Red Seguridad 097

red seguridad segundo trimestre 2022 117 opinión construir de forma rápida toda la es- tructura organizacional, procedimen- tal y de requisitos. Posteriormente una ampliación no supondrá el mismo esfuerzo, porque gran parte está ya establecida. Incumplimiento de procedimientos . Es muy habitual encontrar procedi- mientos que indican cómo se hace un proceso y que luego se comprueba que en el día a día se actúa de otra manera. Análisis de riesgos . El análisis de ries- gos es una acción obligada. Este debe seguir una metodología contrastada, tener en cuenta los activos bajo alcan- ce, estar actualizado y tener asociado un plan de tratamiento de riesgos que permita solventar el riesgo residual que la dirección quiere mitigar. Formación y concienciación . Estos dos aspectos, aunque son fundamen- tales y obligados en cualquier están- dar, no siempre se realizan ni se plani- fican anualmente. Clasificación y etiquetado . Es obvio que si no se conoce la importancia de una información, tampoco se sabe si hay que protegerla y cómo. En mi experiencia existen procedimientos de clasificación, pero la realidad es que la mayoría de los soportes de información no están clasificados ni etiquetados. Fases de ejecución Casi todos los distintos tipos de audi- torías suelen coincidir en sus fases de ejecución: Objetivos de la auditoría . Delimitar alcance y establecer el fin que se per- sigue. Planificación . Establecer el calenda- rio, el personal implicado y las herra- mientas utilizadas. Recogida de información . Se utilizan entrevistas, documentación interna de la empresa, herramientas de captura, evidencias, pruebas, etc. La recogida de información en auditorías técnicas dependerá del tipo de auditoría: caja negra, sin ninguna información técni- ca inicial sobre el perímetro a auditar; caja gris, con información limitada para simular una maldad interna; o caja blanca, con toda la información necesaria que da la empresa. Estudio e interpretación de los da- tos . Para encontrar fallos, debilidades y buscar soluciones. Informe . Se recogen los objetivos, el método, las herramientas utilizadas, las personas y/o departamentos im- plicados, los resultados obtenidos, los riesgos de los resultados y un plan de tratamiento del riesgo que minimice el impacto de la debilidad. Este documen- to debe ser claro, sencillo y mostrar me- didas compensatorias para cada fallo o vulnerabilidad encontrada. Es altamen- te recomendable que, además, se le presente a la dirección de forma gráfica para que puedan valorar la situación de partida y entender la necesidad de las medidas y soluciones recomendadas que mitiguen los riesgos y vulnerabili- dades descritos en el informe. Las me- didas que se recomienden deben ser argumentadas en base a estadística, experiencia y avaladas por estándares de seguridad. Además, han de estar consensuadas con los responsables afectados y priorizadas según la nece- sidad de solventar vulnerabilidades por parte de la empresa. Frecuencia de la auditoría La potencia de una auditoría se debe mantener en el tiempo, estableciendo una frecuencia mínima anual que permi- ta atajar a tiempo una amenaza externa o una debilidad interna. Por último, aprovecho para citar al Premio Nobel de Medicina en 1912 Alexis Carrel, que resume, en realidad, gran parte de lo que he querido intentar transmitir: “Poca observación y mucho razonamiento puede inducir a error; mu- chas observaciones y un poco de razo- namiento, a la verdad”. Las auditorías son el inicio para identificar errores o fallos que deben ser corregidos