Mejores prácticas para una auditoría de ciberseguridad

Muchas veces, no somos conscientes del grado de vulnerabilidad que presentan nuestros sistemas hasta que realizamos una auditoría de ciberseguridad, lo que es peor, que se nos haya colado un virus que paralice nuestros sistemas o hayamos tenido una pérdida de información . En este post, queremos compartir contigo cuáles son las mejores prácticas que puedes llevar a cabo en tu empresa. ¿Estás preparado?

¡Protege la infraestructura de tu compañía!

Por dónde comenzar: con una auditoría para saber cómo estás 

Cuando hablamos de una auditoría de ciberseguridad, hacemos referencia a las pruebas que se realizan en función del tipo de infraestructura/servicio que se va a auditar. Estas pruebas sirven para detectar las vulnerabilidades que pueda presentar la infraestructura TIC de una organización. En una auditoría de ciberseguridad, se determina:

• El análisis global de la situación actual.

• El análisis de los rendimientos.

• La propuesta general de la seguridad perimetral

• El análisis de la red interna. 

• Las posibles propuestas de mejora técnica en todos los aspectos que se mencionan.

• El análisis de las comunicaciones y sus vulnerabilidades. 

• El análisis del hardware y el software y políticas de actualización.

• Las recomendaciones para solventar las vulnerabilidades y mejoras de configuración.

Todas estas fases constituyen las mejores prácticas de una auditoría de ciberseguridad completa. Sin embargo, también hay que hacer preguntas del tipo: ¿Cómo es el cliente? ¿Qué recursos tiene publicados en su portal web? Con el objetivo de encontrar respuestas, lo ideal es realizar algunas pruebas tipo ‘Fase external footprinting’ (detectar IDS/IPS, descubrir SMTP y DNS, extraer información del dominio, etc.).

Una vez realizadas las pruebas, lo siguiente que debemos preguntarnos es: ¿Cuál es el estado del sitio web? Ahora que ya contamos con la información suficiente para empezar a realizar pruebas específicas, lo ideal es realizar pruebas como éstas: RFI (inclusión de ficheros remotos), XSS (Cross-site scripting), SQL Injection, etc.

No podemos olvidarnos de los servidores, firewalls y PCs, cuyas pruebas dependen de la finalidad de los servidores. Por ejemplo, si se trata de un listado de IP’s, irán enfocadas a escáner automatizados, pruebas manuales, análisis de métodos de autenticación, pivoting a la red interna, búsqueda de hashes de usuarios, etc.

El siguiente paso recomendado es analizar los puntos de acceso inalámbricos del cliente (wireless) para averiguar lo que podría llegar a hacer una persona que reciba la señal WiFi corporativa. Para ello, se analizan los nombres de los puntos de acceso, el alcance de los mismos, los repetidores, la ruptura de cifrado WEP y WPA, etc.

Para finalizar, es recomendado realizar un informe final y completo para hacer el seguimiento del cumplimiento y eficacia de las medidas que se implementen posteriormente.

¿Qué tipos de auditorías existen?

Las auditorías pueden cubrir u orientarse a aspectos generales o específicos y por ello tenemos la siguiente tipología:

• Auditoría web. El objetivo es conocer el grado de seguridad del servidor web y de la página de nuestra empresa.
• Hacking ético. Consiste en simular uno o varios tipos de ciberataque para detectar el grado de exposición de la compañía a los mismos.
• Auditoría de código. Esta prueba se realiza sobre el código de las aplicaciones informáticas usadas en la empresa.
• Auditoría de la red. Determinar cómo se conecta a internet y hacer un mapa de la red de la empresa, así como actualizar el firmware de los dispositivos y sistemas operativos. 
• Auditorías WiFi: Orientadas a la infraestructura de comunicaciones sin cable, tanto la corporativa como la que de se deja abierta para los clientes.

Las auditorías no tienen sentido como una actividad puntual sino como una acción continua ya que las amenazas pueden variar con el tiempo y hay que estar preparado para detectarlas y neutralizarlas. Como consecuencia, así estaremos preparados para prevenir, mejorar la seguridad, conocer la eficiencia de nuestros sistemas y mejorar la seguridad de los datos con los que trabajamos. 

¿En qué punto se encuentra la ciberseguridad de tu empresa? ¿Sigues usando la versión Windows 7, ya discontinuada por Microsoft? ¿Maneja tu gente habitualmente portátiles y sufren pérdidas o robos? Cuéntanos todas tus dudas, estaremos encantados de escucharte.

Lo que nunca puede faltar en tus auditorías de ciberseguridad

No importa si eres una pequeña, mediana o gran empresa. Todas las organizaciones, independientemente de su tamaño, necesitan hacer auditorías de ciberseguridad. La transformación digital está a la orden del día y ha sido impulsada por los constantes avances tecnológicos que se producen en la sociedad cada día. Mantener nuestra infraestructura informática segura es garantía de calidad, crecimiento y productividad. ¡Protégela!

Por eso, es cada vez más importante disponer de especialistas en ciberseguridad que mantengan al día nuestros equipos, monitoricen las redes y lleven a cabo auditorías que marquen las pautas a seguir en caso de estar en riesgo. 

Para finalizar, queremos ayudarte comentándote las 7 cosas que no pueden faltar en una auditoría de ciberseguridad: 

• Análisis de los programas que se usan en la compañía. 

• Comprobar todas las vulnerabilidades. 

• Plantear posibles mejoras con soluciones y medidas concretas.

• Verificar el grado de cumplimiento de la empresa con los estándares de calidad.

• Implementar planes de mejora y desarrollo. 

• Conocer los sistemas y servicios que se van a auditar o analizar.

• Analizar los dispositivos y sistemas operativos que se usan dentro de la empresa.

¿Crees que tus sistemas informáticos corren el riesgo de ser hackeados? ¿No sabes por dónde empezar? 

¡Cuéntanoslo!