Actualizado.- 28.01.2020
La información, es un activo de gran valor, que constituyen uno de los elementos más importantes de la empresa. De manera que la ciberseguridad o seguridad informática debería ser un elemento esencial en la estrategia de cualquier empresa.
¿Qué es auditoría de ciberseguridad?
La auditoría de seguridad informática es uno de los medios que puede aplicar la empresa para tener un control de la situación de la seguridad de sus sistemas informáticos e infraestructura de it. Esta tiene la finalidad de detectar posibles vulnerabilidades y deficiencias para, de este modo, poder proponer medidas para mejorar y asegurar la protección de los datos e información crítica de la empresa.
La auditoría de seguridad informática, es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores – Wikipedia.
¿Qué es una vulnerabilidad?
Una vulnerabilidad informática, implica una deficiencia por la que los sistemas de una empresa en mayor o menor grado están expuestos a sufrir una amenaza de seguridad.
Una vulnerabilidad es una debilidad en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad (información correcta y libre de modificaciones y errores), disponibilidad (información accesible cuando sea necesario) o confidencialidad (información accesible solo por el personal autorizado) de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible y por tanto, encontrar dichas vulnerabilidades constituye el objetivo de las auditorías – Incibe.
Principios de protección de información
La ausencia de algún tipo de medida de seguridad implica un alto riesgo de exposición a fugas de información. En consecuencia, La protección de la información se estructura alrededor de tres principios básicos:
- Confidencialidad. Implica la acción de reservar la información a las personas de adecuadas, es decir, limitar el acceso a información confidencial.
- Integridad. Garantizar la calidad de la información. Trabajar con información alterada o errónea puede llevarnos a tomar decisiones equivocadas.
- Disponibilidad. Comprende que pueda ser utilizada libremente cuando sea necesario por el personal autorizado.
Dichas vulnerabilidades pueden tener distintos orígenes, por ejemplo: fallos de diseño y/o programación, (¡importante, seguridad por defecto y desde el diseño!), errores de configuración, etc.
En este sentido, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. Obviamente, si existe una vulnerabilidad, siempre existirá alguien que intentará sacar provecho de su existencia.
En el proceso de auditoría de seguridad debe reflejarse por igual tanto medidas técnicas como organizativas, ya que las amenazas pueden tener un origen externo e interno (fugas de información inconsciente o voluntariamente), técnico y humano. Según el origen externo de las amenazas, podemos destacar p. ej.:
- Hacktivismo. Ataque de terceros que realizan prácticas de Hacking, basadas en una causa específica para mostrar su desacuerdo contra la empresa.
- Robo de información.
- Competencia desleal.
Prevención de amenazas en ciberseguridad
Una vez terminadas la auditoría deben eliminarse las vulnerabilidades encontradas e implementar en la organización una serie de “Best Practices” tanto técnicas como organizativas destinadas a la prevención de futuras amenazas. La ciberseguridad comprende una de las áreas fundamentales de la transformación digital. En esta línea:
- Clasificar la Información. Esto es obvio. No podemos limitar el acceso a la información si no tenemos claro que es confidencial y quien debe acceder a ella. Esta confidencialidad puede establecerse dependiendo del valor que tenga para la organización, el nivel de sensibilidad, si tiene datos de carácter personal, etc.
- Desarrollar políticas de acceso a la información. Como hemos dicho, un usuario solo debe tener acceso a la información confidencial estrictamente necesaria para su trabajo diario y debe ser informado de los límites de su trabajo diario y los procedimientos para disminuir el riesgo en aquellas actividades que puedan implicar fugas de información. Es muy importante que en las organizaciones existan acuerdos de confidencialidad con los empleados. Dichos acuerdos, además de otras medidas, pueden servir como elementos disuasorios para evitar usos malintencionados de la información.
- La formación de los usuarios. En este punto hay que tener dos conceptos muy claros. La ciberseguridad total no existe y la información es manipulada por personas. Existe el factor humano y, por consiguiente, el error humano. “El usuario es el eslabón más importante de la cadena”. La fuga de información, voluntaria o no, tiene un componente humano, ya sea por motivaciones económicas, personales o el simple y el comentado error humano.
- Controles de acceso e identidad Usuarios y passwords robustas para acceder al sistema. A partir de ahí, podremos controlar a base de políticas quien accede a la información.
- Soluciones anti-malware y anti-fraude, y obviamente, un buen antivirus actualizado.
- Seguridad perimetral y control de las comunicaciones. Cuantas empresas tienen conectado los servidores al router wifi de su proveedor de telefonía… segmentación de la red, firewalls, uso de DMZ (zona desmilitarizada) para aplicaciones web que dificulten el acceso a servidores, base de datos desde Internet, etc. etc.
- Control de contenido, control de tráfico y copias de seguridad
- Actualizaciones de seguridad de sistemas operativos y software en general. Normalmente las vulnerabilidades en el software y sistemas operativos son detectadas y utilizadas para tomar el control sobre nuestras infraestructuras y acceder a los sistemas. Estar al día con las actualizaciones es esencial.
- La implementación de productos o servicios destinados a la gestión del ciclo de vida de la información (ILM, del inglés Information Life-Cycle Management) o específicos para evitar la fuga de información (DLP, del inglés Data Loss Prevention).
- El asesoramiento profesional, no solo durante la gestión de un incidente (¡normalmente nos acordamos de Santa Bárbara cuando truena… error!) sino para el diseño y mantenimiento de las medidas de prevención.
Hola Alejandro, por favor envía tu curriculum a través de este formulario para poder entrar en el proceso de selección.
https://www.clavei.es/unete-al-equipo#curriculum
Muchas gracias.
Me ofrezco como auditor en ciberseguridad. Con un sueldo mínimo profesional porque tengo poca experiencia. Espero poder ser de utilidad en su empresa
Gracias por su atención