Llevar a cabo una auditoría de seguridad interna es una gran manera de poner a su empresa en el camino correcto hacia la protección contra una violación de datos y otras costosas amenazas a la seguridad. Muchos profesionales de TI y de seguridad piensan que una auditoría de seguridad es una solución estresante y costosa para evaluar el cumplimiento de la seguridad de su organización (lo es, ya que los costes de las auditorías de seguridad externas rondan los 50.000 dólares). Pero están pasando por alto el hecho de que con la formación, los recursos y los datos adecuados, una auditoría de seguridad interna puede resultar eficaz para puntuar la seguridad de su organización, y puede crear conocimientos críticos y procesables para mejorar las defensas de la empresa.
Hay cinco pasos que debe seguir para asegurarse de que su auditoría de seguridad interna le proporcione un retorno de la inversión:
- Defina su auditoría
- Defina sus amenazas
- Evalúe el rendimiento actual de la seguridad
- Priorice (puntuación de riesgos)
- Formule soluciones de seguridad
Auditoría de seguridad externa frente a interna
. Auditoría de seguridad interna
Antes de sumergirnos en los detalles de cada paso, es importante entender la diferencia entre una auditoría de seguridad externa e interna. Una auditoría de seguridad externa tiene un valor increíble para las empresas, pero es prohibitivamente cara para las empresas más pequeñas y sigue dependiendo en gran medida de la cooperación y la coordinación de los equipos internos de TI y de seguridad. Estos equipos deben, en primer lugar, encontrar un socio de auditoría externa respetado y asequible, pero también se les exige que establezcan objetivos/expectativas para los auditores, que proporcionen todos los datos relevantes y precisos, y que apliquen los cambios recomendados.
Sin embargo, hay una razón por la que las organizaciones más grandes confían en las auditorías externas (y por la que las instituciones financieras están obligadas a tener auditorías externas según la Ley Gramm-Leach-Bliley) además de las auditorías y evaluaciones realizadas por los equipos internos.
Las auditorías externas son realizadas por profesionales experimentados que tienen todas las herramientas y el software apropiados para llevar a cabo una auditoría completa – suponiendo que reciben los datos y la dirección necesarios. Al ser realizadas por personas ajenas a la empresa, también se garantiza que no se pase por alto ninguna unidad de negocio debido a prejuicios internos. Los auditores tienen la ventaja de conocer todos los protocolos de seguridad y están capacitados para detectar fallos tanto en los sistemas físicos como en los digitales.
A pesar de las ventajas, muchos profesionales de la informática y la seguridad optan por las auditorías internas de seguridad debido a su rapidez, coste, eficacia y coherencia.
Con una auditoría interna de seguridad, se puede establecer una línea de base a partir de la cual se pueden medir las mejoras para futuras auditorías. Como estas auditorías internas son esencialmente gratuitas (menos el compromiso de tiempo), pueden realizarse con mayor frecuencia. Además, la recopilación y clasificación de datos relevantes se simplifica porque no se distribuyen a terceros. Otra ventaja es que las auditorías internas de seguridad interrumpen menos el flujo de trabajo de los empleados.
Si decide emprender una auditoría interna de seguridad, es imperativo que se eduque en los requisitos de cumplimiento necesarios para mantener los protocolos de seguridad. Una vez que esté familiarizado, tendrá una comprensión de dónde debe buscar – y eso significa que está listo para comenzar su auditoría de seguridad interna.
Aquí están los cinco sencillos y económicos pasos que puede dar para llevar a cabo una auditoría de seguridad interna:
Defina su auditoría
Su primer trabajo como auditor es definir el alcance de su auditoría – eso significa que necesita escribir una lista de todos sus activos. Los activos incluyen cosas obvias como el equipo informático y los datos sensibles de la empresa y de los clientes, pero también incluye cosas sin las cuales la empresa necesitaría tiempo o dinero para arreglarlas, como la documentación interna importante.
Una vez que tenga una larga lista de activos, necesita definir su perímetro de seguridad.
Un perímetro de seguridad segmenta sus activos en dos cubos: las cosas que auditará y las que no auditará. No es razonable esperar que pueda auditar todo. Elija sus activos más valiosos, construya un perímetro de seguridad alrededor de ellos y ponga el 100% de su atención en esos activos.
Defina sus amenazas
A continuación, tome su lista de activos valiosos y escriba una lista correspondiente de amenazas potenciales para esos activos.
Esto puede ir desde contraseñas pobres de los empleados que protegen los datos sensibles de la empresa o de los clientes, hasta ataques DDoS (denegación de servicio), e incluso puede incluir violaciones físicas o daños causados por un desastre natural. Esencialmente, cualquier amenaza potencial debe ser considerada, siempre y cuando la amenaza pueda costar legítimamente a sus negocios una cantidad significativa de dinero.
Aquí hay una lista de amenazas comunes en las que debe pensar durante este paso:
- Empleados negligentes: Sus empleados son su primera línea de defensa: ¿qué tan bien entrenados están para notar actividades sospechosas (por ejemplo, phishing) y para seguir los protocolos de seguridad establecidos por su equipo? ¿Están reutilizando contraseñas personales para proteger las cuentas sensibles de la empresa?
- Ataques de phishing: Los autores de infracciones recurren cada vez más a las estafas de phishing para acceder a información sensible. Más del 75% de los ataques de phishing tienen una motivación económica.
- Mal comportamiento de las contraseñas: Aprovechado en el 81% de las violaciones relacionadas con el hacking, las contraseñas débiles o robadas son el método número uno utilizado por los perpetradores.
- Insiders maliciosos: Es importante tener en cuenta que es posible que haya alguien dentro de su empresa, o que tenga acceso a sus datos a través de una conexión con un tercero, que robe o haga un mal uso de la información sensible.
- Ataques DDos: Un ataque de denegación de servicio distribuido (DDoS) es lo que ocurre cuando múltiples sistemas inundan un sistema objetivo (normalmente un servidor web) y lo sobrecargan, inutilizándolo.
- BYOD (Bring Your Own Device): ¿Su organización permite el BYOD? Si es así, la superficie de ataque para los perpetradores es mayor, y más débil. Hay que tener en cuenta cualquier dispositivo que tenga acceso a sus sistemas, incluso si no es propiedad de su empresa.
- Malware: Esto representa un número de diferentes amenazas, como gusanos, caballos de Troya, software espía, e incluye una amenaza cada vez más popular: el ransomware.
- Brecha física o desastre natural: Aunque es poco probable, las consecuencias de una o ambas cosas pueden ser increíblemente caras. ¿Cuán susceptible es su organización?
Evaluar el rendimiento actual de la seguridad
Ahora que tiene su lista de amenazas, necesita ser sincero sobre la capacidad de su empresa para defenderse de ellas. En este punto, está evaluando el rendimiento de las estructuras de seguridad existentes, lo que significa que esencialmente está evaluando su propio rendimiento, el de su equipo o el de su departamento.
Esta es un área en la que una auditoría externa puede proporcionar un valor adicional, ya que garantiza que no hay sesgos internos que afecten al resultado de la auditoría.
Es crítico para la legitimidad y eficacia de su auditoría de seguridad interna tratar de bloquear cualquier emoción o sesgo que tenga hacia la evaluación y valoración de su rendimiento hasta la fecha, y el rendimiento de su departamento en general.
Tal vez su equipo es particularmente bueno en la supervisión de su red y la detección de amenazas, pero ¿están sus empleados al día sobre los últimos métodos utilizados por los hackers para acceder a sus sistemas? Como primera línea de defensa, tal vez debería sopesar más las amenazas contra los empleados que las relacionadas con la detección de la red. Por supuesto, esto funciona en ambos sentidos en función de los puntos fuertes y débiles de su equipo en relación con las amenazas a las que se enfrenta.
Tener en cuenta la capacidad de su organización para defenderse bien de ciertas amenazas o mantener los activos valiosos bien protegidos es muy valioso durante el siguiente paso: la priorización.
Priorizar (puntuación de riesgos)
Este puede ser el trabajo más importante que tiene como auditor. ¿Cómo se prioriza?
Tome su lista de amenazas y sopese el daño potencial de que ocurra una amenaza frente a las posibilidades de que realmente pueda ocurrir (asignando así una puntuación de riesgo a cada una). Por ejemplo, una catástrofe natural puede destruir un negocio (puntuación de alto riesgo), pero si sus activos se encuentran en un lugar que nunca ha sufrido una catástrofe natural, la puntuación de riesgo debería reducirse en consecuencia.
No olvide incluir los resultados de la evaluación del rendimiento de la seguridad actual (paso nº 3) al puntuar las amenazas relevantes.
Durante su evaluación de amenazas, es importante dar un paso atrás y observar factores adicionales:
- Historia de su organización: ¿Su empresa ha sufrido un ciberataque o una brecha en el pasado?
- Tendencias actuales de ciberseguridad: ¿Cuál es el método que eligen actualmente los perpetradores? ¿Qué amenazas son cada vez más populares y cuáles son cada vez menos frecuentes? ¿Qué nuevas soluciones están disponibles para defenderse de ciertas amenazas?
- Tendencias a nivel de la industria: Digamos que usted trabaja en la industria financiera, ¿cómo afecta eso no sólo a sus datos, sino a la probabilidad de una violación? ¿Qué tipos de filtraciones son más frecuentes en su sector?
- Regulación y cumplimiento: ¿Es una empresa pública o privada? ¿Qué tipo de datos maneja? ¿Su organización almacena y/o transmite información financiera o personal sensible? ¿Quién tiene acceso a qué sistemas? Las respuestas a estas preguntas tendrán implicaciones en la puntuación de riesgo que está asignando a ciertas amenazas y el valor que está asignando a determinados activos.
Formular soluciones de seguridad
El paso final de su auditoría de seguridad interna es sencillo: tome su lista priorizada de amenazas y escriba una lista correspondiente de mejoras de seguridad o mejores prácticas para anularlas o eliminarlas. Esta lista es ahora su lista personal de tareas para las próximas semanas y meses.
Aquí hay una lista de soluciones de seguridad comunes para que usted piense durante este paso:
- Concienciación de la educación de los empleados: el 50% de los ejecutivos dicen que no tienen un programa de formación de concienciación de seguridad de los empleados. Esto es inaceptable. Los empleados son el eslabón más débil de la seguridad de su red – cree una formación para los nuevos empleados y actualizaciones para los existentes para crear conciencia en torno a las mejores prácticas de seguridad como la forma de detectar un correo electrónico de phishing.
- Protección del correo electrónico: Los ataques de phishing son cada vez más populares hoy en día, y cada vez son más difíciles de identificar. Una vez que se hace clic, un correo electrónico de phishing ofrece al autor una serie de opciones para acceder a sus datos mediante la instalación de software. Los filtros de spam ayudan, pero identificar los correos electrónicos como «internos» o «externos» a su red también es muy valioso (puede añadirlo a cada línea de asunto para que los empleados sepan de dónde proceden los correos electrónicos).
- Seguridad de contraseñas y gestión de accesos: Las contraseñas son complicadas, porque deben ser complejas y únicas para cada cuenta. Los seres humanos no están preparados para recordar decenas o centenares de contraseñas, por lo que tienden a reutilizarlas o a guardarlas en documentos de Word o blocs de notas sin protección. Invierta en un gestor de contraseñas para empresas, elimine la reutilización de contraseñas, aumente la complejidad de las mismas y permita compartirlas de forma segura. Como administrador, también puedes gestionar quién tiene acceso a qué contraseñas en toda la organización, para garantizar que las cuentas sensibles sólo están disponibles para el personal adecuado. No olvide utilizar la autenticación de dos factores para una capa adicional de seguridad.
- Supervisión de la red: Los delincuentes suelen intentar acceder a su red. Puede buscar un software de monitorización de la red que le ayude a alertar de cualquier actividad dudosa, intentos de acceso desconocidos y más, para ayudarle a estar un paso por delante de cualquier intruso potencialmente dañino. Estos sistemas de software, como Darktrace, ofrecen protección 24 horas al día, 7 días a la semana, y utilizan inteligencia artificial para ayudar a identificar los ciberdelitos antes de que se produzcan, pero suelen ser caros.
- Copia de seguridad de los datos: Es impresionante la frecuencia con la que las empresas olvidan este sencillo paso. Si algo le sucede a sus datos, es probable que su negocio esté frito. Haga una copia de seguridad de sus datos constantemente y asegúrese de que están seguros y separados en caso de un ataque de malware o un ataque físico a sus servidores primarios.
- Actualizaciones de software: Mantener a todo el mundo en su red con el software más reciente es inestimable para asegurar sus puntos de acceso. Usted puede hacer cumplir las actualizaciones de software manualmente, o puede utilizar un software como Duo para mantener sus cuentas sensibles bloqueadas a los empleados cuyo software no está actualizado.
Su auditoría de seguridad interna está completa
Felicitaciones, ahora tiene las herramientas para completar su primera auditoría de seguridad interna. Tenga en cuenta que la auditoría es un proceso iterativo y requiere una revisión continua y mejoras para futuras auditorías.
Su primera auditoría de seguridad debe ser utilizada como una línea de base para todas las auditorías futuras – la medición de sus éxitos y fracasos en el tiempo es la única manera de evaluar realmente el rendimiento.
Al continuar mejorando sus métodos y procesos, creará una atmósfera de revisión de seguridad consistente y se asegurará de estar siempre en la mejor posición para proteger su empresa contra cualquier tipo de amenaza a la seguridad.
¿Está interesado en un administrador de contraseñas para empresas que lo ayude a eliminar la reutilización de contraseñas y a protegerse contra la negligencia de los empleados? Consulte Dashlane Business, en el que confían más de 7.000 empresas de todo el mundo, y que ha sido alabado por empresas grandes y pequeñas por su eficacia a la hora de cambiar el comportamiento de seguridad y por la simplicidad de su diseño, que permite su adopción en toda la empresa.