Existen diferentes tipos de auditorías de seguridad de las TIC. Si quieres saber cómo hacer una auditoría de seguridad informática, te contamos todo lo que necesitas saber.
Una auditoría de seguridad informática es la evaluación del nivel de madurez en seguridad de la información de una empresa u organización, en la cual se examinan las políticas y procedimientos de seguridad y si se cumplen. Las políticas y procedimientos definen las medidas de seguridad, tanto técnicas como organizativas, que la organización ha implantado a nivel de procesos, personas y tecnología para asegurar la disponibilidad, integridad y confidencialidad de la información. En UNIR abordamos cómo hacer una auditoría de seguridad informática, en qué consiste este proceso y cuál es su importancia.
Tal y como se vio en el post “Auditorías de seguridad informática: en qué consisten y qué tipos hay”, existen varios tipos de auditorías de seguridad de las TIC y sus procesos de realización son diferentes. Es por ello que en este artículo se detallará el proceso de realización de una auditoría de seguridad de la información general o integral, para evaluar el nivel de madurez o el estado de la seguridad de una organización.
Proceso de auditoría de seguridad informática general
- Lo primero que debemos hacer para poder conducir con éxito una auditoría de este tipo es entender el contexto de la organización. Es decir, su misión o propósito y sus objetivos de negocio, así como identificar los objetivos y los requisitos legales y/o normativos de seguridad de la información que son de aplicación.
- Después de comprender el contexto de la organización, debemos definir el alcance de la auditoría. Es decir, ¿aplica a toda la organización o a un determinado departamento o unidad de negocio? Y, en función del alcance, determinar el ámbito de aplicación; esto es: las instalaciones, información, sistemas, etc. que serán revisados.
- Para determinar el contexto de la organización, el alcance y ámbito de aplicación de la auditoría se realizarán entrevistas con personas clave de la organización, apoyándose en cuestionarios y checklists para la obtención de la información relevante.
- A continuación, se seleccionarán los controles de seguridad que serán evaluados. Los controles de seguridad provendrán, por un lado, de las regulaciones de seguridad de aplicación a la organización. Por ejemplo, Esquema Nacional de Seguridad si es una administración pública, RGPD/LOPDGDD para la parte de privacidad de datos personales, etc., y de normas o estándares internacionales de seguridad como la ISO 27002, NIST, ISO 22301…
- Una vez seleccionados los controles, se recopilará el cuerpo normativo de seguridad de la organización. Por ejemplo, la política de SI, los procedimientos e instrucciones técnicas de seguridad (clasificación y tratamiento de la información, control de acceso…), el análisis de riesgos y el plan de tratamiento, BIA, arquitectura de la red y los SS.II, inventario de activos, declaración de aplicabilidad, etc. y se analizará detalladamente.
- Tras analizar la documentación de seguridad de la organización, se habrán determinado las medidas de seguridad que dan respuesta a los controles. También habrá que revisar su grado de implantación o cumplimiento mediante la observación, comprobación y obtención de evidencias de la ejecución de los procesos y procedimientos de seguridad (p. ej. alta y baja de usuarios) y la configuración de seguridad de los distintos sistemas (segregación de la red, acceso y permisos de los usuarios, controles de acceso físico a las instalaciones, etc).ç
Además, una buena práctica en la realización de una auditoría de seguridad informática general es complementarla con la realización de una revisión de vulnerabilidades de los sistemas y aplicaciones del ámbito de la auditoría. Esto es, el escaneo automático de vulnerabilidades en los sistemas y aplicaciones (detección), la comprobación de si las vulnerabilidades detectadas son explotables por un potencial atacante (análisis) y la ejecución de un hacking ético o test de intrusión para la comprobación de vulnerabilidades no escaneables.
Finalmente, se elaborará el informe de la auditoría, detallando el nivel de implantación de los controles de seguridad evaluados, los hallazgos identificados, los riesgos para la organización que implican esos hallazgos y las recomendaciones para su subsanación.
Mediante la realización de estas auditorías se identifican las brechas, vulnerabilidades o puntos débiles de la seguridad de una organización, identificando los riesgos a los que está expuesta. De esta manera, se pueden ejecutar las acciones necesarias para mitigarlos o evitarlos. Además, se proporciona una garantía a los interesados (tanto internos como externos, como clientes) del estado de la seguridad, es decir, confianza.