Auditoría de Seguridad Informática

¿Qué es y cuál es su importancia?

Auditoria de Seguridad Informatica - Que es y que importancia tiene

Uno de los puntos más importantes que hoy en día es actualidad en las empresas, es la preocupación por la ciberseguridad.

La extrema dependencia de cualquier negocio o sus respectivos workflow en la forma en que interactúan de forma directa o indirecta con la tecnología, redes y comunicaciones, hacen que la seguridad tecnológica pase a primer plano en todos sus aspectos, y tener claro que pueden garantizar la continuidad del negocio es parte fundamental.

Es por ello, que las auditorías de seguridad informáticas son cada vez más relevantes en el día a día.

Una auditoría de seguridad informática es un proceso o un conjunto de procesos que tratan de evaluar las diferentes vulnerabilidades que nuestra empresa tiene o puede tener.Ser conscientes de los posibles procesos técnicos, tecnológicos o legales que podemos tener, aporta una visión objetiva sobre cómo preparar la empresa para cumplir con los tres pilares fundamentales de la ciberseguridad: “Confidencialidad, integridad y disponibilidad.”

¿Qué formatos de auditorías existen?

Auditoria de Seguridad Informatica - formatos y procesos

Las auditorías en ciberseguridad se dividen en dos bloques: Internas y Externas.

  • Auditorías internas: Son aquellas realizadas por personal interno de la empresa.
  • Auditoría externa: Aquellas realizadas por personal empresas externas e independientes a la empresa.

Estos tipos de auditoría convergen en las diferentes metodologías a realizar, es decir, la forma técnica en la que se deben realizar.

Importante ser conocedor que las Auditorías de Seguridad Informáticas están destinadas a cualquier tipo de empresa, puesto que, como la seguridad misma, debe ser proporcional al tamaño de esta y los datos e información que se deben proteger.

Por ello una Auditoría de Ciberseguridad completa debe estar compuesta por diferentes procesos, según la metodología empleada y se dividen en tres partes: Auditorías de cumplimiento, auditorías técnicas y auditorías Forenses.

  • Las auditorías de cumplimiento son aquellas que verifican los cumplimientos que tiene la empresa en relación a un estándar de seguridad (Por ejemplo un Esquema Nacional de Seguridad, ISO 27001), a las propias políticas y procesos implantados (En el caso que sea un Sistema de Gestión de la Seguridad de la información (SGSI)), o bien relacionados con las prácticas legales como puedan ser la RGPD o  Compliance Penal. Estas auditorías son llevadas a cabo por consultores especializados en TIC con conocimientos en configuraciones y controles de los estándares descritos con anterioridad.
  • Las auditorías Técnicas son aquellas auditorías  de seguridad en la que el alcance está acotado a uno o varios sistemas informáticos situados en la propia empresa o entornos cloud. Estas auditorías necesitan de un perfil mucho más técnico, puesto conllevan las diferentes revisiones de configuraciones en hardware y software, y además deben conllevar la realización de pruebas relacionados con el hacking ético.
  • Las auditorías Forenses tienen como objetivo recopilar toda la información que esté en en los sistemas informáticos y tecnológicos para poder esclarecer las causas o situaciones objetivas en la resolución de un incidente de cualquier índole en la propia empresa. Por ejemplo: Robo de información, hackeo externo, etc.

El proceso de la Auditoría de Seguridad Informática

Proceso de la Auditoria de Seguridad Informatica

1. Objetivo de la Auditoría

El primer paso que se debe esclarecer a la hora de enfrentarse a la realización de una auditoría de Seguridad informática es el objetivo de la misma y el por qué de su realización.

Este objetivo nos llevará a la propia empresa a tener claro el tipo de auditoría que se debe realizar.

Una vez determinado el tipo de auditoría comenzará el proceso de esta.

2. Proceso auditoría de cumplimiento

En la realización de una auditoría de cumplimiento se evalúa el grado de implantación y cumplimiento que tiene la empresa relativo al tipo de auditoría a realizar.

En el caso de estándares de seguridad o protocolos SGSI customizado, el auditor necesitará primero de todo, el acceso a la documentación de implantación, de este modo podrá ser consciente del alcance y hacía donde enfocar la auditoría.

Es importante recalcar que la auditoría de cumplimiento en gran parte es el chequeo y comprobación, primeramente, de los protocolos y directrices implantadas en la empresa, y a posterior si la parte técnica es consecuente con dicha documentación y los controles implantados para poder evaluar dichos procesos.

Una vez realizada la parte de cumplimiento, comenzaría la auditoría técnica de cumplimiento, para evaluar los controles que debe cumplir el SGSI o la norma a evaluar.

La auditoría técnica de cumplimiento evaluará la parte de configuraciones, reglas, roles, backups, etc. Directrices que estarán incluidas en los controles y protocolos de la norma evaluada.

3. Proceso de auditoría técnica

Las auditorías técnicas están totalmente relacionadas al denominado Hacking ético y se pueden agrupar en auditorías de aplicación, de intrusión, de acceso físico y redes.

Las auditorías más solicitadas en cuestiones técnicas son aquellas relacionadas con la intrusión y las aplicaciones.

En este caso se dividen en auditorías de tipología BLACK, WHITE y GRAY.

  • Las de tipología BLACK son aquellas auditorías técnicas en la que el auditor de seguridad, sin ningún tipo de conocimiento e información, realiza trabajos de hacking para tratar de tener acceso al sistema a evaluar.
  • La auditoría de WHITE es la tipología más completa, conlleva una parte de análisis integral de toda la red, en este caso el auditor (Hacker ético o pentester), tiene conocimiento de toda la información esencial de la empresa a nivel de contraseñas y diseño y de la información de red, estructuras, servidores, etc. Y por lo tanto la auditoría es dirigida. Esta tipología muchas veces se realiza de forma interna.
  • La auditoría de tipo GRAY es la mezcla de las dos anteriores, y es la más recomendada.

¿Cómo se realiza una auditoría técnica?

El objetivo será obtener información para acceder en forma no autorizada al sistema , incluyendo la evaluación de controles de validación, ingresos, autenticación, administración de sesiones, manipulación de parámetros, cifrado de conexiones, análisis de certificados, robo de sesiones, respuesta a ataques de denegación de servicios (controlados y a petición de la organización), fuzzing e intento de descifrado de contraseñas.

 

Etapas de un proceso auditoría técnica:

  • Planificación Creación de un documento de reglas de compromiso en donde se definen los objetivos, los documentos de aprobación de la administración y se establecen metas de pruebas.
  • Reconocimiento Etapa en que se realiza el descubrimiento de la plataforma a evaluar: Dispositivos asociados, puntos de transmisión de datos, accesos físicos y virtuales, elementos de software y hardware como posibles vectores de ataque. Adicionalmente búsquedas de información como nombres e información de contacto del personal de TI, información publicada en foros o artículos relacionados.
  • Análisis de vulnerabilidades En este proceso se validan entre otros: accesos compartidos, sistemas de autenticación, bases de datos, parches de seguridad, software obsoleto o desactualizado, transmisión de datos sin cifrar, errores generados por aplicaciones, controles de acceso, administración de usuarios, exposición de datos sensibles. En esta fase se evalúan las diferentes capas del modelo OSI: Física, Vinculo de Datos, Redes, Transporte, sesión, presentación y aplicación.

Dependiendo del tipo de auditoría técnica, el análisis de vulnerabilidades se realizará de forma externa o interna.

Cabe mencionar que las pruebas internas para el análisis de vulnerabilidades, hoy en día, se realizan en muchas ocasiones a través de conexiones VPN.

  • Pruebas de intrusión: Una vez realizado el análisis de vulnerabilidades, es posible detectar diferentes puntos de acceso y vectores de ataque los cuales son aprovechados para realizar intrusiones e intentar tomar control de los sistemas, hacerse pasar por usuarios, escalar privilegios. Esta fase de intrusión no afecta la disponibilidad y se realiza con movimientos laterales en la plataforma para evitar ser detectado, logrando poner a prueba los sistemas de defensa contra atacantes reales.
  • Análisis de código: Relativo a las auditorías técnicas sobre aplicaciones (WEB, Apps, ECommerce, etc.) Al ejecutar un análisis de código, se obtiene una imagen real del estado de seguridad en sus aplicaciones, las recomendaciones y/o soluciones que se deben realizar y de esta manera crear un plan de acción para ser implementado en conjunto con el staff de desarrolladores.
  • Recolección de Evidencia: Realizadas las etapas anteriores y tomada la evidencia parte del proceso, se realiza el borrado de huellas con lo cual se pone a prueba la capacidad de contra-defensa y reacción de los encargados de la infraestructura que fue evaluada.
  • Realización de informe: La última parte en la realización de la auditoría se compone de la entrega de un informe de resultados y recomendaciones.

Una vez terminada la auditoría y entregado el informe es importante para la empresa la realización de un re-test de las vulnerabilidades encontradas en un tiempo prudencial.

Conclusión

En este artículo se ha tratado de mostrar una pequeña vista del proceso de una auditoría de seguridad. Recalcar como importante que las auditorías deben ser proporcionales y tener muy claro el objetivo de la misma.

Al final, una auditoría, como de cualquier tipología, no es más que verificar que todo está como debe estar. En tecnología, además tiene la importancia que un fallo de seguridad puede parar nuestra empresa por completo o incluso tener un trasfondo legal y económico por cuestiones que a través de nuestra propia empresa se puede hacer en nuestro nombre, sin consentimiento, pero utilizando nuestros recursos. Además, obviamente del problema reputacional y demás derivaciones.

Es por ello, que una auditoría de las diferentes tipologías descritas en este artículo, a base de pinceladas obviamente, pretende dar un pequeño haz de luz en este mundo complejo de la tecnología.

Tenemos que pensar, los sistemas informáticos y tecnológicos son por ente, una globalización “obligada” al estar conectados a la red (CLOUD, internet o cómo lo podáis entender más fácilmente), y por ello la exposición que tenemos es básicamente proporcional al número de interactuadores con la red multiplicado por los recursos de que dispone, es decir, una exposición de la que podríamos compara del sistema solar versus la vía Láctea.

El problema reside en que las empresas no son conscientes de esta realidad, y es por ello que este tipo de auditorías no son demandadas de forma habitual, pues existe la falsa creencia de que al pequeño, mediano… o incluso a lo que me dedico, no soy interesante.

La verdad, se suele comentar:

“¿Cúan apetecible eres tú, tus clientes, tus proveedores o tu información? O ¿Qué puedo hacer con tus recursos tecnológicos?”

Y esa es la realidad, de que al final todos los datos son información y todo tiene un comprador o bien un fin. Así que todos somos “apetecibles” en mayor o menor medida.

Como resumen de quien debe realizar una auditoría de este tipo, un consejo:

Las empresas que viven o interactúan en el CLOUD deben de realizar los pentester con regularidad tanto de sus sistemas internos como aquellos interconectados en el Cloud, y las empresas más tradicionales deben de realizar las auditorías de cumplimiento y técnicas de cumplimiento. Esto sería lo mínimo recomendable.

Ante un incidente, lo mejor, la auditoría forense, más bien llamado peritaje forense. Pero ojo a esto, si un sistema está bien preparado, con los controles y todo para poder “dormir tranquilo” este tipo de auditorías serán enormemente más eficaz y rápido.

Fuente y colaboración con: TechConsulting por Ricardo Ortín

Logo UCM