La auditoría en ciberseguridad es una revisión de los controles de seguridad, políticas y procedimientos de una organización, cuyos objetivos se enfocan en la tríada CID. Se puede decir que hay dos tipos de auditorías, la interna, que hacen los miembros del equipo interno de una organización, y el externo, en donde se contrata a una empresa experta para realizar el proceso de auditoría para dar un certificado según la norma aplicada.
Para realizar una auditoría se deben mantener los registros de los recursos y servicios a los que los usuarios acceden o de lo que hicieron cuando usaban sus sistemas.
La Auditoría siempre debe ir configurada los objetivos y políticas de una empresa, pues esto dará una visión real de en donde nos encontramos y si estamos cumpliendo con lo estipulado para llegar a nuestra meta, como puede ser un buen sistema de gestión de la seguridad de la información (SGSI).
¿Para qué sirve una auditoría en ciberseguridad?
La idea de una auditoría va encaminada al cumplimiento normativo establecido por una empresa, es decir, que la auditoría es un proceso para verificar que todas las políticas de seguridad de la industria y de la organización se estén cumpliendo.
¿Qué pasa si no se está cumpliendo alguna política? Esto también es parte de la auditoría, el encontrar las fallas existentes para mejorar la postura de seguridad de una organización, así como evitar las multas de agencias reguladoras por la falta del cumplimiento normativo.
Aunque no vamos a entrar en detalles, es seguro que encontrarán fallas que se pueden clasificar en bajo, medio o alto riesgo, según la manera en como comprometan estas los activos de una empresa.
Que busca la auditoría interna y externa
En el caso de una auditoría interna, se buscan los siguientes puntos:
- Identificar el riesgo organizacional
- Evaluar los controles de seguridad
- Corregir problemas de cumplimiento
En el concentrado final de una auditoría interna de ciberseguridad, se deben encontrar los siguientes datos:
- Alcance y objetivos de auditoría
- Riesgos existentes en la organización y su urgencia en ser atendidos (Indicados en tiempo)
- Muestra el cumplimiento normativo que se debe seguir
- Provee recomendaciones concretas para mejorar la postura de seguridad
Lo cuál es distinto en el objetivo de una auditoría externa, la cuál busca comprobar que una empresa cumpla con las normas de seguridad establecidas.
Por ejemplo, si hablamos de un banco, la institución bancaria debe garantizar que tu información personal confidencial está siendo protegida con los procesos mínimos necesarios. Una manera de demostrar que está cumpliendo con estos procesos, es mediante la certificación de una empresa externa. Incluso en la mayoría de los países, se requieren de estas certificaciones para poder operar y cumplir con la ley.
¿Cómo se hace una auditoría?
Las auditorías internas se realizan por un equipo de la organización que puede incluir al gerente de seguridad, al compliance, etc. pero también se pueden llevar a cabo por empresas externas que son expertas en el cumplimiento de este tipo de normas.
Por ejemplo, la norma ISO 27001 es una norma que compete a la “implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI)”.
¿Cuáles son los componentes de una auditoría?
- Definir el alcance y los objetivos de la auditoría. En el proceso de planificación, encontramos este componente.
Entendemos por alcance a los criterios de una auditoría, en donde se identifican a las personas, los activos, las políticas de seguridad, procedimientos y tecnologías que afectan directa o indirectamente la seguridad de una organización.
El objetivo es lo que se quiere lograr para mejorar las políticas de seguridad de una empresa.
- Evaluar el riesgo de los activos de la organización, es el componente en el cuál se busca identificar amenazas, riesgo y vulnerabilidades dentro de los controles, procesos, procedimientos, etc. para saber qué medidas de seguridad se deben implementar y monitorear en la organización.
Aquí se podrá estudiar, por ejemplo, si los controles que se están utilizando son inadecuados o si se necesitan políticas de seguridad en concreto más sólidas.
Una vez definidos estos dos puntos, que son la fase de planificación y la cuál nos da una imagen claro de en dónde se encuentra la organización en cuestión de seguridad, es importante plantearnos las siguientes preguntas:
¿Qué se quiere lograr con la auditoría?
¿Qué activos están más en riesgo?
¿Los controles actuales son suficientes para proteger estos activos?
Si no son suficientes, entonces, ¿Qué controles y normativa de cumplimiento se deben implementar?
- Evaluar los controles. En este componente se deben estudiar los activos y evaluar los posibles riesgos para estos activos, con la mera finalidad de estudiar si los controles internos son efectivos.
Los controles se pueden dividir en las siguientes categorías:
- Controles administrativos, los cuales son aquellos que van relacionados con el componente humano, como las políticas de gestión de datos. Ejemplo de esto son las políticas de contraseñas, las cuales cada usuario debe cuidar y verificar que sea segura.
- Controles técnicos. Son controles que se relacionan con el hardware y con el software, como lo pueden ser los sistemas de detección de intrusiones (IDS), el cifrado, etc.
- Controles físicos. Estos controles son aquellos que evitan el acceso físico a los activos, como lo pueden ser cerraduras o el CCTV
- Evaluar el cumplimiento
Toda compañía necesita cumplir ciertas leyes, según las normas que lo gobiernan. Ejemplo de esto puede ser el cumplimiento del GDPR para los países de la Unión Europea.
- Comunicar los resultados a las partes interesadas
Después de cumplir la auditoría interna, los resultados y recomendaciones se deben dar a conocer a las partes interesadas.
0 comentarios