Auditoría de ciberseguridad: todo lo que necesitas saber
Todas las organizaciones que hayan implementado un sistema de gestión de seguridad de la información deberían, por lo menos una vez al año, realizar una auditoría de su ciberseguridad para conocer el estado de la protección de sus activos, prevenir ataques cibernéticos y hacer ajustes.
Introducción
Uno de los principales riesgos a los que hoy están expuestas las empresas, según el informe Risk in focus 2022: Hot topics for internal auditors y el Estudio de Gestión de Riesgos en Latinoamérica 2022 de Pirani, es el riesgo de ciberseguridad debido al crecimiento que ha tenido en los últimos años el cibercrimen y los ciberataques, que representan grandes impactos para una organización, no solo en lo financiero, sino también en lo reputacional.
Teniendo en cuenta esto, cada vez más las empresas, de cualquier sector y tamaño, entienden la importancia de implementar un sistema de gestión de seguridad de la información para proteger sus activos y prevenir la materialización de un ciberataque, por ejemplo, filtraciones de datos, ransomware, phishing, suplantación de identidad, entre otros.
Igualmente, cada vez se le da mayor valor a tener en el equipo roles como un CISO (Chief Information Security Officer) y encargados de la seguridad de la información.
Por eso, para garantizar la mejora continua de este sistema, es importante realizar auditorías, tanto internas como externas, a la ciberseguridad.
A continuación te explicamos todos los detalles que necesitas saber para hacer en tu empresa una auditoría de ciberseguridad: qué es, cuáles son sus beneficios, qué tipos de auditorías existen, cuáles son sus etapas y recomendaciones para llevarla a cabo adecuadamente.
¿Qué es una auditoría de ciberseguridad?
Una auditoría de ciberseguridad, de acuerdo con Jairo Andrés Valencia, líder de seguridad de la información en Pragma, es “una fotografía para conocer el estado actual de una empresa frente a sus riesgos cibernéticos”.
Si bien hay similitudes en los riesgos que pueden presentarse, se debe tener en cuenta que estos no son los mismos para todas las organizaciones, pues como explica Jairo Andrés, dependen mucho de factores como el sector al que pertenezca la empresa, su actividad principal, zona geográfica, entre otros.
Por ejemplo, una entidad dedicada al desarrollo de software y tecnología, tiene riesgos diferentes a los de una entidad financiera que almacena datos personales e información bancaria de sus usuarios.
Por eso, al momento de plantear una auditoría de ciberseguridad, uno de los primeros puntos es establecer el contexto: conocer información clave de la empresa y con base en esto poder determinar los aspectos a auditar, entre estos se deben considerar redes, servidores, equipos y personas.
¿Para qué sirve una auditoría de ciberseguridad?
Además de poder conocer cómo está la ciberseguridad de la empresa, una auditoría de este tipo permite identificar:
- Cuál es el grado de exposición a posibles amenazas y ciberataques.
- Qué inconvenientes existen para garantizar la confidencialidad, integridad y disponibilidad de la información.
- Qué tan óptimos son los sistemas y programas instalados.
- Qué tan seguras son las contraseñas utilizadas por el personal de la empresa.
- Qué tan seguro es el sitio web.
- Cómo se están cumpliendo las políticas y manuales de ciberseguridad implementados.
Y a partir de los hallazgos obtenidos en la auditoría, sea interna o externa, la empresa debe tomar acciones para mejorar su ciberseguridad y prevenir de manera efectiva los posibles ciberataques.
Para hacerlo, por ejemplo, debe reforzar sus controles existentes o implementar unos nuevos que le permitan proteger todas sus redes y sistemas.
¿Cuáles son los beneficios?
Entre los principales beneficios de realizar una auditoría de ciberseguridad, Jairo Andrés destaca los siguientes:
- La mejora continua porque al conocer si lo que se está haciendo en la empresa para garantizar la ciberseguridad está sirviendo o no (las políticas, los controles, el equipo humano) se toman acciones para mejorar o fortalecer lo que ya hay. Además, permite estar en constante evolución.
- Contribuye a la continuidad del negocio, pues al saber cuáles son las vulnerabilidades existentes en la ciberseguridad de la empresa se pueden tomar acciones de manera oportuna para corregirlas y así, evitar que se materialice una amenaza o ciberataque que pueda significar no solo pérdidas financieras y de reputación, sino también de continuidad en el mercado. “Como decimos en Pragma, las auditorías sirven para que la empresa esté hoy, mañana y por muchos años más”, asegura.
Tipos de auditorías de ciberseguridad
Dado que la ciberseguridad es un tema tan amplio, existen diferentes tipos de auditorías que se pueden realizar para conocer una parte de su estado actual. Algunas de estas son:
- Auditoría de vulnerabilidades. Consiste en identificar las fallas de seguridad de los aplicativos. También incluye, por ejemplo, la revisión de contraseñas que utilizan los empleados, ¿qué tan seguras son?, ¿la empresa exige unas condiciones mínimas para la creación de contraseñas (número mínimo de caracteres, uso de mayúsculas, números y caracteres especiales)?
- Auditoría de código. Es una prueba para conocer la calidad de los códigos fuente de las aplicaciones informáticas y software que utiliza la empresa, independiente si fueron desarrollados por terceros o por personal interno (desarrollo in-house).
- Auditoría de redes. Lo primero que se debe hacer es un mapa de la red de la empresa para conocer cómo está conectada y de qué manera los ciberdelincuentes podrían atacarla. Después de esto se debe actualizar el firmware de los dispositivos móviles, los sistemas operativos y renovar los equipos viejos para corregir algún error o fallo de seguridad.
Igualmente, se deben implementar sistemas como firewalls (para bloquear accesos no autorizados), WLAN (red de área local inalámbrica para separar el tráfico), WPA2 (para proteger las redes inalámbricas de Wi-Fi) y VPNs (red privada virtual). - Auditoría web. Su objetivo es conocer qué tan seguros son el servidor y la página web de la empresa, si por ejemplo es vulnerable a un ataque que instale un virus o si cuenta con el indicativo https que indica que el servidor es seguro.
- Auditoría forense. Se realiza luego de haberse materializado algún incidente de seguridad y su objetivo es identificar y reunir el mayor número de evidencias y datos que permitan establecer las causas del incidente, es decir, qué vulnerabilidades, fallas o errores había que facilitaron que este ocurriera.
- Hacking ético. Esta práctica consiste en realizar una prueba o test de penetración para atacar de forma planificada los sistemas y aplicativos de la empresa con el objetivo de determinar qué tan expuesta está a los ciberataques, hallar las debilidades y darles solución.
Etapas de una auditoría de ciberseguridad
De acuerdo con Jairo Andrés, no todas las auditorías siguen las mismas etapas, pues esto depende de aspectos como el enfoque que cada empresa y auditor le vaya a dar, el alcance (cuáles procesos se van a auditar) y el criterio, es decir, bajo qué estándar, norma o marco de trabajo se va realizar la auditoría, por ejemplo: ISO 27302 (ciberseguridad), ISO 9011 (auditoría de sistemas de gestión), Framework de Ciberseguridad del NIST, entre otros.
Aun así, sí es importante tener en cuenta algunos puntos claves para realizar de forma eficiente una auditoría de ciberseguridad, por ejemplo:
- Tener claridad del contexto de la empresa, a qué industria pertenece, qué tipo de productos o servicios ofrece, etc.
- Determinar cuáles son los sistemas de información, servicios o procesos que se van a auditar, es decir, el alcance que tendrá.
- Verificar, según cada organización, cuánto se cumple de los estándares de calidad y seguridad.
- Hallar y determinar las vulnerabilidades a las que están expuestos los sistemas, redes e incluso, personal de la empresa.
- A partir de los hallazgos, construir y presentar un informe dirigido a la alta gerencia, debe estar comprometida con la ciberseguridad y con la toma oportuna de decisiones, que incluya información como:
- Datos generales de la auditoría (alcance, criterio, procesos auditados, tiempo de duración, etc.)
- Comparativo de auditorías anteriores.
- Incumplimientos o no conformidades.
- Oportunidades de mejora.
- Conclusiones.
Recomendaciones para una auditoría de ciberseguridad
Como lo hemos mencionado, este tipo de auditoría debe servir para conocer qué tan expuesta está una organización a posibles ciberataques y con base en los hallazgos, poder tomar acción para reforzar la seguridad de los sistemas, redes, servidores y demás.
Algunas recomendaciones adicionales que puedes poner en práctica al auditar la ciberseguridad en tu empresa son:
- Realizar auditoría interna y auditoría externa. Si bien la auditoría interna puede servir para encontrar algunas vulnerabilidades, la externa permite tener un panorama mucho más amplio y conocer realmente si lo que se está haciendo sí funciona o no.
- Contar con un especialista en seguridad informática y ciberseguridad, en caso de no tenerlo, contratar el servicio de un tercero que pueda orientar y acompañar a la organización en el desarrollo de la auditoría.
- Realizar la auditoría mínimo una vez al año, sin embargo, como asegura Jairo Andrés, esto también depende del contexto de cada empresa porque, por ejemplo, hay unas que están en constante auditoría.
- La información proporcionada en el informe de auditoría debe estar bien documentada, ser muy clara, fácil de entender e incluir los diferentes hallazgos sin juicios de valor.
En conclusión, llevar a cabo una auditoría de ciberseguridad permite a las empresas estar al tanto de posibles fallas, debilidades y errores en sus sistemas de seguridad y a partir de esto, tomar acciones oportunas para corregirlos y prevenir la materialización de incidentes y ataques cibernéticos que puedan impactar negativamente no solo la operación normal de la organización, sino también sus finanzas y su reputación.
Adicionalmente, para prevenir los riesgos asociados a la seguridad de la información y a la ciberseguridad, es importante gestionar de manera oportuna y adecuada todos los activos de información e identificar los diferentes riesgos a los que están expuestos. Una herramienta tecnológica como Pirani ISMS Suite puede ayudarte a ti y a tu empresa a hacerlo de forma simple.
Referencia bibliográfica
- Cibernos. Mejores prácticas para una auditoría de ciberseguridad
- Asobancaria. Guía de buenas prácticas para auditar la ciberseguridad
- Ambit BST. Lo que no debes pasar por alto en una auditoría de ciberseguridad
- EALDE Business School. Consejos para hacer una auditoría de seguridad informática para evitar riesgos digitales