Ciberseguridad

Así como es importante realizar auditorías a nuestros sistemas informáticos, también es importante que tengamos en cuenta ciertos aspectos antes de realizarla. Sin planificación previa puede que el proceso se vea entorpecido y lleve más tiempo de lo normal y, con ello, se gasten más recursos de los necesarios. Por eso te dejamos un listado de las cosas más importantes que debes organizar previamente a la auditoría:

1. Informar con anticipación a tu equipo de trabajo: Hay dos grupos principales de tu empresa que deben estar al tanto y con la mejor disposición posible: el equipo directivo, quien es el que toma las decisiones; y el equipo técnico, quienes son los que permiten el acceso que necesiten los auditores para realizar su trabajo.
2. Dispones de las herramientas y acceso a los dispositivos: Para este tipo de investigaciones necesitas tener disponible uno de los siguientes métodos de acceso a la información: SNMP, Telnet y / o SSH. Para esto, debes contar con las credenciales necesarias como nombres de usuario, contraseñas, cadenas de comunidad, etc. Adicionalmente (sobre todo para el método de acceso SNMP), debes cerciorarte de que los dispositivos conectados estén configurados de forma correcta para que puedan acceder.
3. Dispones de ordenadores disponibles: Normalmente los auditores cuentan con las herramientas necesarias para llevar a cabo las investigaciones, pero en el caso de necesitarlo, debes preguntarte:

• ¿Qué tipo de ordenador pueden proporcionar al auditor?
• ¿Cuenta con la potencia informática necesaria?

Recuerda que el tiempo es dinero, y si el ordenador en el que se encuentra trabajando el auditor no tiene las capacidades necesarias para gestionar las pruebas correspondientes, puede ocasionar un retraso importante en el proceso o un gasto extra en recursos para llevarlo a cabo.

Normalmente las evaluaciones en las auditorías varían de acuerdo a la empresa, el tipo de negocio y los dispositivos a evaluar, con el fin de facilitar la investigación y entregar un análisis mucho más completo y personalizado.

 

Dentro de las áreas de enfoque más comunes a investigar encontramos:

 

• Recursos externos
• Seguridad móvil
• Red de arquitectura
• Seguridad física
• Accesos remoto
• Enrutadores, concentradores y firewalls
• Equipo de servidor y configuración
• Ingeniería social
• Infraestructura virtual
• Redes privadas virtuales (VPN)
• Seguridad VoIP
• Marcación de guerra
• Seguridad inalámbrica
• Estaciones de trabajo con Microsoft Windows
• Estaciones de trabajo que utilizan entornos UNIX

Una vez que se determine cuales son las áreas de enfoque de la investigación, se procede a realizar la auditoría correspondiente, la cual cuenta con las siguientes fases:

 

1. Análisis de huella y recopilación de información

Durante esta primera fase se realiza un inventario general de toda la red donde se incluyen los dispositivos físicos, es decir, el hardware, software y sus licencias; y la información digital como el host, procesos, datos del dominio, rangos de dirección IP, etc.

 

El objetivo principal de esta etapa es obtener un plan detallado de la situación actual de la red e identificar el perfil de seguridad general que disponga la organización. Además de entender cómo funcionan los sistemas informáticos y comprender sus políticas y protocolos de seguridad. Los principales canales que usan para obtener esta información son:

 

• Entrevistas con el personal de la empresa.
• Revisión de la documentación (políticas y protocolos).
• Análisis de especificaciones de hardware y software.
• Realizar test y utilizar herramientas para medir la seguridad de los sistemas.
• Análisis de los datos.

 

 

2. Evaluación de vulnerabilidades

 

Con la información recolectada en la primera etapa, los auditores crean una prueba para “atacar” a la red desde el exterior y de esta forma entender cuales son los puntos vulnerables del sistema que permitan la salida de información confidencial. Aquí se evalúan las vulnerabilidades de bajo nivel que permiten a cualquier técnico cualificado tener un acceso de alto nivel.

 

 

3. Evaluación de penetración

 

Esta fase es similar a la fase 2, sólo que en este caso las pruebas van dirigidas a la protección interna de la red. Es decir, que esos pequeños “ataques” desafían las defensas que tenga la red interna teniendo en cuenta que el acceso se realice desde el interior de la organización.

 

Estos ataques pueden venir desde la acción de los mismos empleados, ya sea por medio de un correo electrónico malicioso o memorias USB infectadas. Por lo que el objetivo principal de esta fase es examinar todos los puntos de entrada en busca de una debilidad que pueda comprometer la integridad y confidencialidad de los sistemas utilizados.

 

 

4. Penetración manual

 

En esta etapa se hace un análisis de la información recolectada con las anteriores pruebas, y se procede a investigar las vulnerabilidades encontradas. El objetivo es identificar todos los posibles falsos positivos para eliminarlos y enfocarse en profundidad en analizar las vulnerabilidades reales existentes.

 

5. Análisis de vulnerabilidad

 

Teniendo claras las vulnerabilidades reales existentes en la compañía, se procede a identificar cuáles son las causas sistemáticas y formular los planes para revertirlas.

 

En este proceso los auditores trabajan en conjunto con el departamento de TI de la empresa para revisar las acciones necesarias que permitan eliminar los problemas de vulnerabilidad de la compañía y proceder así a llevarlas a cabo y a actualizar la red.

 

6. Informe de la auditoría

 

Ésta es la última fase del proceso, en ella se realiza un informe detallado de los resultados obtenidos con la auditoría. Y en éste se presentan los problemas de seguridad encontrados, se ofrecen las posibles soluciones y se indican las recomendaciones de las acciones necesarias para solventarlos.

 

El informe debe presentarse de forma clara y concisa, ya que con éste la gerencia podrá conocer cuál es el estado real de sus sistemas e infraestructuras informáticas, con qué políticas de seguridad cuentan y poder tomar, en consecuencia, decisiones oportunas para mejorar sus vulnerabilidades e incrementar el nivel de seguridad.

 

Lo más recomendable es que una vez fijados los objetivos se realice una planificación de los pasos a seguir, las herramientas a utilizar, y se elabore un calendario de actividades donde se incluyan las áreas a analizar. 

 

Auditoría de infraestructura de TI

En este proceso de evaluación también es importante revisar el diseño y la eficacia del control interno de los sistemas informáticos existentes con respecto a los estándares regulares y mejores prácticas. En esta revisión se incluye: el diseño, implementación, rendimiento, eficiencia y protocolos de seguridad de los sistemas. Debe realizarse de forma periódica.

 

Además, la evaluación del departamento de TI ayuda a optimizar los recursos utilizados a través de la medición de sus fortalezas y debilidades, el uso correcto de la tecnología disponible, rendimiento, tiempos de respuesta, seguridad, etc.

1. Definir el punto de observación: Si se utiliza un Network Protocol Analyzer en la red, es importante conocer:

• ¿Dónde se va a conectar el ordenador que recopilará y analizará el tráfico de información?
• ¿Existe un puerto de conmutador disponible para realizar este proceso?
• ¿Se puede configurar SPAN / duplicación de puertos en este puerto?

Para confirmar esta información puedes consultar directamente a tu equipo de TI y así podrás organizar, en conjunto con el auditor, la mejor forma de trabajo y estimar el tiempo que se dedicará al proyecto. De la misma manera, puedes tomar decisiones en conjunto con tu equipo para definir cuándo es el mejor momento para gestionar esta evaluación.