Hoy en día los cambios en los sistemas se producen con una frecuencia continua, por lo que asegurar las necesidades del negocio y de seguridad son tareas complejas. Las auditorías de seguridad nos permiten valorar la exposición al riesgo en el que se encuentran nuestros activos de información en un momento determinado, cuando en muchas ocasiones no somos conscientes de que sus principales vulnerabilidades pueden suponer una perdida importante a nivel empresarial.
Un trabajo de auditoría nos permite ponernos en una posición de observador independiente con un trabajo crítico sobre la mesa, que permite analizar y gestionar posteriormente las amenazas a las que se expone una organización. Habitualmente, una auditoría se realiza tomando como base un conjunto de buenas prácticas o norma que nos sirva como parámetros de orientación para garantizar la seguridad deseada, siempre tomando aquellos valores que se orienten a nuestras necesidades; como puedan ser, entre los ejemplos más característicos, las normas ISO 27002 o COBIT (Objetivos de Control de las Tecnologías de la Información).
Realizar auditorías con regularidad asegura que los controles de seguridad aplicados a los sistemas de información son los necesarios en cada momento. Llevar un control sobre los cambios en las configuraciones, los producidos por nuevo software/hardware o cambios en los procesos solo podrán realizarse mediante un programa de auditorías. No obstante, dependiendo de los requerimientos específicos, una auditoría de seguridad puede orientarse de diferentes formas:
– Hacking Ético: pretende evaluar las arquitecturas de seguridad frente a ataques internos o externos controlados y programados previamente. Este proceso puede realizar siguiendo la metodología internacional OSSTMM y OWASP.
– Auditoría WLAN de Seguridad WIFI: partiendo de la inseguridad que ofrece las redes WLAN de forma general, la auditoría de seguridad se plantea como una necesidad de análisis de su arquitectura de red inalámbrica y punto de partida en la implantación de medidas complementarias.
– Auditoría VOIP: la simplificación e integración de la infraestructura de comunicaciones en una sola red a través de voz sobre IP supone la necesidad de mitigar riesgos para asegurar las comunicaciones, cuya recomendación habitual es que pueda basarse en una auditoría de seguridad previa.
– Auditoría OSSTMM y OWASP: este tipo de auditoría toma como base estas dos metodologías para realizar un análisis exhaustivo de seguridad en los activos de información.
– Auditoría de Peritaje y Forense: a través de este tipo de auditoría se recogen pruebas de los sistemas en casos puntuales de abusos, fraudes, accesos no autorizados, o ataques, por ejemplo. Este tipo de trabajos supone estar bajo la observancia de los más estrictos criterios de independencia y confidencialidad.
De la auditoría deberá desprenderse un informe con las principales no conformidades encontradas, clasificadas de acuerdo al riesgo y gravedad que supone su impacto en la organización. Con las conclusiones de la auditoría de seguridad será más fácil encontrar las necesidades en seguridad, donde poder orientar los recursos de la empresa y planificar una política de seguridad adecuada. La auditoría no debe quedar en un trabajo puntual, sino que deberá ir orientado a la consecución de diferentes objetivos.
Áudea Seguridad de la Información