1 115 Table of Contents 117 148

Red Seguridad 097

116 red seguridad segundo trimestre 2022 opinión Una de las frases que siempre se ha re- petido a lo largo de mi carrera profesio- nal es que la seguridad informática es un gasto y no una inversión. He vivido incidentes de seguridad en las que la empresa se paralizaba; y entonces sí se corría y se habilitaban partidas extraordi- narias de dinero, tiempo y personal para recuperar los servicios lo antes posible. En algunos casos, el daño fue tan gran- de e intangible que la recuperación fue muy lenta y costosa. Hoy en día parece que esto está cam- biando, pero aún quedan muchas enti- dades públicas y privadas que no cono- cen las vulnerabilidades de seguridad y los riesgos que asumen para la continui- dad de su negocio: mal funcionamiento de sus sistemas, ataques informáticos, multas derivadas de fugas de datos, da- ños a la imagen y confianza en la em- presa, etc. Una de las herramientas más útiles para estar preparados ante incidencias es la de “conocerse a sí mismo” o, dicho en lenguaje IT, la realización de audito- rías para conocer el estado de seguridad en el que se encuentra una empresa en relación con sus sistemas informáticos, comunicaciones y procedimientos de trabajo. Esta fotografía es el punto de partida para identificar errores o fallos que deben ser corregidos para evitar que se produzcan paradas de producción con consecuencias catastróficas. Clasificación de auditorías Podemos clasificar las auditorías según qué se audita: Auditorías técnicas : Hacking ético, fo- rense, seguridad física, seguridad de red, aplicaciones web, etc. Auditorías de cumplimiento : Están- dares de seguridad (ISO 27001, Es- quema Nacional de Seguridad, Regla- mento General de Protección de Datos , ISO 9000, etc.). Auditorías integrales : Mezcla de au- ditoría técnica y de cumplimiento para una visión 360 grados. En cuanto a quién audita, la clasificación es la siguiente: Auditorías internas : Realizadas por el personal interno de la empresa. Auditorías externas : Desarrolladas por una empresa externa con el fin de obte- ner un juicio independiente e imparcial. Dentro de esta clasificación, podríamos incluir las realizadas por empresas acreditadas de certificación. Fallos en auditorías Como inciso diré que, en la mayoría de las ocasiones, las organizaciones suelen tener casi siempre los siguientes fallos cuando se realizan auditorías de cumpli- miento, entre otros: Falta de documentación obligatoria exigida en los distintos estándares . Los estándares son muy claros espe- cificando qué tipo de documentación es requisito para cumplir la norma. A pesar de esto, nos encontramos que no existe documentación o, en el me- jor de los casos, está obsoleta porque falta mantenimiento. Falta de compromiso de la direc- ción . Una dirección implicada crea una obligatoriedad de cumplimiento hacia todos los niveles de la organiza- ción sobre las acciones que se deben realizar. No suelen estar escritas las funcio- nes del personal . Tampoco se suelen asignar funciones en temas de segu- ridad ni se segregan estas para evitar manipulaciones y fraudes. El control y el seguimiento de la seguridad tampo- co se asigna a un órgano competente como el comité de seguridad. Alcance no delimitado . La no defini- ción de cuál es el perímetro que se va a certificar implica no tener en cuenta aspectos clave. La recomendación en estos casos es empezar con un alcan- ce limitado a un(os) servicio(s), un(os) departamento(s)… que permita(n) ¿Por qué son fundamentales las auditorías para evitar ataques? M aría J osé H ernández R odríguez Directora técnica de Formind

RkJQdWJsaXNoZXIy MTI4MzQz