Los ataques cibernéticos no tienen cuándo acabar. Según Fortinet, durante el 2021 se registraron 11.5 millones de intentos de ciberataques en Perú. Para reducir esta cifra, es clave implementar una auditoría de ciberseguridad en la gestión de riesgos.

Pero, ¿en qué consiste esta práctica? Esta se encarga de monitorear los riesgos de seguridad cibernética que enfrentan las empresas. Asimismo, revisa las políticas, procedimientos y controles que utiliza la organización para contrarrestar y evitar ataques. Para ello, examina los procesos, software y hardware. Entre las mejores prácticas para llevarla a cabo, se pueden mencionar:

Auditoria basada en Riesgos de Ciberseguridad

La auditoría basada en riesgos es una manera de realizar las auditorías internas y externas de ciberseguridad, partiendo de la identificación de los riesgos críticos que pudieran causar un impacto negativo en la organización (pérdida reputacional, sanciones por parte de los entes reguladores, demandas, etc.).

Entre sus ventajas tenemos:

• Enfoque centrado en el negocio, permitiendo el cumplimiento de los objetivos

• Nivel óptimo de aseguramiento que respalda el logro de los objetivos de negocio

• Mejor priorización de hallazgos

• Mejora en la mitigación de los riesgos

• Uso efectivo de los recursos de auditoría.

Determinar el criterio de auditoría.

El criterio de auditoría es la norma, marco de referencia, ley u otro sobre el cual, nos guiaremos para realizar el proceso de auditoría y compararla con las prácticas realizadas por la organización, entre ellas tenemos algunos ejemplos de criterios de auditoría:

• ISO/IEC 27001:2013

• Marco de Ciberseguridad NIST

• Cybersecurity Assessment Tool – FFIEC

• Ley 29733 Protección de Datos Personales.

Revisar las políticas de ciberseguridad

Para empezar, todas las organizaciones deben contar con una política de ciberseguridad que establezca las reglas y las normas para el buen manejo de la información confidencial de los clientes y empleados. Por ello, antes de realizar la auditoría de ciberseguridad, es fundamental revisar para comprobar su consecuencia y efectividad. Por ejemplo, si la política de copias de seguridad de una empresa es hacerla cada 30 días, puede representar un problema si se presentan eventos fortuitos, como un incendio o un desastre natural. Ello puede provocar que se pierdan los datos de un mes. Otro ejemplo de ello es la falta de autenticación al ingresar a la red corporativa. De darse el caso, se debe exigir la generación de contraseñas seguras, que integren diversos caracteres, y que sean cambiadas con frecuencia.

Centralizar las políticas de ciberseguridad

Centralizar las políticas en un solo documento ayuda a los auditores a comprender las prácticas de seguridad de la empresa. Ello permite al auditor identificar las brechas fácilmente durante la auditoría de ciberseguridad. Entre las políticas más importantes que se deben incluir en el folio, destacan:

• Control de acceso a la red. Identificar quiénes tienen acceso a la red.

• Políticas de seguridad relacionadas al trabajo remoto.

• Planes de recuperación de datos ante desastres para garantizar la continuidad del negocio.

Crear una lista del personal de seguridad y sus responsabilidades

Las entrevistas a los empleados son fundamentales en una auditoría de ciberseguridad. Los auditores suelen hacerlas para entender mejor la arquitectura de seguridad de la organización. Y para ello, es clave proporcionarles un documento con los nombres, las funciones y las responsabilidades de todos los miembros del equipo.

Determinar el alcance de la auditoría de ciberseguridad

Otra práctica clave antes de empezar es determinar el alcance de la auditoría de ciberseguridad. Por ejemplo, es necesario revisar todos los procesos de seguridad o solo se centrará en ciertas partes del negocio. No obstante, lo ideal es examinar todo el marco de ciberseguridad para obtener mejores resultados. Algunos de los elementos a revisar son:

• Hardware. Computadoras, servidores o dispositivos personales.

• Información sensible de la empresa.

• Información confidencial del cliente.

• Documentación importante de la organización.

Revisar y aplicar las normas de ciberseguridad de los empleados

Finalmente, es importante asegurarse de que todos los empleados entiendan y sigan las políticas de ciberseguridad de la empresa. Por ejemplo, los colaboradores no deben utilizar su correo electrónico corporativo para asuntos personales. También deben abstenerse de revisar contenido delictivo u ofensivo, como sitios web de pornografía o casas de apuestas. Asimismo, el personal de seguridad tiene el derecho de revisar los correos electrónicos de los empleados para detectar malware o indicios de fraude.

Si quieres conocer más prácticas sobre cómo realizar una auditoría de ciberseguridad de manera correcta, participa en los programas de Tecnologías de Información que ESAN tiene para ti.

Fuentes bibliográficas:

https://www.auditool.org/blog/auditoria-externa/6316-la-auditoria-basada-en-riesgos-en-la-practica

Fortinet. (2022, 08 de febrero). América Latina sufrió más de 289 mil millones de intentos de ciberataques en 2021.

FedTechMagazine, (2021, 30 de junio). What Is a Cybersecurity Audit and Why Is It Important?

Security Scorecard. (2020, 17 de agosto). Best Practices for Cybersecurity Auditing [a Step-by-Step Checklist]

Acronis. (2021, 21 de abril). How to prepare for a cyber security audit?

Reciprocity. (2022, 26 de abril). Cybersecurity Audits: Best Practices + Checklist.