Viernes, 03 abril 2020

Auditorías de seguridad informática: en qué consisten y qué tipos hay

Una auditoría de seguridad informática se podría definir como la evaluación del nivel de madurez en seguridad de una organización, donde se analizan las políticas y procedimientos de seguridad definidos por la misma y se revisa su grado de cumplimiento. También, las medidas técnicas y organizativas implantadas para garantizar la seguridad. Desde UNIR analizamos más en profundidad en qué consiste una auditoría de seguridad informática y sus tipologías.

Objetivos de una auditoría de ciberseguridad

Las auditorías de ciberseguridad permiten detectar debilidades y vulnerabilidades de seguridad que podrían ser explotadas por usuarios malintencionados o atacantes, ocasionando perjuicios importantes para la organización. Además, sirven para evitar el robo de información y la competencia desleal. 

Las auditorías de seguridad son básicas para todas las empresas, independientemente de su tamaño.

Las auditorías de seguridad son básicas para todas las empresas —independientemente de su tamaño—, ya que permiten detectar posibles puntos débiles que sirvan de referencia para implementar un plan de mejora.

Tipos de auditorías de seguridad informática

Según quién las realice

sety2

Las auditorías de ciberseguridad las podemos diferenciar en función de quién las realice, en dos tipos:

–Internas: son realizadas por personal propio de la organización con o sin apoyo de personal externo.

–Externas: son realizadas por personal externo e independiente a la organización.

Según la metodología empleada

En función de la metodología seguida en la auditoría, podríamos diferenciarlas de la siguiente manera:

–De cumplimiento: auditorías que verifican el cumplimiento de un determinado estándar de seguridad (ej. ISO 27001) o de las propias políticas y procedimientos internos de seguridad de la organización.

–Técnicas: auditorías o revisiones de seguridad técnica cuyo alcance está acotado a un sistema o sistemas informáticos objeto de la revisión.

Según su objetivo

Algunos de los principales tipos de auditorías de seguridad informática técnicas son:

Las auditorías de tipo forense pretenden recopilar toda la información para determinar las causas que han desencadenado el incidente informático.

–Forense: una vez que se produce un incidente de seguridad informática, este tipo de auditorías pretende recopilar toda la información relacionada para determinar las causas que lo han producido, el alcance del mismo (sistemas y/o información afectada), así como las evidencias digitales del mismo.

–Aplicaciones Web: tratan de identificar potenciales vulnerabilidades en este tipo de aplicaciones que podrían ser explotadas por atacantes. Dentro de este tipo de auditorías se diferencian: el análisis dinámico de la aplicación (DAST – Dynamic Application Security Testing, que se trata de una revisión en tiempo de ejecución de la aplicación sobre la propia web) y el análisis estático de la aplicación (SAST – Static Application Security Testing, donde se buscan posibles vulnerabilidades en el código).

sety3

–Hacking ético o test de intrusión: se trata de una auditoría en la que se ponen a prueba las medidas de seguridad técnicas de una organización (por ejemplo: firewalls, IDS/IPS, etc.) de la misma manera que lo haría un potencial atacante para identificar debilidades o vulnerabilidades explotables que deben ser corregidas.

–Control de acceso físico: se auditan las plataformas y medidas de seguridad que componen el sistema de seguridad perimetral físico de una organización (cámaras, mecanismos de apertura de puertas, software de control de acceso…) para verificar su correcto funcionamiento.

–Red: se revisan todos los dispositivos conectados a la red y se verifica la seguridad de los mismos (actualización de su firmware, firmas de antivirus, reglas de firewall, control de acceso a la red, segmentación de la red en VLANs, seguridad de las redes Wifi, etc.)

Toda auditoría de seguridad debe finalizar con la elaboración de un informe detallado que debería recoger los siguientes aspectos: alcance de la auditoría, metodología seguida, resultados de la evaluación de los objetivos de control, hallazgos detectados, riesgos asociados a los hallazgos y recomendaciones para su subsanación mediante la definición e implementación de un plan de acción correctivo. Si quieres especializarte en este ámbito, echa un vistazo a nuestro Máster oficial en Ciberseguridad.