Una de las frases que siempre se ha repetido a lo largo de mi carrera profesional es que la seguridad informática es un gasto y no una inversión. He vivido incidentes de seguridad en las que la empresa se paralizaba; y entonces sí se corría y se habilitaban partidas extraordinarias de dinero, tiempo y personal para recuperar los servicios lo antes posible. En algunos casos, el daño fue tan grande e intangible que la recuperación fue muy lenta y costosa.
Hoy en día parece que esto está cambiando, pero aún quedan muchas entidades públicas y privadas que no conocen las vulnerabilidades de seguridad y los riesgos que asumen para la continuidad de su negocio: mal funcionamiento de sus sistemas, ataques informáticos, multas derivadas de fugas de datos, daños a la imagen y confianza en la empresa, etc.
Una de las herramientas más útiles para estar preparados ante incidencias es la de «conocerse a sí mismo» o, dicho en lenguaje IT, la realización de auditorías para conocer el estado de seguridad en el que se encuentra una empresa en relación con sus sistemas informáticos, comunicaciones y procedimientos de trabajo. Esta fotografía es el punto de partida para identificar errores o fallos que deben ser corregidos para evitar que se produzcan paradas de producción con consecuencias catastróficas.
Clasificación de auditorías informáticas
Podemos clasificar las auditorías informáticas según qué se audita:
-
- Auditorías técnicas: Hacking ético, forense, seguridad física, seguridad de red, aplicaciones web, etc.
- Auditorías de cumplimiento: Estándares de seguridad (ISO 27001, Esquema Nacional de Seguridad, Reglamento General de Protección de Datos, ISO 9000, etc.).
- Auditorías integrales: Mezcla de auditoría técnica y de cumplimiento para una visión 360 grados.
En cuanto a quién audita, la clasificación es la siguiente:
-
- Auditorías internas: Realizadas por el personal interno de la empresa.
- Auditorías externas: Desarrolladas por una empresa externa con el fin de obtener un juicio independiente e imparcial. Dentro de esta clasificación, podríamos incluir las realizadas por empresas acreditadas de certificación.
Fallos en auditorías informáticas
Como inciso diré que, en la mayoría de las ocasiones, las organizaciones suelen tener casi siempre los siguientes fallos cuando se realizan auditorías de cumplimiento, entre otros:
- Falta de documentación obligatoria exigida en los distintos estándares. Los estándares son muy claros especificando qué tipo de documentación es requisito para cumplir la norma. A pesar de esto, nos encontramos que no existe documentación o, en el mejor de los casos, está obsoleta porque falta mantenimiento.
- Falta de compromiso de la dirección. Una dirección implicada crea una obligatoriedad de cumplimiento hacia todos los niveles de la organización sobre las acciones que se deben realizar.
- No suelen estar escritas las funciones del personal. Tampoco se suelen asignar funciones en temas de seguridad ni se segregan estas para evitar manipulaciones y fraudes. El control y el seguimiento de la seguridad tampoco se asigna a un órgano competente como el comité de seguridad.
- Alcance no delimitado. La no definición de cuál es el perímetro que se va a certificar implica no tener en cuenta aspectos clave. La recomendación en estos casos es empezar con un alcance limitado a un(os) servicio(s), un(os) departamento(s)… que permita(n) construir de forma rápida toda la estructura organizacional, procedimental y de requisitos. Posteriormente una ampliación no supondrá el mismo esfuerzo, porque gran parte está ya establecida.
Las auditorías son el inicio para identificar errores o fallos que deben ser corregidos
- Incumplimiento de procedimientos. Es muy habitual encontrar procedimientos que indican cómo se hace un proceso y que luego se comprueba que en el día a día se actúa de otra manera.
- Análisis de riesgos. El análisis de riesgos es una acción obligada. Este debe seguir una metodología contrastada, tener en cuenta los activos bajo alcance, estar actualizado y tener asociado un plan de tratamiento de riesgos que permita solventar el riesgo residual que la dirección quiere mitigar.
- Formación y concienciación. Estos dos aspectos, aunque son fundamentales y obligados en cualquier estándar, no siempre se realizan ni se planifican anualmente.
- Clasificación y etiquetado. Es obvio que si no se conoce la importancia de una información, tampoco se sabe si hay que protegerla y cómo. En mi experiencia existen procedimientos de clasificación, pero la realidad es que la mayoría de los soportes de información no están clasificados ni etiquetados.
Fases de ejecución
Casi todos los distintos tipos de auditorías suelen coincidir en sus fases de ejecución:
- Objetivos de la auditoría informática. Delimitar alcance y establecer el fin que se persigue.
- Planificación. Establecer el calendario, el personal implicado y las herramientas utilizadas.
- Recogida de información. Se utilizan entrevistas, documentación interna de la empresa, herramientas de captura, evidencias, pruebas, etc. La recogida de información en auditorías técnicas dependerá del tipo de auditoría: caja negra, sin ninguna información técnica inicial sobre el perímetro a auditar; caja gris, con información limitada para simular una maldad interna; o caja blanca, con toda la información necesaria que da la empresa.
- Estudio e interpretación de los datos. Para encontrar fallos, debilidades y buscar soluciones.
- Informe. Se recogen los objetivos, el método, las herramientas utilizadas, las personas y/o departamentos implicados, los resultados obtenidos, los riesgos de los resultados y un plan de tratamiento del riesgo que minimice el impacto de la debilidad. Este documento debe ser claro, sencillo y mostrar medidas compensatorias para cada fallo o vulnerabilidad encontrada. Es altamente recomendable que, además, se le presente a la dirección de forma gráfica para que puedan valorar la situación de partida y entender la necesidad de las medidas y soluciones recomendadas que mitiguen los riesgos y vulnerabilidades descritos en el informe. Las medidas que se recomienden deben ser argumentadas en base a estadística, experiencia y avaladas por estándares de seguridad. Además, han de estar consensuadas con los responsables afectados y priorizadas según la necesidad de solventar vulnerabilidades por parte de la empresa.
Frecuencia de la auditoría
La potencia de una auditoría se debe mantener en el tiempo, estableciendo una frecuencia mínima anual que permita atajar a tiempo una amenaza externa o una debilidad interna.
Por último, aprovecho para citar al Premio Nobel de Medicina en 1912 Alexis Carrel, que resume, en realidad, gran parte de lo que he querido intentar transmitir: «Poca observación y mucho razonamiento puede inducir a error; muchas observaciones y un poco de razonamiento, a la verdad».