctamente.

Cookies para Publicidad de Terceros
Estas cookies son instaladas por nuestros socios publicitarios en diferentes partes del sitio. Se utilizan para elaborar un perfil sobre sus intereses y mostrarle anuncios relevantes en otros sitios de terceros. Solo almacenan información respecto al navegador y dispositivo que utiliza. Si no permite estas cookies, tendrá una publicidad menos dirigida.

Cookies Analíticas
Estas cookies nos permiten realizar un recuento de las visitas y fuentes de tráfico para poder medir y mejorar el funcionamiento de nuestro sitio. Nos ayudan a saber qué páginas son las más y menos populares, y comprobar cuántos usuarios navegan por el sitio web. Toda la información que recogen estas cookies está agregada y, por lo tanto, anónima. Si no permite estas cookies no podremos saber que visitó nuestro sitio y no podremos mejorarlo.

Rechazar todos los servicios
Save
Acepto todos los servicios
0:00
0:00