Auditoría de seguridad informática

Algo certero en la actualidad es que las empresas cada día manejan sistemas informáticos más complejos, con muchas más funciones y esto los hace a su vez más difíciles de controlar. Por ello es recomendable que, para poder conocer a ciencia cierta cuáles son los fallos que puede presentar el sistema y evitar consecuencias indeseables, se realice una auditoría de seguridad informática.

Estas auditorías son muy útiles para conocer en qué condiciones exactamente se encuentran los activos de información con respecto a protección, control y medidas de seguridad.

Debido a lo relevante que resulta para empresas, te hablaremos de qué es una auditoría de seguridad informática, para qué se realizan, cómo se hacen, cuáles son los tipos que existen y, además, te daremos ejemplos de algunas auditorías.

¿Qué es una auditoría de seguridad informática?

La definición de auditoría de seguridad informática o también llamada auditoría de seguridad de sistemas de información (SI), indica que corresponde al estudio que incluye análisis y gestión de todos los sistemas informáticos de una empresa. Es realizado por profesionales externos a la empresa que pueden identificar, enumerar y descubrir las vulnerabilidades que pueden tener los servidores, puestos de trabajo, seguridad de acceso remoto y redes informáticas dentro de su funcionamiento rutinario en la empresa.

Cuando tienen los resultados, los plasman, archivan y reportan en informes detalladamente, dirigidos a los responsables, para que establezcan las medidas preventivas de refuerzo o corrección a través de procesos secuenciales que logren mejorar la seguridad de los sistemas, aprendiendo de los errores cometidos anteriormente.

¿Para qué se realizan auditorías de seguridad informática?

La finalidad de una auditoría de seguridad informática es evaluar los sistemas informáticos para detectar errores y fallos, para presentarlos en un informe detallado que se le entregará al responsable de los sistemas informáticos. En ese informe se describe los equipos y procedimientos instalados, servidores, programas, sistemas operativos, análisis de seguridad en los equipos y la red, análisis de la eficiencia de los sistemas y programas informáticos, gestión de los sistemas instalados, verificación del cumplimiento de la Normativa vigente LOPD y las vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores.

Es necesaria para empresas que se dedican a la prestación de servicios externos, como Cloud Computing, Servidores Web, Servidores de Correo Electrónico, FTP o conexiones VPN, los cuales, si no se encuentran bien configurados, podrían abrir las puertas al sistema de la empresa.

¿Cómo hacer una auditoría de seguridad informática?

Para que una auditoría de seguridad informática pueda ofrecer soluciones que consigan incrementar la eficiencia, rentabilidad y tranquilidad de los equipos de gestión, los especialistas deben seguir los pasos que listamos a continuación:

1. Enumerar los servicios que se vayan a auditar.
2. Verificar el cumplimiento de estándares de calidad y normas de control.
3. Verificar el estado de las redes de comunicación.
4. Identificar los softwares, hardwares y sistemas operativos instalados.
5. Actualizar los diferentes softwares de gestión.
6. Analizar los servicios y aplicaciones instalados.
7. Verificar el funcionamiento de los dispositivos fijos y móviles.
8. Comprobar y evaluar las vulnerabilidades detectadas.
9. Estudiar las oportunidades de mejora del rendimiento a través de nuevas herramientas.
10. Corregir con medidas específicas, teniendo en cuenta los protocolos de acción ante contingencias, amenazas y ataques delictivos.
11. Implantar medidas preventivas, estableciendo planes de contingencia ante eventualidades que pongan en riesgo el sistema.
12. Capacitar al personal en el uso de la tecnología.

¿Qué hace un auditor de seguridad informática?

Un auditor de seguridad es una persona que cuenta con un amplio conocimiento de las tecnologías de la información y la comunicación (TIC) y de la legislación, Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y la normativa derivada de ella. Este se encarga de comprobar que todas las medidas de seguridad y control de los sistemas informáticos empleados en la empresa estén acordes a la normativa desarrollada expresamente para la protección de datos. Además, identifica las deficiencias y da propuestas para tomar las medidas correctivas o complementarias.

Otro punto importante es que el auditor debe comprometerse a guardar confidencialidad de todo lo que vea, y no debe auditar empresas con las que tenga algún tipo de relación, sea comercial, familiar o cualquier otra.

De forma global, el auditor cumple con dos tareas principales, correspondientes a la verificación del sistema de protección de datos mediante los procedimientos usados para manipularlos y la verificación de la seguridad de los sistemas lógicos como los softwares y los físicos, como los hardwares, equipos, local, etc.

La dificultad para que el auditor lleve a cabo sus tareas depende de las características propias de cada sistema (número de usuarios, plataforma de trabajo, cantidad de registros). Sin embargo, las tareas son las mismas para cualquier sistema de información, y pueden desglosarse como a continuación:

• Verificar que se cumpla la legislación aplicable en el ámbito informático, protección de datos personales, correo electrónico, proveedores de servicios de certificación, etc.
• Verificar la correcta realización y aplicación de los procedimientos requeridos por el sistema de protección de datos que solicita la normativa.
• Comprobar que se han notificado los ficheros que se tengan a la Agencia de Protección de Datos.
• Verificar la asignación del nivel de seguridad del sistema de información en relación con los datos que almacena.
• Comprobar la correcta elaboración e implantación del documento de seguridad, donde de acuerdo con la normativa, las normas de seguridad deben estar incluidas, como las peticiones de acceso, rectificación o cancelación de datos.
• Verificar que se informe y se pida autorización a las personas para ceder los datos a la empresa.
• Comprobar que se realice la comunicación de los datos a terceras personas físicas o jurídicas, regulando la forma en la que se hace.
• Verificar que el registro de incidencias producidas en el sistema de información de la empresa se mantenga al día, para así llevar control de las personas que piden que se les borre de la base de datos, si solicita consultar sus datos o los quiere modificar.
• Verificar que el sistema de información organizado por la empresa garantice la seguridad e integridad de los datos, que sean inalterables, para impedir que se pierdan, que posteriormente puedan ser tratados en particular, etc.
• Contrastar la situación de la empresa auditada con la jurisprudencia de las sanciones aplicadas por las Agencias de Protección de Datos.

Tipos de auditoría de seguridad informática

Los servicios de auditoría de seguridad informática pueden ser de distinta índole, dependiendo de quién las realice, la metodología empleada y el objetivo que tengan, por ello te mencionamos los tipos existentes:

Auditoría interna

Con esta auditoría lo que se quiere es comparar el nivel de seguridad y privacidad de las redes locales con las corporativas internas, son realizadas por personal propio de la empresa y pueden o no tener apoyo de personas externas.

Auditoría externa

Tienen el mismo objetivo que una auditoría interna, pero son realizadas por personal externo e independiente a la empresa.

Auditoría técnica

Estas van limitadas a revisar la seguridad técnica de un sistema o sistemas informáticos objetivos.

Auditoría forense

Es ideal para analizar un sistema después de que haya ocurrido un incidente de seguridad informática, para así poder recopilar toda la información asociada al incidente y reconstruir la forma en que lograron acceder al sistema, valorando los daños ocasionados y las evidencias digitales de este. Si el ataque ha causado daños a tal punto de dejar inoperativo el sistema, entonces el análisis se denomina post mortem.

Auditoría web

Su objetivo es conocer la seguridad de las aplicaciones y servicios web que permiten descubrir cualquier fallo que haya ocurrido en la implementación de estos, así como también sus propiedades, para adelantarse a posibles riesgos y optimizar la seguridad.

Algunos análisis que se diferencian dentro de este tipo de auditorías son: el análisis dinámico de la aplicación (DAST por sus siglas en inglés, Dynamic Application Security Testing), que revisa en tiempo real la ejecución de la aplicación sobre la propia web; y el análisis estático de la aplicación (SAST por sus siglas en inglés, Static Application Security Testing), donde buscan posibles vulnerabilidades en el código.

Auditoría de código

Esta auditoría se refiere a pruebas de calidad realizadas a aplicaciones informáticas a nivel de código fuente, independientemente del lenguaje empleado, para conocer e identificar posibles vulnerabilidades dentro de cualquier tipo de software, no solo frente a ataques informáticos, sino también ante el propio incremento en la demanda que la actividad que realiza al software.

Auditoría física

Va destinada a proteger el exterior de la zona perimetral de una empresa, para asegurar el correcto funcionamiento del entorno de sistema de seguridad, conformado por los controles físicos de entrada, cámaras de seguridad, sistemas de incendios, climatización, protección de riesgos laborales, instalaciones de suministro eléctrico, agua y gas, etc.

Ejemplos de auditoría de seguridad informática

Las auditorías se realizan basándose en un patrón o conjunto de directrices de buenas prácticas sugeridas. Algunos ejemplos con estándares de seguridad para auditorías de seguridad informática son:

• COBIT (Objetivos de Control de la Tecnológica de la Información), es un estándar que, dentro de los objetivos definidos como parámetro, se encuentra el «Garantizar la Seguridad de los Sistemas».
• ISO 17799 (Norma internacional que da recomendaciones para realizar la gestión de la seguridad de la información).
• Norma ISO 27001, define los requisitos de auditoría y sistemas de gestión de seguridad.
• Norma ISO 27002 (Código de buenas prácticas), conformado como un código internacional de buenas prácticas de seguridad de la información. Puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información.
• ISO 27007 (Guía para auditar un Sistema de Gestión de Seguridad Informática).
• ISACA (Asociación de Auditoría y Control de Sistemas de Información).
• ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información), es un estándar mundial la Gestión de Servicios Informáticos, de mucha utilidad en las organizaciones en todos los sectores para consulta, educación y soporte de herramientas de software, de libre utilización.

Como ves, las auditorías de seguridad informática tienen muchas ventajas, y es que son tan relevantes en la actualidad debido a los grandes avances en la tecnología que a su vez implican una mayor exposición a amenazas que pueden poner en peligro la privacidad y seguridad de nuestra información, e incluso las de nuestras empresas.

Las auditorías permiten que estés prevenido, pues conocerás periódicamente el estado de seguridad de tus sistemas. Por ello, si te gustaría poner fin a los problemas informáticos constantes de tu negocio y tienes la idea de hacer auditoría informática en tu empresa, no lo pienses más y contrata a personal experto.