Consejos | Seguridad
Pasos para realizar una auditoría de ciberseguridad
24 noviembre, 2021

Antes de explicar el workflow y las distintas fases que tienen lugar en una auditoría de ciberseguridad, es importante explicar en qué consiste esta y qué tipos de auditorías existen. 

En líneas generales, la auditoría de seguridad se podría definir como la herramienta principal a la hora de conocer el estado de seguridad en el que se encuentra una empresa respecto a la protección de sus principales activos.

Tipos:

Dentro de las auditorías de seguridad, podemos diferenciar:

-Auditorías de cumplimiento normativo: 

En este tipo de auditoría, el auditor debe enfrentar el estado de seguridad de los sistemas, procesos, y personas del sistema auditado, a los controles que impone una norma específica. Entre otros aspectos, se deberá revisar el estado de seguridad de su información, los procesos internos relacionados con la seguridad, las buenas prácticas del personal, su conocimiento e implicación…). Por ejemplo, el ENS establece una serie de controles organizativos, operativos y de protección que deben ser cumplidos por las organizaciones en función de la categoría del sistema.

Cada norma, framework o reglamento establece sus propios controles. En ocasiones, alguno de estos controles puede exigir de otros tipos de auditoría técnica (por ejemplo, un análisis de vulnerabilidades o un test de intrusión).

-Auditorías de buenas prácticas: 

En este caso, el cliente solicita a la empresa auditora conocer el grado de seguridad de su sistema. Para hacerlo, el auditor tendrá que hacer su labor de análisis en base a buenas prácticas y a procedimientos de configuración predeterminados, e ir auditando todos los sistemas y equipos para comprobar si el servicio se está llevando a cabo en base a estos. 

Algunos organismos como el CIS crean guías de configuración segura (guías de bastionado o hardening) que sirven como referencia para este tipo de auditorías, facilitando así la labor del auditor considerablemente.

-Auditorías técnicas:

Dentro de este grupo, podemos diferenciar dos tipos:

Auditorías de Caja Blanca: Se trata de aquellas en las que el cliente otorga al auditor acceso total a sus sistemas e información, para que este compruebe si existen problemas de configuración y/o vulnerabilidades.  

En este tipo de auditoría técnica, el auditor se limita a llevar a cabo este análisis y a enfrentarlo a alguna guía de configuración, para así determinar si todo está bien configurado, si existen vulnerabilidades o brechas de seguridad importantes, y para recabar información (por ejemplo, si hubiera elementos que parchear, puertos que cerrar, o configuraciones que modificar). Finalmente, el auditor incluirá una serie de recomendaciones que tendrán como objetivo mitigar los problemas detectados.

Auditorías de Caja Negra: En este tipo de auditoría técnica, el auditor no tiene ningún acceso a los sistemas del cliente, ni conocimiento previo de estos, y tiene que identificar problemas de configuración o posibles vulnerabilidades de seguridad explotables bajo distintos escenarios, sin tener ninguna información adicional. Estos tests se llevan a cabo a través de metodologías concretas, como pueden ser OSSTMM y OWASP, por ejemplo.

La primera fase, se basa en la recopilación de información del sistema objetivo. Durante este proceso, el auditor busca información pública accesible de la empresa (footprinting), investigando elementos como las direcciones de correo de los trabajadores,  las direcciones IP, las entradas DNS, etc.

El análisis de vulnerabilidades tiene un enfoque totalmente pasivo. Sin embargo, si decidimos continuar y explotar las vulnerabilidades detectadas, el siguiente paso será llevar a cabo un test de intrusión (ofensivo). 

No obstante, para realizar un test de intrusión es obligatorio contar con un documento o aprobación del cliente, en el que se especifiquen detalles como; qué sistemas se van a atacar, en qué periodos de tiempo, desde dónde, etc. De esta manera, el departamento de seguridad será totalmente consciente de lo que está pasando y no habrá preocupaciones innecesarias.

Con un conjunto de herramientas de seguridad, el auditor tendrá que identificar los vectores de ataque y proceder a explotar las vulnerabilidades detectadas durante la fase previa. Un ejemplo de esto puede ser escoger algunas de las direcciones de correo electrónico obtenidas durante el análisis de vulnerabilidades, e intentar utilizar técnicas de phishing e ingeniería social. 

Comparte este artículo

Publicaciones Relacionadas

Algunas reglas fundamentales sobre las copias de seguridad

Algunas reglas fundamentales sobre las copias de seguridad

Ago 24, 2022

Si eres un lector habitual de este blog, a estas alturas ya sabrás nuestra opinión sobre los back ups o copias de seguridad. Si no es el caso, déjanos decirte que se trata de un aspecto fundamental no sólo para los departamentos de ciberseguridad, sino que debería serlo para cualquier empresa.

3 de los ciberataques más frecuentes para el robo de contraseñas

3 de los ciberataques más frecuentes para el robo de contraseñas

Ago 17, 2022

Cuando un ciberdelincuente se apropia indebidamente de contraseña de alguna cuenta corporativa, el trastorno que le puede suponer a la empresa es muy notable. Este problema se agrava cuando esa contraseña pertenece a una cuenta troncal, a la que están asociados los accesos de otras plataformas (cuenta de correo electrónico corporativa, gestor de contraseñas…).

Redes sociales corporativas y seguridad

Redes sociales corporativas y seguridad

Ago 10, 2022

Las redes sociales, se han convertido en una pieza fundamental en la estrategia comercial y de marketing para casi todas las empresas, especialmente para aquellas que se dirigen al consumidor final. Al fin y al cabo, se trata de la vía perfecta para dar a conocer sus productos y servicios, además de una buena manera de crear una relación más cercana con su público objetivo (tanto aquellos clientes que ya forman parte de su cartera, como clientes potenciales).

Cómo reportar un ciberataque

Cómo reportar un ciberataque

Ago 3, 2022

Cada día, se dan de media en España más de 40.000 ciberataques. En términos generales, PYMES, microempresas y autónomos son las entidades más vulnerables a estos ataques, dado que en la mayoría de los casos no cuentan con las medidas apropiadas para evitar, gestionar y solventar un incidente de estas características.

Cómo proteger al máximo los dispositivos extraíbles de tu organización

Cómo proteger al máximo los dispositivos extraíbles de tu organización

Jul 27, 2022

Dispositivos como pendrives, discos duros portátiles, o tarjetas SD, se han convertido en un elemento básico para la mayoría de nosotros a la hora de trasladar información. A pesar de que el desarrollo de la tecnología de la nube ha hecho que se utilicen menos estos dispositivos, la realidad es que muchas organizaciones los siguen utilizando, y es fundamental saber cómo proteger la información que se almacena dentro de ellos.

5 consejos para reforzar la seguridad de tu organización

5 consejos para reforzar la seguridad de tu organización

Jul 20, 2022

Durante el último año, la ciberseguridad ha sido una de las materias sobre las que más hemos publicado en nuestro blog. Al fin y al cabo, se trata de uno de los servicios más importantes para la empresa actualmente, y nos apasiona todo lo relacionado con ayudar a otras organizaciones a convertirse en ciberresilientes.

¿Quieres estar al día de nuestras publicaciones?

    Buscar

    Categorías

    Últimos Tweets

    El feed de Twitter no está disponible en este momento.

    Ir al contenido