Cada vez más, el papel de la seguridad en el entorno de las organizaciones está pasando a cobrar una mayor importancia. El impacto y la probabilidad de sufrir un incidente de seguridad son factores que se deben minimizar al máximo. Es por esta razón que muchas organizaciones deciden protegerse de manera proactiva, incluyendo en su hoja de ruta de seguridad la realización de auditorías.

Mediante este tipo de procesos, es posible identificar de una manera objetiva vulnerabilidades o agujeros de seguridad. Estas vulnerabilidades, están asociadas a vectores de riesgo que pueden comprometer la Seguridad de la Información, tales como; las personas, los procesos, los servicios, la información, la tecnología, las instalaciones y los proveedores.

Bajo mi punto de vista, podemos clasificar los diferentes tipos de auditoría de seguridad en tres grandes bloques, dependiendo del objeto a auditar y de las técnicas empleadas. Estos bloques son:

  • Auditorías de buenas prácticas en Seguridad de la Información
  • De cumplimiento legal y regulatorio en Seguridad de la Información
  • De hacking ético

A continuación, estudiaremos cada uno de estos tipos de auditoría, definiendo de qué manera y bajo qué criterios se realizan. Identificaremos, además, qué perfiles profesionales intervienen en cada uno de ellos, y finalmente, analizaremos de qué manera pueden ayudar a mejorar la seguridad en una organización.

Auditorías de buenas prácticas en Seguridad de la Información

En primer lugar, hablaremos de las auditorías de buenas prácticas en Seguridad de la Información.

En la realización de este tipo de auditorías es habitual es uso de marcos de referencia o frameworks (a nivel nacional o internacional), mediante los cuales contrastaremos el estado de nuestra organización con los controles de seguridad definidos en los mismos. Estos marcos se caracterizan por cubrir de una manera eficaz cada aspecto que pueda comprometer a los activos de una entidad.

Algunos de los marcos de referencia más reconocidos en este ámbito son los siguientes:

Es habitual, en organizaciones con un gran número de requerimientos de seguridad en relación con sus procesos de negocio, la definición de marcos de referencia propios adaptados a las necesidades de la propia entidad. Mediante este enfoque integral, se pretende disponer de una visón única y centralizada evitando posibles retrabajos.

Los encargados de realizar este tipo de auditorías son, por lo general, profesionales de las Tecnologías de la Información (TI) especializados en Seguridad de la Información y familiarizados con los marcos de referencia a auditar.

Auditorías de cumplimiento legal y regulatorio

Uno de los aspectos a contemplar en este tipo de auditorías, es la implicación de las obligaciones legales y regulatorias asociadas a la Seguridad de la Información en la organización. Es por ello qué, en segundo lugar, estudiaremos las auditorías de cumplimiento legal y regulatorio.

En la realización de este tipo de auditorías, se evalúa el cumplimiento de leyes y reglamentos relacionados con la seguridad. Algunas de las más importantes son las nombradas a continuación:

Este tipo de auditorías se abordan desde la vertiente legal enfocada a la Seguridad de la Información. Es por ello qué se requiere de un equipo multidisciplinar formado por profesionales del derecho especializados en seguridad y por auditores TI conocedores en profundidad de las leyes y reglamentos aplicables en este ámbito.

Otro de los aspectos más críticos en una auditoría de buenas prácticas, es el referente a la protección de la infraestructura tecnológica en la organización, la cual debe ser auditada, adicionalmente, desde el punto de vista más técnico. Debido a ello, en tercer y último lugar, hablaremos de las auditorías de Hacking Ético.

En este tipo de auditorías, se emula de una manera realista y a través de herramientas y medios técnicos, el comportamiento de los ciberatacantes, poniendo a prueba la robustez de la infraestructura tecnológica, y más concretamente la de los sistemas de información.

Hacking ético

Dentro de las auditorías de hacking etico, podemos diferenciar entre; auditorías de vulnerabilidades, test de intrusión y ejercicios de Red Team. Cada uno de estos tipos de auditoría tiene unas especificaciones y unas restricciones características, como lo son el alcance o el tipo de medios técnicos a utilizar. Sin embargo, el objetivo de estos no es otro que el de encontrar posibles vulnerabilidades o agujeros de seguridad en la infraestructura tecnológica de la organización.

En este tipo de auditorías, se cuenta con metodologías y estándares para asegurar resultados efectivos. Algunas de las metodologías más utilizadas son; Open Source Security Methodology Manual (OSSTMM), Center for Internet Security (CIS), Open Web Application Security Project (OWASP) y MITRE ATT&CK.

Los encargados de realizar este tipo de auditorías son, por lo general, profesionales de las Tecnologías de la Información y la Comunicación (TIC) especializados en ciberseguridad. Se trata de perfiles muy técnicos y con altos conocimientos en programación y en seguridad informática.

Como hemos podido ver a lo largo del post, podemos diferenciar entre tres grandes tipos de auditorías de seguridad llevadas a cabo por perfiles profesionales diferenciados.
Por una parte, las auditorías de buenas prácticas están orientadas a la gestión del riesgo, y nos ayudan a evaluar el nivel de exposición de la entidad con el objetivo de tener una visión global del estado de la Seguridad de la Información. Por otra , las auditorías de cumplimiento legal y regulatorio evalúan el nivel de cultura de compliance, con el fin último de evitar sanciones económicas. Finalmente, las auditorías de hacking ético tienen como objetivo poner a prueba la resiliencia y la protección de la infraestructura tecnológica de seguridad de la organización.

Cada uno de estos tipos de auditoría, ayudan a obtener indicadores que permiten aumentar el nivel de madurez de seguridad de la organización, aplicando, de esta manera, la mejora continua del proceso de Gobierno de Seguridad de la Información.