Auditoria de sistemas

Auditoria de sistemas

Auditoria de sistemas

Antecedentes

Ante el incesante aumento de los ataques de ciberseguridad, la empresa debe determinar su nivel de seguridad actual y establecer el nivel que ha de conseguir para proteger los sistemas y la información corporativos. Por este motivo es necesario realizar auditorías que permitan la evaluación y análisis de la seguridad de los sistemas [2]. Dichas auditorias se realizarán normalmente por personal externo especializado, y ayudarán a mejorar la seguridad, eficacia y eficiencia de nuestros procesos.

Por otro lado, en ciertos casos es necesario solicitar auditorías especializadas, como por ejemplo auditorias de revisión de cumplimientos legales (auditoría RGPD y LSSI-CE), o auditorías forenses para investigar lo ocurrido tras un incidente grave (brecha de datos, botnet, ransomware, DDoS, etc.).

Objetivos

Obtener evidencias de que cómo nuestros sistemas de información cumplen con los requisitos de seguridad deseados. Utilizar estas evidencias para llevar a cabo un proceso de mejora continua de la ciberseguridad.

Puntos clave

Los puntos clave de esta política son:

  • Detallar los elementos clave que queremos que sean auditados. Para llevar a cabo con éxito el proceso de auditoría, es necesario identificar los activos de información [3] más importantes (críticos) de la empresa cuya seguridad queremos que sean revisada. Estos activos pueden ser desde ficheros, bases de datos, páginas web, equipos o programas hasta servicios completos. Para estos activos revisaremos los aspectos de ciberseguridad, entre otros [4]: 

    • sistemas antimalware 

    • procesos de gestión de permisos 

    • procesos para el cumplimiento legal 

    • políticas de prevención de fraude y de fuga de datos 

    • sistema de actualizaciones 

    • sistemas de monitorización de recursos 

  • Mejora continua y modelos de madurez. Para garantizar que los resultados de las auditorias conllevan la implantación de mejoras permanentes en ciberseguridad, es necesario enfocar el proceso de auditoría desde un punto de vista de mejora continua o de consecución de niveles de madurez. 

  • Auditorías legales. Para garantizar el cumplimiento de ciertos requisitos legales puede ser conveniente u obligatorio, realizar auditorías específicas, por ejemplo, el cumplimiento por parte de nuestra empresa del RGPD

  • Auditorías forenses. Para identificar las causas que han producido un incidente y recabar evidencias para su análisis posterior, para depurar responsabilidades o para iniciar una denuncia.  

  • Procedimientos. Seleccionaremos el tipo de auditoría más conveniente: 

    • test de penetración 

    • auditoría de red 

    • auditoría de seguridad perimetral 

    • auditoría web  

    • auditoría forense 

    • auditoria legal 

Definiremos con detalle los procedimientos y logs necesarios para realizar cada tipo de auditoría. Asimismo, concretaremos cómo registrar los resultados de estas revisiones.

  • Realización de auditorías periódicas. Debemos realizar auditorías periódicas independientes con la finalidad de revisar y evaluar todos los aspectos relacionados con la seguridad de la información de nuestra empresa. Fijaremos esta periodicidad al menos con carácter bianual. Evaluaremos si debemos repetir estas auditorías tras la implantación de algún cambio significativo en nuestros sistemas. 

  • Análisis del resultado de la auditoría. Se analizan los resultados de la auditoría en busca de errores o debilidades. Se llevan a cabo acciones para corregir las vulnerabilidades detectadas: 

    • dentificación de las causas y motivos del resultado desfavorable 

    • evaluación de las medidas correctoras  

    • implantación y revisión de dichas medidas 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.