¿Cuáles son las razones que indican que deberías hacer una auditoría de seguridad informática en tu empresa?

La pandemia ocasionada por el Coronavirus, no solamente ha impactado de forma notable en el ámbito sanitario, económico y social; sino que también ha presentado un desafío importante para la ciberseguridad.

Las restricciones de movilidad y las medidas adoptadas de confinamiento domiciliario a las que ha sido sometida la población, han obligado a muchas organizaciones a implantar la digitalización de sus entornos con gran rapidez y a adoptar el teletrabajo como principal vía para mantener la continuidad del negocio de la empresa.

En un escenario como este, el 62% de las empresas reconoce que su infraestructura informática ha sufrido más ataques desde el inicio de la pandemia.

Los sistemas informáticos que emplean las organizaciones son cada vez más complejos, cargados con muchas más funcionalidades y, por consiguiente, mucho más difíciles de controlar eficientemente.

De esta situación se desprende que, en ciertas situaciones, pueda resultar recomendable optar por la realización de una Auditoría de Seguridad Informática para conocer con exactitud cuáles pueden ser los potenciales fallos que podría experimentar nuestro sistema e implementar los planes necesarios para evitar consecuencias no deseadas.

Entonces, ¿En qué consiste una auditoría de seguridad informática?

Una auditoría de seguridad informática consiste en todos los estudios, valoraciones y revisiones puestas en marcha con el objetivo de comprender la estructura de los sistemas informáticos de la empresa, su alcance y el modelo de gestión que los controla.

Suele ser un servicio llevado que la empresa externaliza, dejándolo en manos de profesionales externos a la empresa, y tiene como finalidad descubrir vulnerabilidades potenciales en la arquitectura sometida a evaluación, a través de revisiones exhaustivas a nivel de software, redes de comunicación, servidores, estaciones de trabajo, dispositivos móviles y un largo etcétera.

Es, en esencia, una evaluación de los sistemas informáticos en uso por la empresa con el fin de detectar errores y fallas, para, a partir de allí, preparar un informe detallado que se entrega a los responsables del área de informática de la empresa, o directamente a sus propietarios según sea.

Dicho informe recoge información acerca de:

• Equipos instalados, servidores, programas, sistemas operativos.
• Análisis de procedimientos en marcha.
• Análisis de seguridad en los equipos y en la red.
• Análisis de eficiencia de los sistemas informáticos y las herramientas en uso.
• Modelo de gestión empleado en los sistemas instalados.
• Verificación del cumplimiento de la normativa vigente en términos de protección de datos de carácter personal.
• Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores.

¿Cómo se realiza una auditoría de seguridad informática?

Por norma general, suelen seguirse los siguientes pasos a la hora de realizar una auditoría de seguridad informática:

• Establecer con claridad los servicios que se vayan a auditar.
• Verificar que se cumplan los estándares de calidad y normas de control establecidos para el sector o modelo de negocio.
• Identificar y enumerar el software, hardware y sistemas operativos que actualmente se encuentran instalados en los equipos de la organización.
• Análisis igualmente integral de los servicios y aplicaciones instalados.
• Valorar y comprobar las vulnerabilidades o fallos que hayan podido ser detectados.
• Definición e implantación de las medidas específicas de corrección.
• Definición e implantación de las medidas preventivas correspondientes para evitar o prevenir fallos potenciales.

Más allá del equipamiento, ¿qué otras áreas deberían ser analizadas durante una auditoría informática?

Tomando como punto de partida que el factor equipamiento (software y hardware) es de vital importancia durante una auditoría de este tipo, es de hacer notar que también deben realizarse áreas como:

• La eficiencia con que se está dando uso a los sistemas y programas informáticos dentro de la organización,
• el modelo de gestión que se utiliza para los sistemas instalados y
• la existencia o no de un protocolo de seguridad, es decir, de un procedimiento de acción específico y detallado para hacer frente a una amenaza de carácter tecnológico.
• Si existiera dicho protocolo, deberá analizarse la idoneidad de las medidas propuestas ante las amenazas potenciales que puede sufrir la arquitectura informática de la empresa.

¿Qué tipos de auditorías de seguridad informática existen?

Referidas al sector informático, las auditorías de seguridad pueden clasificarse en los siguientes tipos:

a.- Auditoría forense

Se refieren a las auditorías realizadas luego de un incidente de seguridad y que tienen como objetivo la identificación y recopilación de evidencias digitales que permitan establecer con claridad las causas que han generado dicho incidente.

b.- Auditorías web

Son auditorías que están específicamente destinadas a conocer y verificar la seguridad de servicios web y aplicaciones informáticas de manera que nos permitan descubrir cualquier tipo de fallo que pueda haber ocurrido durante la implantación de los mismos.

c.- Auditorías de código

La totalidad de aplicaciones y herramientas informáticas funcionan en base a programas que se escriben con “líneas de código”, es decir, cadenas específicas de comandos para que estas aplicaciones y herramientas devuelvan respuestas específicas.

Las auditorías de código están específicamente dirigidas a revisar y verificar la calidad del código que las genera, y detectar en dichas “líneas de código” cualquier tipo de vulnerabilidades en cualquier tipo de software.

Son pruebas de calidad sobre aplicaciones informáticas a nivel de código fuente.

d.- Hacking ético.

La única manera de comprobar que las medidas de seguridad implementadas en cualquier tipo de arquitectura informática son eficientes, es poniendo a prueba dicha estructura.

Con ese fin se realiza el “Hacking Ético”, es decir, un tipo de hacking que realiza potentes test de intrusión en los sistemas analizados, intentando utilizar las mismas técnicas y herramientas de hacking que los ciberdelincuentes para de esta manera poner a prueba la seguridad informática.

e.- Análisis de vulnerabilidades

Es un tipo de auditoría que centra su atención no sólo en detectar los posibles agujeros de seguridad y vulnerabilidades que puedan existir en las aplicaciones informáticas, sino que también se encargará de testear la robustez de las contraseñas utilizadas por los usuarios del sistema.

f.- Auditorías físicas

Se refiere específicamente a auditorías centradas en el equipamiento físico utilizado en las organizaciones para garantizar la seguridad de sus instalaciones, consecuentemente, la seguridad de su estructura informática. Toma en cuenta temas como la instalación y uso de cámaras de seguridad, controles físicos de entrada, sistemas contra incendios, climatización, protección de riesgos laborales, instalaciones de suministro eléctrico redundantes, etc.

g.- Auditorías de redes

La seguridad de las redes informáticas debería ser de una altísima prioridad para todas las organizaciones, entendiendo que internet está plagado de ciberdelincuentes cuyo único objetivo es realizar ataques externos a empresas de todo tipo con el fin de tener acceso a la información que dichas empresas manejan.

La auditoría de redes se centra, primeramente, en hacer un mapa completo de la red para identificar todos los dispositivos conectados a la misma.

Luego se procederá a verificar las actualizaciones de firmware, firmas de antivirus, se realizarán comprobaciones de las reglas que controlan los firewalls de la organización, así como implementar un filtrado por dirección MAC, VLANS para segregar el tráfico (DMZ), implementar del protocolo 802.1X (servidor RADIUS) para redes wifi y utilización de VPNs para determinados servidores y equipos.

Son muchos los beneficios que recibimos de las nuevas tecnologías. De la misma manera, todos estos beneficios implican una mayor exposición a amenazas que pueden poner en peligro la privacidad y seguridad de la información que nos ha sido encomendada.

De ahí la importancia que tiene la auditoría de seguridad informática y de la actualización periódica de sus parámetros, ya que nos permitirá saber en todo momento el estado de seguridad de los sistemas en nuestra organización.

Entre muchos otros, las auditorías de seguridad informática ofrece los siguientes beneficios:

• Permiten reducir el impacto potencial de una incidencia, una vez identificados los riesgos y vulnerabilidades de la organización.
• Ofrecen mayores garantías y niveles de seguridad para su negocio.
• Mejoran la imagen externa de su empresa, al garantizar que toda información sensible es manejada de forma cuidadosa y segura.
• Permiten que la empresa conozca en detalle su estructura informática, la gestione eficientemente y, además, implementen las acciones necesarias para garantizar la seguridad del entorno.