Tipos de Auditoria y Consejos para hacer una auditoría de seguridad informática
La importancia que está alcanzando la seguridad informática para las empresas lleva a muchas compañías a implantar Sistemas de Gestión de Seguridad de la Información (SGSI). Estos sistemas pueden certificarse mediante la norma ISO 27001 y, en general, ayudarán a evitar brechas de seguridad y a actuar ante posibles ciberataques. Si bien, se haya implementado o no este sistema, todas las empresas deberían realizar actualmente una auditoría de seguridad informática. De lo contrario, estarán expuestas a todo tipo de amenazas y vulnerabilidades de ciberseguridad. En este artículo vas a conocer los conceptos claves de este tipo de auditorías.
¿En qué consiste una auditoría?
A grandes rasgos una auditoría es el examen, realizado por parte de personas neutrales, del cumplimiento de una determinada norma o procedimiento. Las auditorías pueden ser internas (cuando la realizan personas de la propia empresa) o externas. El objetivo de las auditorías es evaluar un sistema de gestión o procedimiento, para extraer hallazgos y conclusiones y tomar acciones correctivas, cuando sean necesarias.
En el caso de una auditoría de ciberseguridad, esta puede tener el objetivo, por ejemplo, de identificar las áreas de mejora potencial del Sistema de Información de una organización. También puede servir para prevenir la repetición de problemas de seguridad informática que hayan ocurrido en el pasado.
Tipos de auditoria de seguridad informática
Existen muchos tipos de auditoría de seguridad de la información. Si bien, podemos destacar los siete siguientes, ya que son los más comunes:
- Auditoría forense: Tiene el objetivo de identificar y recopilar evidencias digitales.
- Hacking ético: Consiste en realizar un test de intrusión en la compañía.
- Auditoría de redes: Se basa en mapear la red de dispositivos conectados en una organización.
- Análisis de código: Consiste en realizar pruebas de calidad en el sistema de seguridad de la información.
- Auditorías físicas: Buscan proteger externamente la seguridad perimetral de la infraestructura tecnológica.
- El análisis web: Se basa en conocer la seguridad de las APP y los servicios que se tienen contratados.
- Auditoría de vulnerabilidades: Trata de detectar los posibles agujeros de seguridad informática.
Consejos para realizar una auditoría eficaz
El proceso de auditoría de seguridad informática depende de muchos factores. No obstante, hay algunos consejos comunes que pueden ayudar a mejorar la calidad de las evaluaciones que se realizan en una auditoría. Podemos dividirlos en dos puntos:
El papel del auditor:
- Debe actuar de acuerdo con los requisitos aplicables a la auditoría.
- Ha de generar confianza en el auditado, y garantizar la ética y confidencialidad.
- Debe saber planificar y ejecutar la auditoría.
- Tiene que verificar la eficacia de las acciones correctivas que se han tomado.
- Ha de mostrar imparcialidad y actuar con independencia de criterio.
El informe de auditoría de seguridad:
- Toda la información recopilada ha de estar bien documentada.
- Las evidencias de la auditoría son hechos. Deben ser tangibles, objetivos y estar bien documentados.
- Los criterios de auditoría los dicta exclusivamente la norma en la que nos estemos basando. Por ejemplo, la ISO 27001. Estos criterios han de respetarse y no ponerse en duda.
- Se deben documentar todas las no conformidades y desviaciones, sin excepción.
- Todo lo que sea conforme estará documentado, pero no hay que incluirlo en el informe final de conclusiones por razones de economía. Todo ello, salvo que el cliente tenga un interés específico en que aparezca una conformidad especial.
- El informe de conclusiones es un resumen de las valoraciones y en él deben aparecer las no conformidades. Este informe se entrega al cliente firmado por el auditor.
TatyBlog 
Deja un comentario