Cada vez más, las organizaciones están sometidas al riesgo tecnológico y sus consecuencias. Este riesgo tiene su origen en el continuo incremento de herramientas y aplicaciones tecnológicas de las que hacen uso. Su incursión en las organizaciones se debe a que la tecnología está siendo fin y medio de ataques debido a vulnerabilidades existentes causadas por medidas de protección inapropiadas y por el constante cambio tecnológico, factores que hacen cada vez más difícil mantener actualizadas esas medidas de seguridad.
Adicionalmente, el uso incorrecto de los recursos corporativos o la falta de concienciación es, en muchos casos, la mayor causa de las vulnerabilidades y riesgos a los que se exponen las organizaciones.
Así pues, la auditoría de seguridad puede definirse como la evaluación del nivel de conformidad en seguridad de una organización frente a los umbrales de cumplimiento establecidos por el marco de referencia elegido. Cuando no se alcancen dichos umbrales se registra una “no conformidad”, lo que en el caso de las auditorías de seguridad supone una vulnerabilidad técnica u organizativa que requerirá una acción correctora. Los marcos de referencia pueden proceder de distintos contextos, siendo los más habituales:
- Políticas y procedimientos de seguridad definidos en la organización.
- Políticas organizativas implantadas.
- Reglamentos y leyes de diferentes ámbitos (geográfico, sectorial, etc.).
- Códigos de buenas prácticas y estándares de adopción voluntaria.
En este sentido, existen varios tipos de auditorías de ciberseguridad:
- En función de su objeto:
- Test de penetración (o hacking ético): Se trata de una auditoría en la que se ponen a prueba las medidas de seguridad técnicas de una organización (por ejemplo: firewalls, IDS/IPS, etc.) de la misma manera que lo haría un potencial atacante para identificar debilidades o vulnerabilidades explotables que deben ser corregidas.
- Auditoría de red: Este proceso se centra en el análisis de la red telemática para identificar topologías débiles, equipos defectuosos, desactualizaciones en el software o cualquier tipo de recurso inseguro. Se revisan todos los dispositivos conectados a la red y se verifica la seguridad de los mismos (actualización de su firmware, firmas de antivirus, reglas de firewall, control de acceso a la red, segmentación de la red en VLANs, seguridad de las redes Wifi, etc.).
- Auditoría forense: Se realiza después de un ataque y su propósito es recopilar toda la información relacionada para determinar las causas que lo han producido, el alcance de los daños (sistemas y/o información afectada), así como las evidencias digitales que permitan aprender del mismo o emprender algún tipo de acción a modo de respuesta.
- Auditoría web: Este análisis identifica potenciales vulnerabilidades en aplicaciones web, diferenciando entre:
- Análisis estático (SAST): Se revisa el código buscando vulnerabilidades en el mismo.
- Análisis dinámico (DAST): Revisión en tiempo de ejecución de la aplicación sobre la propia web.
- En función de la metodología empleada:
- De cumplimiento: auditorías que verifican el cumplimiento de una ley o reglamento, de un determinado estándar de seguridad (ej. ISO 27001) o de las propias políticas y procedimientos internos de seguridad de la organización.
- Técnicas: auditorías o revisiones de seguridad técnica cuyo alcance está acotado a un sistema o sistemas informáticos objeto de la revisión.
- En función de quién las realice también pueden clasificarse como:
- Internas, cuando son realizadas por personal propio de la organización con o sin apoyo de personal externo.
- Externas (o de tercera parte) cuando son realizadas por personal independiente a la organización.
En este contexto, las auditorías de seguridad son básicas para todas las organizaciones, independientemente de su tamaño, ya que permiten detectar puntos débiles tanto a nivel físico (hardware), como lógico (software, sistemas de información e información) o referente al factor humano y siempre sirven para implementar un plan de mejora sobre las debilidades identificadas.
