Wikipedia define la auditoría de seguridad informática o auditoría de seguridad de sistemas de información como el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

¿Qué es una vulnerabilidad?

Según Incibe, una vulnerabilidad es una debilidad en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad (información correcta y libre de modificaciones y errores), disponibilidad (información accesible cuando sea necesario) o confidencialidad (información accesible solo por el personal autorizado) de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible y por tanto, encontrar dichas vulnerabilidades constituye el objetivo de las auditorías.

proteccion-de-la-informacion-principios-basicos-Clavei

Dichas vulnerabilidades pueden tener distintos orígenes, por ejemplo: fallos de diseño y/o programación, (¡importante, seguridad por defecto y desde el diseño!), errores de configuración, etc.

En este sentido, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. Obviamente, si existe una vulnerabilidad, siempre existirá alguien que intentará sacar provecho de su existencia.

En el proceso de auditoría debe reflejarse por igual tanto medidas técnicas como organizativas, ya que las amenazas pueden tener un origen externo e interno y técnico y humano.

origen-de-las-amenazas-Clavei

Una vez terminadas la auditoría deben eliminarse las vulnerabilidades encontradas e implementar en la organización una serie de “Best Practices” tanto técnicas como organizativas destinadas a la prevención de futuras amenazas. La ciberseguridad comprende una de las áreas fundamentales de la transformación digital. En esta línea:

  • Clasificar la Información. Esto es obvio. No podemos limitar el acceso a la información si no tenemos claro que es confidencial y quien debe acceder a ella. Esta confidencialidad puede establecerse dependiendo del valor que tenga para la organización, el nivel de sensibilidad, si tiene datos de carácter personal, etc.
  • Desarrollar políticas de acceso a la información. Como hemos dicho, un usuario solo debe tener acceso a la información confidencial estrictamente necesaria para su trabajo diario y debe ser informado de los límites de su trabajo diario y los procedimientos para disminuir el riesgo en aquellas actividades que puedan implicar fugas de información. Es muy importante que en las organizaciones existan acuerdos de confidencialidad con los empleados. Dichos acuerdos, además de otras medidas, pueden servir como elementos disuasorios para evitar usos malintencionados de la información.
  • La formación de los usuarios. En este punto hay que tener dos conceptos muy claros. La ciberseguridad total no existe y la información es manipulada por personas. Existe el factor humano y, por consiguiente, el error humano. “El usuario es el eslabón más importante de la cadena”. La fuga de información, voluntaria o no, tiene un componente humano, ya sea por motivaciones económicas, personales o el simple y el comentado error humano.
  • Controles de acceso e identidad Usuarios y passwords robustas para acceder al sistema. A partir de ahí, podremos controlar a base de políticas quien accede a la información.
  • Soluciones anti-malware y anti-fraude, y obviamente, un buen antivirus actualizado.
  • Seguridad perimetral y control de las comunicaciones. Cuantas empresas tienen conectado los servidores al router wifi de su proveedor de telefonía… segmentación de la red, firewalls, uso de DMZ (zona desmilitarizada) para aplicaciones web que dificulten el acceso a servidores, base de datos desde Internet, etc. etc.
  • Control de contenido, control de tráfico y copias de seguridad
  • Actualizaciones de seguridad de sistemas operativos y software en general.  Normalmente las vulnerabilidades en el software y sistemas operativos son detectadas y utilizadas para tomar el control sobre nuestras infraestructuras y acceder a los sistemas. Estar al día con las actualizaciones es esencial.
  • La implementación de productos o servicios destinados a la gestión del ciclo de vida de la información (ILM, del inglés Information Life-Cycle Management) o específicos para evitar la fuga de información (DLP, del inglés Data Loss Prevention).
  • El asesoramiento profesional, no solo durante la gestión de un incidente (¡normalmente nos acordamos de Santa Bárbara cuando truena… error!) sino para el diseño y mantenimiento de las medidas de prevención.

banner-ciberseguridad-Clavei

 

Unidad de negocio Sistemas en CLAVEi

Share This