Auditoría de seguridad informática

Una auditoría de seguridad informática es una evaluación sobre el nivel de seguridad de la información digital en una organización. La auditoría de seguridad informática abarca temas como la seguridad física de los centros de datos, la seguridad lógica de los sistemas de información, las bases de datos y las comunicaciones, así como los componentes clave y los diferentes métodos para auditar estas áreas. A menudo la auditoría de seguridad informática puede considerarse parte de la auditoría informática.

Auditoria de seguridad informatica

Qué es una auditoría de seguridad informática

Una auditoría de seguridad informática, también llamada auditoría de seguridad de la tecnología de la información, es una evaluación técnica de un sistema o aplicación informática.

Las auditorías de seguridad informática realizan evaluaciones que incluyen entrevistar al personal, explorar las vulnerabilidades de seguridad, revisar los controles de acceso a aplicaciones y sistemas operativos, analizar el acceso físico a los sistemas, evaluar los registros automatizados por el sistema o el software, así como supervisar los cambios en archivos y configuraciones en un sistema. Los sistemas pueden incluir ordenadores personales, servidores, mainframes, enrutadores de red, switches, entre otros.

Una auditoría de seguridad informática puede formar parte de una auditoría de seguridad de la información, que evalúa el nivel de seguridad de la información en una organización y abarca otros aspectos además de la seguridad informática. También puede formar parte de una auditoría informática, que evalúa todos los sistemas, infraestructuras y tecnologías de la información que operan en una organización.

El primer paso del proceso para realizar una auditoría de seguridad informática es tener un conocimiento adecuado sobre la empresa y sus actividades comerciales. El objetivo de los sistemas informáticos debe estar en línea con los objetivos del negocio, al mismo tiempo que se mantiene la seguridad e integridad de la información y los procesos críticos. Para determinar si el objetivo del cliente se está alcanzando o no, el auditor debe revisar aspectos como el organigrama, los empleados, los sistemas operativos y aplicaciones de software, los equipos del centro de datos, las políticas y procedimientos informáticos de la compañía, el presupuesto, la documentación, la planificación de sistemas y el plan de recuperación ante desastres, entre otros.

El siguiente paso en la realización de una auditoría de seguridad informática corporativa es establecer los objetivos de la auditoría. Los auditores revisan múltiples factores relacionados con los procedimientos y actividades, identifican aquellos elementos que potencialmente pueden suponer riesgos y evalúan los controles existentes que mitiguen esos riesgos. Después de una exhaustiva prueba y análisis, el auditor es capaz de determinar si el centro de datos mantiene controles adecuados y está operando de manera eficiente y eficaz.

El siguiente paso es realizar la revisión del sistema o aplicación informática, a fin de reunir evidencias para satisfacer los objetivos de auditoría predeterminados:

  • Personal: Todo el personal debe estar autorizado a acceder al centro de datos (tarjetas de claves, ID de inicio de sesión, contraseñas seguras, etc.). Los empleados deben recibir una formación adecuada sobre el equipo y realizar adecuadamente sus trabajos. El personal de servicio de los proveedores debe ser supervisado cuando trabaja en el equipo corporativo. El auditor debe observar y entrevistar a los empleados del centro de datos.
  • Equipo: El auditor debe verificar que todo el equipo está funcionando apropiadamente y con eficacia. Los reportes de utilización del equipo, la inspección de daños y funcionalidad, los registros de tiempo de inactividad del sistema y las mediciones del rendimiento del equipo ayudan al auditor a determinar el estado del equipo. Además, el auditor debe entrevistar a los empleados para determinar si las políticas de mantenimiento preventivo están presentes y se realizan.
  • Políticas y procedimientos: Todas las políticas y procedimientos deben documentarse, tales como responsabilidades del personal, políticas de respaldo, políticas de seguridad, políticas de reemplazo de empleados, procedimientos operativos del sistema y una visión general de los sistemas operativos.
  • Seguridad física/controles ambientales: El auditor debe evaluar la seguridad física de los equipos, incluyendo guardas de seguridad, controles de acceso y sistemas de monitoreo por computadora. Además, deberían establecerse controles ambientales para garantizar la seguridad del equipo, incluyendo unidades de aire acondicionado, humidificadores y fuentes de alimentación ininterrumpida o generadores de emergencia.
  • Backup: El auditor debe verificar existen procedimientos de respaldo para disponer de copias de seguridad en caso de fallo del sistema, en una ubicación separada que permita continuar instantáneamente las operaciones en caso de fallo del sistema.
  • Seguridad de la red: La seguridad de la red se logra mediante diversas herramientas específicas, como cortafuegos, servidores proxy, encriptación, seguridad lógica, controles de acceso, software antivirus y sistemas de auditoría como la administración de registros.
  • Auditoría conductual: Un aspecto importante de una auditoría de seguridad informática es la auditoría conductual, ya que las vulnerabilidades de un sistema a menudo no están relacionadas con una debilidad técnica en los sistemas informáticos de una organización, sino más bien relacionadas con el comportamiento individual dentro de la organización. Un ejemplo de esto es que los usuarios a menudo dejan sus computadoras desbloqueadas, son víctimas de ataques de phishing, utilizan contraseñas débiles o las anotan en un post-it junto a la computadora. Como resultado, una auditoría debe incluir una prueba de penetración en la que los auditores intentan obtener acceso al sistema, tanto desde la perspectiva de un empleado como de un extraño.

Finalmente, los auditores emitirán el informe de revisión, que debe resumir los hallazgos del auditor. Debe detallar los procedimientos del auditor y la evaluación de vulnerabilidades, así como medidas específicas de corrección y recomendaciones sobre la implantación de medidas preventivas. También debería indicar qué implicaba la auditoría y explicar que una auditoría de seguridad informática sólo proporciona “garantías limitadas” a terceros.