Hoy en día, prácticamente todas las empresas utilizan algún ordenador. De hecho, nos escandalizamos si algún negocio, del tipo que sea, no se gestiona o administra a través de medios informáticos junto con el uso de Internet, que está más que generalizado. Es solo cuestión de mirar a nuestro alrededor.

Los sistemas informáticos que utilizamos en las empresas son cada vez más complejos, con cada vez más funcionalidades y por tanto más difíciles de controlar. En ciertas situaciones puede resultar conveniente optar por realizar una Auditoría de Seguridad Informática de los mismos para conocer exactamente cuáles pueden ser los fallos de nuestro sistema y evitar consecuencias indeseables.

¿Qué es una auditoría de seguridad?

Son los estudios, tendentes a comprender el análisis y gestión de los sistemas.

Se trata de un servicio llevado a cabo por profesionales externos a la empresa y tiene la finalidad de descubrir posibles vulnerabilidades tras revisiones exhaustivas de software, redes de comunicación, servidores, estaciones de trabajo, dispositivos móviles…

Una auditoría de seguridad informática es una evaluación de los sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos:

  • Equipos instalados, servidores, programas, sistemas operativos…
  • Procedimientos instalados
  • Análisis de Seguridad en los equipos y en la red
  • Análisis de la eficiencia de los Sistemas y Programas informáticos
  • Gestión de los sistemas instalados
  • Verificación del cumplimiento de la Normativa vigente LOPD
  • Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de trabajo, redes de comunicaciones, servidores.

¿Cómo hacer una auditoría de seguridad informática?

  • Enumeración de los servicios que se vayan a auditar.
  • Verificación del cumplimiento de estándares de calidad y normas de control.
  • Identificación del software, hardware y sistemas operativos instalados.
  • Análisis de los servicios y aplicaciones instalados.
  • Comprobación y evaluación de las vulnerabilidades detectadas.
  • Corrección con medidas específicas.
  • Implantación de medidas preventivas.
ejemplos proteccion de datos

El 43% de los intentos de acceso a cuentas online, a nivel mundial, son realizados por bots (programas informáticos pensados para realizar tareas automatizadas) utilizados con fines maliciosos.

Tipos de auditorías

Auditoría forense

Es un servicio que se contrata tras haberse producido un incidente de seguridad y tiene como objetivo identificar y recopilar evidencias digitales para establecer las causas que lo han producido.

Auditorías web

Destinadas a conocer la seguridad de aplicaciones y servicios web que nos permitan descubrir cualquier tipo de fallo en la implementación, de los mismos.

Auditorías de código

Son pruebas de calidad sobre aplicaciones informáticas (a nivel de código fuente) que permiten conocer e identificar posibles vulnerabilidades en cualquier tipo de software.

Hacking Ético

La forma de comprobar las medidas de seguridad es poniéndolas a prueba y para ello surge este servicio. Se trata de un test de intrusión que intenta utilizar las mismas técnicas de hacking y herramientas que los atacantes para de esta manera poner a prueba la seguridad informática.

Análisis de vulnerabilidades

Servicio dedicado no sólo a detectar los posibles agujeros de seguridad de las aplicaciones en busca de vulnerabilidades, sino que también se encargará de poner a prueba la robustez de las contraseñas.

Auditorías físicas

Servicio encargado de proteger externamente la zona perimetral de una organización asegurando el entorno con la implementación de cámaras de seguridad, controles físicos de entrada, sistemas de incendios, climatización, protección de riesgos laborales, instalaciones de suministro eléctrico redundantes…

Auditorías de redes

En un internet plagado de ataques externos, la seguridad de la red debe ser una prioridad para su compañía. Este servicio de auditoría de redes se centrará en primer lugar en mapear la red para descubrir todos los dispositivos conectados.

Posteriormente será el momento en el que se verificarán actualizaciones de firmware, firmas de antivirus, se comprobarán reglas firewalls y se podrá implementar un filtrado por dirección MAC, VLANS para segregar el tráfico (DMZ), implementación del protocolo 802.1X (servidor RADIUS) para redes wifi y utilización de VPNs para determinados servidores y equipos.

Ejemplos de auditorías informáticas

Existen estándares base para auditorias informáticas como:

  • COBIT (Objetivos de Control de la Tecnológica de la Información)
  • ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información)
  • Norma ISO 27002 (Código de buenas prácticas)
  • ISO 27007 (Guía para auditar un SGSI*)
  • ISACA (Asociación de Auditoría y Control de Sistemas de Información)
  • ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información) estándar mundial de facto en la Gestión de Servicios Informáticos. Útil para las organizaciones en todos los sectores para consulta, educación y soporte de herramientas de software, de libre utilización.

Plantilla de auditoría de seguridad informática

Te explico los pasos a seguir a la hora de realizar una auditoría informática.

como realizar una auditoria de seguridad informatica

Analizar

Debe hacerse un inventario de los sistemas y usos informáticos que existen en la empresa. Para ello es imprescindible la colaboración entre el gerente, empleados e informáticos.

Planificar

Debemos determinar las herramientas de análisis. Cómo vamos a evaluar cada uno de los puntos que hemos analizado y de acuerdo con qué criterios.

Determinar riesgos

No se trata sólo de analizar ahora cuántas incidencias o problemas se están produciendo en este momento, sino los posibles riesgos que existen de que se produzca un problema en el futuro.

Ejecutar

Se adoptarán medidas ejecutivas para resolver los problemas que ya están produciendo y prevenir los riesgos que se podrían producir. A partir de ahí, lo normal es elaborar un presupuesto con los puntos que habría que corregir para que se cumplan los objetivos de la empresa.

Beneficios de las auditorías de seguridad

Son muchas las ventajas las que nos están ofreciendo las nuevas tecnologías. Pero también implica una mayor exposición a amenazas que pueden poner en peligro la privacidad y seguridad de nuestra información. De ahí la importancia de la auditoría de seguridad informática y de la información, que nos permitirá saber periódicamente el estado de seguridad de nuestros sistemas.

Entre los beneficios de estas auditorías cabe destacar que:

  • Permiten reducir los impactos una vez identificados los riesgos y vulnerabilidades.
  • Ofrecen mayores garantías y niveles de seguridad para su negocio.
  • Mejoran la imagen externa de su empresa.
  • Le ayudan a saber qué medidas concretas de seguridad implementar.
  • Aumentan la seguridad de su organización, salvaguardando la confidencialidad y la integridad de la información que se gestiona.

¿Te gustaría poner fin a los problemas informáticos constantes de tu negocio? ¿Estás ya pensando en hacer una auditoría informática en tu empresa? ¿Te animas a compartir tus sugerencias?

¿Necesitas cumplir el RGPD?

¿Por qué debes hacer auditorías de seguridad informática?
4.7 (94.55%) 11 votos