Antes de explicar el workflow y las distintas fases que tienen lugar en una auditoría de ciberseguridad, es importante explicar en qué consiste esta y qué tipos de auditorías existen.
En líneas generales, la auditoría de seguridad se podría definir como la herramienta principal a la hora de conocer el estado de seguridad en el que se encuentra una empresa respecto a la protección de sus principales activos.
Tipos:
Dentro de las auditorías de seguridad, podemos diferenciar:
-Auditorías de cumplimiento normativo:
En este tipo de auditoría, el auditor debe enfrentar el estado de seguridad de los sistemas, procesos, y personas del sistema auditado, a los controles que impone una norma específica. Entre otros aspectos, se deberá revisar el estado de seguridad de su información, los procesos internos relacionados con la seguridad, las buenas prácticas del personal, su conocimiento e implicación…). Por ejemplo, el ENS establece una serie de controles organizativos, operativos y de protección que deben ser cumplidos por las organizaciones en función de la categoría del sistema.
Cada norma, framework o reglamento establece sus propios controles. En ocasiones, alguno de estos controles puede exigir de otros tipos de auditoría técnica (por ejemplo, un análisis de vulnerabilidades o un test de intrusión).
-Auditorías de buenas prácticas:
En este caso, el cliente solicita a la empresa auditora conocer el grado de seguridad de su sistema. Para hacerlo, el auditor tendrá que hacer su labor de análisis en base a buenas prácticas y a procedimientos de configuración predeterminados, e ir auditando todos los sistemas y equipos para comprobar si el servicio se está llevando a cabo en base a estos.
Algunos organismos como el CIS crean guías de configuración segura (guías de bastionado o hardening) que sirven como referencia para este tipo de auditorías, facilitando así la labor del auditor considerablemente.
-Auditorías técnicas:
Dentro de este grupo, podemos diferenciar dos tipos:
Auditorías de Caja Blanca: Se trata de aquellas en las que el cliente otorga al auditor acceso total a sus sistemas e información, para que este compruebe si existen problemas de configuración y/o vulnerabilidades.
En este tipo de auditoría técnica, el auditor se limita a llevar a cabo este análisis y a enfrentarlo a alguna guía de configuración, para así determinar si todo está bien configurado, si existen vulnerabilidades o brechas de seguridad importantes, y para recabar información (por ejemplo, si hubiera elementos que parchear, puertos que cerrar, o configuraciones que modificar). Finalmente, el auditor incluirá una serie de recomendaciones que tendrán como objetivo mitigar los problemas detectados.
Auditorías de Caja Negra: En este tipo de auditoría técnica, el auditor no tiene ningún acceso a los sistemas del cliente, ni conocimiento previo de estos, y tiene que identificar problemas de configuración o posibles vulnerabilidades de seguridad explotables bajo distintos escenarios, sin tener ninguna información adicional. Estos tests se llevan a cabo a través de metodologías concretas, como pueden ser OSSTMM y OWASP, por ejemplo.
La primera fase, se basa en la recopilación de información del sistema objetivo. Durante este proceso, el auditor busca información pública accesible de la empresa (footprinting), investigando elementos como las direcciones de correo de los trabajadores, las direcciones IP, las entradas DNS, etc.
El análisis de vulnerabilidades tiene un enfoque totalmente pasivo. Sin embargo, si decidimos continuar y explotar las vulnerabilidades detectadas, el siguiente paso será llevar a cabo un test de intrusión (ofensivo).
No obstante, para realizar un test de intrusión es obligatorio contar con un documento o aprobación del cliente, en el que se especifiquen detalles como; qué sistemas se van a atacar, en qué periodos de tiempo, desde dónde, etc. De esta manera, el departamento de seguridad será totalmente consciente de lo que está pasando y no habrá preocupaciones innecesarias.
Con un conjunto de herramientas de seguridad, el auditor tendrá que identificar los vectores de ataque y proceder a explotar las vulnerabilidades detectadas durante la fase previa. Un ejemplo de esto puede ser escoger algunas de las direcciones de correo electrónico obtenidas durante el análisis de vulnerabilidades, e intentar utilizar técnicas de phishing e ingeniería social.