Consejos para hacer una auditoría de seguridad informática en tu empresa

Ninguna empresa está exenta de ser víctima de los ciber-delincuentes, incluso es posible que alguien ya haya robado información de tus sistemas y tú ni si quiera te has dado cuenta.   Los ecosistemas informáticos de las empresas son cada vez más complejos, realizan cada vez más tareas, son usados por cada vez más personas, y, por lo tanto, son cada vez más difíciles de controlar.  Para tratar de minimizar los riesgos informáticos, es necesario que las empresas realicen auditorías de seguridad informática regularmente; las cuales son estudios realizados por profesionales externos a las empresas y tienen la finalidad de descubrir posibles vulnerabilidades en el ecosistema informático, incluyendo: sistemas de información, red de cómputo tanto alámbrica como inalámbrica, enlaces de Internet, servidores y equipo de cómputo de los empleados; dispositivos móviles, hábitos digitales de los usuarios, así como la verificación de cumplimiento de normativas vigentes.

Existe un sinnúmero de auditorías de seguridad informática, pero las más populares en el mundo empresarial son las siguientes: 

• Auditorias forenses:  Este servicio se contrata tras haber sido víctima de un ciber-criminal y tiene como objetivo identificar y recopilar evidencias para establecer las causas del incidente.  
• Auditorías web:  Enfocadas en conocer la seguridad de aplicaciones y servicios web, de tal manera que se identifique cualquier tipo de falla en la implementación de las mismas. Esto aplica tanto a sitios web que están publicados en Internet como a aquellos que están disponibles exclusivamente dentro de la Intranet corporativa.  
• Hacking ético:   Se trata de una prueba de intrusión que intenta utilizar las mismas técnicas y herramientas que usan los ciber-delincuentes para poner a prueba la seguridad informática. No se realiza ningún daño en los sistemas o en la información, pero si se demuestra que nuestro ecosistema digital tiene fallos y vulnerabilidades.  Al mismo tiempo, también se pone a prueba la robustez de las contraseñas.  
• Auditorías físicas:   En este caso se pone a prueba el entorno físico, incluyendo cámaras de seguridad, controles físicos de entrada, sistemas de incendios, climatización, instalaciones de suministro eléctrico, entre muchas otras cosas. Imagínate, tus cámaras de seguridad podrían estar siendo monitoreadas, incluso por personas ajenas a tu organización.  

Muchas de estas auditorías se basan en estándares como: COBIT (Objetivos de Control de la Tecnológica de la Información),  ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información), Norma ISO 27002 (Código de buenas prácticas), ISACA (Asociación de Auditoría y Control de Sistemas de Información), ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información), estándar mundial de facto en la Gestión de Servicios Informáticos, entre muchas otras más.  

Es muy importante que las auditorías informáticas las realicen personas fuera de tu organización. Por más objetiva que sea, una auditoría interna podría sesgar los resultados del estudio, y el objetivo NO es decir que todo está bien, sino encontrar los puntos débiles de tu ecosistema digital y actuar en consecuencia. Al mismo tiempo, es muy importante que las auditorías se realicen de manera periódica, pues los cambios en tus plataformas y las nuevas vulnerabilidades que aparecen todos los días podrían cambiar los resultados de esta.