Mejores prácticas en una auditoría de ciberseguridad

Mejores prácticas en una auditoría de ciberseguridad

La auditoría de ciberseguridad revisa las políticas de una empresa para enfrentar ciberataques. ¡Conoce las mejores prácticas aquí!

Por: Gianncarlo Gustavo Gómez Morales el 21 Junio 2022

Compartir en: FACEBOOK LINKEDIN TWITTER WHATSAPP

Los ataques cibernéticos no tienen cuándo acabar. Según Fortinet, durante el 2021 se registraron 11.5 millones de intentos de ciberataques en Perú. Para reducir esta cifra, es clave implementar una auditoría de ciberseguridad en la gestión de riesgos.

Pero, ¿en qué consiste esta práctica? Esta se encarga de monitorear los riesgos de seguridad cibernética que enfrentan las empresas. Asimismo, revisa las políticas, procedimientos y controles que utiliza la organización para contrarrestar y evitar ataques. Para ello, examina los procesos, software y hardware. Entre las mejores prácticas para llevarla a cabo, se pueden mencionar:

Auditoria basada en Riesgos de Ciberseguridad

La auditoría basada en riesgos es una manera de realizar las auditorías internas y externas de ciberseguridad, partiendo de la identificación de los riesgos críticos que pudieran causar un impacto negativo en la organización (pérdida reputacional, sanciones por parte de los entes reguladores, demandas, etc.).

Entre sus ventajas tenemos:

  • Enfoque centrado en el negocio, permitiendo el cumplimiento de los objetivos

  • Nivel óptimo de aseguramiento que respalda el logro de los objetivos de negocio

  • Mejor priorización de hallazgos

  • Mejora en la mitigación de los riesgos

  • Uso efectivo de los recursos de auditoría.

Determinar el criterio de auditoría.

El criterio de auditoría es la norma, marco de referencia, ley u otro sobre el cual, nos guiaremos para realizar el proceso de auditoría y compararla con las prácticas realizadas por la organización, entre ellas tenemos algunos ejemplos de criterios de auditoría:

  • ISO/IEC 27001:2013

  • Marco de Ciberseguridad NIST

  • Cybersecurity Assessment Tool – FFIEC

  • Ley 29733 Protección de Datos Personales.

Revisar las políticas de ciberseguridad

Para empezar, todas las organizaciones deben contar con una política de ciberseguridad que establezca las reglas y las normas para el buen manejo de la información confidencial de los clientes y empleados. Por ello, antes de realizar la auditoría de ciberseguridad, es fundamental revisar para comprobar su consecuencia y efectividad. Por ejemplo, si la política de copias de seguridad de una empresa es hacerla cada 30 días, puede representar un problema si se presentan eventos fortuitos, como un incendio o un desastre natural. Ello puede provocar que se pierdan los datos de un mes. Otro ejemplo de ello es la falta de autenticación al ingresar a la red corporativa. De darse el caso, se debe exigir la generación de contraseñas seguras, que integren diversos caracteres, y que sean cambiadas con frecuencia.

Centralizar las políticas de ciberseguridad

Centralizar las políticas en un solo documento ayuda a los auditores a comprender las prácticas de seguridad de la empresa. Ello permite al auditor identificar las brechas fácilmente durante la auditoría de ciberseguridad. Entre las políticas más importantes que se deben incluir en el folio, destacan:

  • Control de acceso a la red. Identificar quiénes tienen acceso a la red.

  • Políticas de seguridad relacionadas al trabajo remoto.

  • Planes de recuperación de datos ante desastres para garantizar la continuidad del negocio.

Crear una lista del personal de seguridad y sus responsabilidades

Las entrevistas a los empleados son fundamentales en una auditoría de ciberseguridad. Los auditores suelen hacerlas para entender mejor la arquitectura de seguridad de la organización. Y para ello, es clave proporcionarles un documento con los nombres, las funciones y las responsabilidades de todos los miembros del equipo.

Determinar el alcance de la auditoría de ciberseguridad

Otra práctica clave antes de empezar es determinar el alcance de la auditoría de ciberseguridad. Por ejemplo, es necesario revisar todos los procesos de seguridad o solo se centrará en ciertas partes del negocio. No obstante, lo ideal es examinar todo el marco de ciberseguridad para obtener mejores resultados. Algunos de los elementos a revisar son:

  • Hardware. Computadoras, servidores o dispositivos personales.

  • Información sensible de la empresa.

  • Información confidencial del cliente.

  • Documentación importante de la organización.

Revisar y aplicar las normas de ciberseguridad de los empleados

Finalmente, es importante asegurarse de que todos los empleados entiendan y sigan las políticas de ciberseguridad de la empresa. Por ejemplo, los colaboradores no deben utilizar su correo electrónico corporativo para asuntos personales. También deben abstenerse de revisar contenido delictivo u ofensivo, como sitios web de pornografía o casas de apuestas. Asimismo, el personal de seguridad tiene el derecho de revisar los correos electrónicos de los empleados para detectar malware o indicios de fraude.

Si quieres conocer más prácticas sobre cómo realizar una auditoría de ciberseguridad de manera correcta, participa en los programas de Tecnologías de Información que ESAN tiene para ti.

Fuentes bibliográficas:

https://www.auditool.org/blog/auditoria-externa/6316-la-auditoria-basada-en-riesgos-en-la-practica

Fortinet. (2022, 08 de febrero). América Latina sufrió más de 289 mil millones de intentos de ciberataques en 2021.

FedTechMagazine, (2021, 30 de junio). What Is a Cybersecurity Audit and Why Is It Important?

Security Scorecard. (2020, 17 de agosto). Best Practices for Cybersecurity Auditing [a Step-by-Step Checklist]

Acronis. (2021, 21 de abril). How to prepare for a cyber security audit?

Reciprocity. (2022, 26 de abril). Cybersecurity Audits: Best Practices + Checklist.

Según Fortinet, durante el 2021 se registraron 11.5 millones de intentos de ciberataques en Perú. Para reducir esta cifra, es clave implementar una auditoría de ciberseguridad en la gestión de riesgos.

Gianncarlo Gustavo Gómez Morales

Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.

Otros artículos del autor

¿Cómo realizar una evaluación de impacto en la protección de datos personales?

22 Febrero 2022

La Evaluación del Impacto relativa a la Protección de Datos (EIPD) evalúa cómo los riesgos relacionados al tratamiento de datos personales podrían afectar a las organizaciones y a sus clientes. ¿Cómo llevarla a cabo?

  • Actualidad
  • Tecnología

Principios para una adecuada arquitectura de ciberseguridad

12 Agosto 2021
La arquitectura de ciberseguridad tiene como propósito separar los componentes de información más críticos de una organización y protegerla de las amenazas y daños cibernéticos. ¿Cuáles son sus principios?
  • Actualidad
  • Tecnología

La importancia de la ciberseguridad en las infraestructuras críticas nacionales

27 Mayo 2021
Las infraestructuras críticas garantizan el óptimo funcionamiento de los servicios prestados por el Estado y las empresas privadas. ¿Cuál es su importancia y cómo prevenir ataques cibernéticos que impacten la disponibilidad de los servicios ofrecidos?
  • Actualidad
  • Tecnología