Pasar al contenido principal

Auditorías de Ciberseguridad

¿Qué es?

Una auditoría de ciberseguridad es un estudio metódico y planificado de los sistemas informáticos de una empresa con el objetivo de evaluar las medidas de protección que existen en la compañía, descubrir vulnerabilidades o posibles deficiencias de seguridad e identificar las tareas que se han de abordar para aumentar la protección de los sistemas de información analizados.

¿Qué beneficios aporta una auditoría de ciberseguridad?

A la vez que la tecnología actual nos ofrece múltiples ventajas, también acarrea problemas en cuanto a exposición de los recursos de una entidad, es por ello que las amenazas en cuanto a seguridad y privacidad de la información han aumentado considerablemente en los últimos años. Por ello, las auditorías de ciberseguridad no son una actividad exclusiva de grandes empresas, y que, dependiendo de los recursos necesarios para llevarla a cabo, de las características de la empresa, su tamaño y la configuración de los sistemas a proteger, debe ser aplicable a cualquier entidad.

Una auditoría permite saber periódicamente el estado de seguridad de los sistemas de una empresa u organización por medio de un diagnóstico global de la infraestructura tecnológica, que permite conocer el riego real al que la entidad está expuesta.

Sin conocer las posibles vulnerabilidades por las que un agente externo malicioso puede entrar en una entidad, no se pueden tomar medidas de corrección para proteger el negocio. Además, se puede añadir que si por medio de estas auditorías periódicas, se evita que una empresa sea víctima de un incidente de ciberseguridad, su imagen de marca saldrá fortalecida.

Tipos de auditorías

Antes de entrar en los tipos de auditorías, hay que reseñar los marcos y metodologías actuales en las que están comprendidas. Dentro de la familia de normas recogidas en ISO / IEC 27000, se encuentra la ISO 27001, actualmente el principal referente para garantizar las buenas prácticas en la seguridad de la información en las empresas a nivel mundial. Para complementarla está la norma ISO 27002 que cubre el vacío que deja la primera en cuanto a implementación de controles en materia de ciberseguridad y cuyo objetivo es hacer frente de una forma efectiva al cibercrimen.

Para obtener un buen informe de auditoría, este debe responder a los principios establecidos en la ISO 27014, que deberá contestar a los seis principios de gobierno de la seguridad de la información que son:

  1. Establecer seguridad de la información en toda la empresa.
  2. Seguir un enfoque basado en el riesgo
  3. Establecer la dirección de las decisiones de inversión
  4. Confirmar el cumplimento de los requisitos externos e internos.
  5. Promover un ambiente de seguridad positiva.
  6. Evidenciar el rendimiento en relación con los resultados del negocio.

Por otra parte, la norma ISO 19011, establece las fases de toda auditoría, planificar, hacer, verificar, actuar. Los programas de estas y la forma de realizarlas. También apunta que las evidencias y la recopilación de información que estas auditorías aporten debe ser información relevante que sea verificable, que siempre deben quedar registradas y basarse en información disponible.

Tomando como base esta última norma podemos establecer los siguientes tipos de auditorías:

  • En función de quién las realice:
    • Internas: las realiza personal propio de la organización, para proporcionar una seguridad tanto para la consecución de los objetivos de la empresa como para proteger los recursos de la misma.
    • Externas: realizadas por personal externo a la organización e independiente, generalmente una empresa externa especializada subcontratada por otra. Suelen ser las más habituales.
    • Auditorías de certificación, que a su vez se dividen en:
  • Inicial: Para obtener una certificación ISO
  • De seguimiento: Se usan para comprobar que una entidad cumple los requisitos de una norma.
  • De renovación: Tras un periodo de tiempo prolongado, se usa para comprobar que una empresa o entidad sigue cumpliendo con una norma.
  • Extraordinaria: Se usa para comprobar que los incumplimientos detectados en cualquiera de las auditorias anteriores, se han corregido.
  • Según el objeto de la auditoría
  • Legales: Para saber si una entidad cumple ciertas normas legales.
  • De producto o servicio: Se usan para saber si productos de la compañía cumplen con las normas.
  • De proceso: Evaluar los procesos de una compañía para saber si cumplen la norma.
  • De sistema de gestión: Comprueba si se cumple la norma en cuanto a los sistemas de gestión. Según la metodología empleada:
    • De cumplimiento: auditorías para verificar el cumplimiento normativo o la adecuación a un determinado estándar de seguridad.
    • Técnicas: auditorías de seguridad técnica en las que el objetivo son los sistemas informáticos, sus vulnerabilidades y deficiencias.
  • Según sus objetivos, las auditorías técnicas pueden ser:
    • Forense: El objetivo es recopilar todos los indicadores e información de un incidente de seguridad para poder determinar el origen, el alcance y las medidas de contención y erradicación a aplicar.
    • Aplicaciones Web: se buscan potenciales vulnerabilidades o brechas de seguridad que podrían ser explotadas por atacantes.
    • Hacking ético o test de intrusión: se trata de auditar las medidas de seguridad perimetral de una organización con el objetivo de encontrar posibles vulnerabilidades o vectores de entrada que podría ser utilizado por un potencial atacante.
    • Control de acceso físico: se analizan las medidas de seguridad físicas de una organización (cámaras, mecanismos de aperturas de puertas, …)
    • Red: se auditan los dispositivos que gestionan la red corporativa y se verifica la seguridad de estos (medidas de seguridad perimetrales, redes privadas virtuales, seguridad de las redes Wifi, ...)

Por último, debemos añadir que existen diferentes marcos de ciberseguridad específicos desarrollados por entidades públicas y privadas que el auditor debe conocer y aplicar a la hora de realizar las auditorías, podemos poner como ejemplo OWASP (enfocado en las auditorías hacía aplicativos Web), PCI DSS (enfocados en entidades que utilicen tarjetas de pago), de cumplimiento normativo (Esquema nacional de seguridad),…

Metodología de trabajo para una correcta realización de auditoría

Para llevar a cabo una auditoría de ciberseguridad de manera metódica y ordenada y que arroje resultados de valor, se deben tener en cuenta una serie de puntos básicos o pasos en el desarrollo:

  1. Definición del alcance y los objetivos de la Auditoría de Seguridad
  2. Estudio inicial del entorno a auditar
  3. Establecimiento de los recursos para la realización de la auditoría
  4. Elaboración de un plan y programa de trabajo
  5. Realización de la auditoría según el plan fijado.
  6. Recopilación de resultados y redacción de informe final.

¿Dónde recibir asesoramiento o contratar la elaboración de una auditoría de Ciberseguridad?

Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.

Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco