La Ley Dodd-Frank para la Reforma de Wall Street y la Protección al Consumidor, aprobada en 2010, exigía a la Reserva Federal de los Estados Unidos que realizara pruebas de estrés anuales a los bancos con un volumen mínimo de activos. Los directivos de estos bancos se toman muy en serio estas auditorías de estrés y dedican amplios recursos y esfuerzos a prepararse para estas inspecciones. Esto incluye sus propias evaluaciones internas de riesgos para identificar posibles vulnerabilidades.

Aunque no sea a la misma escala, muchas empresas deben someterse periódicamente a auditorías de ciberseguridad. Estas auditorías son pruebas de estrés esenciales para determinar si una organización es capaz de hacer frente a los ataques dirigidos contra las vulnerabilidades más comunes. En algunos casos, una auditoría puede descubrir una amenaza grave, como una puerta trasera. Al igual que ocurre con las auditorías bancarias, no superarlas tiene graves repercusiones. Eso significa que es fundamental una preparación absoluta y eso requiere una estrategia.

Realización de una auditoría preliminar

Seamos realistas, la única manera de asegurarse de que su empresa está preparada para una auditoría es una auditoría real. Una auditoría preliminar examina las superficies de ataque de su hardware y software y revisa las políticas y controles de seguridad para protegerlos. El primer paso es determinar qué tipo de auditoría necesita realizar, porque no todas las auditorías son iguales. Por ejemplo, una auditoría recurrente mensual incluiría sólo aspectos básicos como:

• Garantizar que todos los sistemas y aplicaciones estén totalmente parcheados y actualizados.
• Revisar al personal y sus responsabilidades asignadas.
• Asegurarse de que todas las bases de datos y repositorios de datos están debidamente protegidos.

Si nunca ha realizado una auditoría preliminar o ha transcurrido mucho tiempo desde la última, deberá incluir pasos adicionales como:

• Realizar una evaluación de riesgos para identificar los riesgos a los que se enfrenta su organización.
• Realizar un inventario de todos los dispositivos y aplicaciones de software conectados a la red.
• Identificar y clasificar todos los datos alojados a través de su red para comprender qué datos necesitan ser priorizados en términos de seguridad.
• Realizar un análisis de deficiencias para comparar sus políticas de seguridad actuales con los mejores estándares del sector, como NIST, CIS Controls o ISO 27001.

Una auditoría posterior a una brecha de seguridad a menudo requiere herramientas de seguridad avanzadas que puedan hacer una prueba exhaustiva de la postura de seguridad de su empresa. Los conjuntos de herramientas también vienen determinados por requisitos normativos específicos. Por ejemplo, las empresas que deben cumplir la normativa PCI DSS están obligadas a realizar evaluaciones trimestrales de vulnerabilidad y una prueba de penetración anual.

Auditorías internas o externas

Una vez que haya determinado el tipo de auditoría que necesita realizar, debe decidir si puede llevarla a cabo adecuadamente de forma interna o si necesita recurrir a especialistas externos. Si su empresa opera en un entorno de bajo riesgo y dispone de personal informático interno con los conocimientos adecuados, una auditoría interna le resultará menos costosa y le dará más control sobre el proceso. Las empresas más pequeñas que carecen de los recursos o la experiencia necesarios pueden recurrir a un MSP o MSSP.

Las empresas que operan en sectores muy regulados o manejan cantidades considerables de datos confidenciales quizá deseen contar con un equipo de profesionales experimentados con formación específica en ciberseguridad. Las empresas que utilizan arquitecturas híbridas “multinube” pueden necesitar auditores con experiencia en la evaluación de estos entornos complejos. Aunque obviamente es más cara, una auditoría externa será más objetiva y puede ofrecer nuevas perspectivas. En la mayoría de los casos, una auditoría externa será percibida como más creíble por las partes interesadas.

Manual o automatizada

Dependiendo del tipo de auditoría que necesite, puede optar entre una auditoría manual o una automatizada. Una auditoría manual será más exhaustiva y ofrecerá un análisis basado en el contexto y conclusiones adaptadas. También es muy adaptable y puede modificarse fácilmente para abordar las amenazas emergentes y los cambios en el cumplimiento. Estas auditorías suelen incluir informes exhaustivos con recomendaciones para abordar cualquier problema. Una auditoría manual, sin embargo, es más costosa, lenta y disruptiva. A menudo incluye una evaluación cualitativa cuya calidad dependerá únicamente de la persona que la lleve a cabo.

Una auditoría automatizada proporciona un medio eficaz y escalable para escanear su red en busca de vulnerabilidades, errores de configuración, parches de seguridad no aplicados y software obsoleto. Aunque interrumpen mucho menos las operaciones de su empresa, son más susceptibles de producir falsos positivos y no ofrecen el análisis en profundidad que ofrece una auditoría manual. Estas auditorías tienen poca flexibilidad y carecen de los informes detallados que incluye una auditoría manual.

Prepararse para la realidad

Ahora que ya ha realizado una prueba para prepararse, llega el día del encuentro. Sin embargo, eso no significa que simplemente entregue el balón al equipo de auditores cuando salgan al terreno de juego. Usted y su equipo interno todavía tienen trabajo que hacer.

Imagine que su empresa se va a someter a una auditoría de Hacienda. Lo más probable es que quiera complacerles en todo lo posible y agilizar el proceso. Le gustaría saber lo que quieren averiguar antes de su visita para tener todos los documentos necesarios a su disposición. Del mismo modo, es una buena idea tenerlo todo preparado para una auditoría real.

• Confirme con antelación el alcance del proyecto con el auditor. Esto es especialmente útil si va a contratar a un equipo de auditores externos para evitar que el proyecto se desvíe y contener los costes. Saber de antemano qué partes de la red examinarán los auditores y qué tipo de documentación necesitarán le permitirá estar mejor preparado para facilitar información y responder a las preguntas. Averigüe qué personal, en su caso, debe estar disponible para las entrevistas.

• Acelere la comprensión de su red por parte del auditor creando un diagrama de sus recursos de red con una aplicación de diseño de diagramas como Visio.

• Organice sus políticas de ciberseguridad en un documento único que pueda presentar al auditor. Este documento debe incluir la política de contraseñas, la política de seguridad de la información, las restricciones de cuentas de usuario, las políticas de control de acceso, las políticas de uso de Internet y las políticas BYOD. Asegúrese de incluir una copia completa de su plan de respuesta a incidentes, ya que es de vital importancia.

• Tenga sus archivos de registro y copias de seguridad organizados y fácilmente accesibles, ya que el auditor los solicitará en algún momento. Asegúrese de conocer los periodos de conservación necesarios.

La importancia de un SOC

Estar totalmente preparado para una auditoría también reducirá el estrés de todo el proceso y le permitirá estar menos nervioso en la siguiente. Las PYMES que utilizan un centro de operaciones de seguridad (SOC) conocen la mayor confianza que puede aportar un equipo de seguridad SOC antes de una auditoría. Dado que un equipo SOC supervisa y analiza su red 24 horas al día, 7 días a la semana, conoce su red mejor que la mayoría. Su trabajo consiste en eliminar las vulnerabilidades detectadas y las vías de ataque aprovechables, su red ya estará segura antes de la auditoría. También podrán ayudarle a facilitar cualquier dato que requiera un auditor de cumplimiento de seguridad, facilitándole así el trabajo preparatorio.

Completar una auditoría de ciberseguridad puede ser un proceso muy complicado, pero con la preparación adecuada, también puede ser un proceso que no sólo recompense el cumplimiento, sino que aporte valor añadido a su organización.