Como consultora informática te recordamos que una auditoría de seguridad es algo tan importante como la evaluación del nivel de madurez en materia de seguridad de una organización. Es decir, es algo imprescindible. Entre otras cosas, se analizan las políticas y procedimientos de seguridad y se examina su grado de cumplimiento, así como las medidas técnicas y organizativas que se ponen en marcha para garantizar la seguridad. En las siguientes líneas, analizamos más en profundidad qué es una auditoría de seguridad informática y sus tipos.

Es innegable que los sistemas informáticos que usan las empresas son cada vez más complejos, con más funcionalidades y más difíciles de controlar. Ahí es donde entran en juego las auditorías de seguridad informática ¿El objetivo? Conocer exactamente cuáles pueden llegar a ser los fallos del sistema. Dicho de otro modo, las auditorías de ciberseguridad nos permiten diagnosticar posibles debilidades y vulnerabilidades de seguridad. Fallos que, entre otras cosas, podrían servir para acometer el robo de información y la competencia desleal.

Los pasos de una auditoría de seguridad informática serían: analizar, planificar, determinar riesgos y ejecutar. Algo que tienen que hacer todas las empresas, pero más especialmente las que presten servicios como cloud computing, servidores web, servidores de correo electrónico, FTP o conexiones VPN.

En Imagar recordamos que las auditorías de seguridad informática son claves para cualquier empresa, sea cual sea su tamaño. Permiten detectar posibles puntos débiles e implementar planes de mejora.

Tipos de auditorías de seguridad informática

En función de quién la realice

• Internas: las acomete el propio personal de la organización, a veces con el apoyo de personal externo.
• Externas: las realiza personal externo e independiente a la organización.

En función de la metodología

• De cumplimiento: verifican el cumplimiento de determinado estándar de seguridad o de las propias políticas y procedimientos internos de seguridad de la organización.
• Técnicas: su alcance está acotado a un sistema o sistemas informáticos objeto de la revisión.

Objetivo de las auditorías de seguridad informática

• Forense: buscan recopilar toda la información para conocer los desencadenantes del incidente informático y su alcance. También sus evidencias digitales.
• Aplicaciones web: se trata de identificar vulnerabilidades potenciales que podrían ser explotadas por atacantes. En este tipo de auditorías tenemos: análisis dinámico de la aplicación (DAST–Dynamic Application Security Testing) y análisis estático de la aplicación (SAST–Static Application Security Testing). El primero es una revisión en tiempo de ejecución de la aplicación sobre la propia web. En el segundo se buscan posibles vulnerabilidades en el código.
• Hacking ético o test de intrusión: auditoría en la que se prueban las medidas de seguridad técnicas de una organización poniéndose en la piel de un potencial atacante. De este modo, se identifican debilidades o vulnerabilidades a corregir.
• Control de acceso físico: se auditan las plataformas y medidas de seguridad del sistema de seguridad perimetral físico de la organización. Por ejemplo, el CCTV, los mecanismos de apertura de puertas o el software de control de acceso.
• Red: se revisan los dispositivos conectados a la red y se verifica su seguridad (firewall, control de acceso a la red, seguridad de las redes Wifi, etc.).

Tras todas las auditorías de seguridad hay que redactar un informe detallado con los siguientes puntos:

• Alcance.
• Metodología utilizada.
• Resultados de la evaluación de los objetivos de control.
• Qué se ha detectado.
• Qué riesgos asociados existen.
• Recomendaciones para subsanar lo anterior con un plan de acción correctivo.

En resumen, una auditoría de seguridad informática nos permite mejorar la imagen externa de las empresas, saber qué soluciones informáticas concretas de seguridad implementar y, en definitiva, aumentar la seguridad de la organización, preservando la confidencialidad y la integridad de la información gestionada.