Los ataques cibernéticos no tienen cuándo acabar. Según Fortinet, durante el 2021 se registraron 11.5 millones de intentos de ciberataques en Perú. Para reducir esta cifra, es clave implementar una auditoría de ciberseguridad en la gestión de riesgos.
Pero, ¿en qué consiste esta práctica? Esta se encarga de monitorear los riesgos de seguridad cibernética que enfrentan las empresas. Asimismo, revisa las políticas, procedimientos y controles que utiliza la organización para contrarrestar y evitar ataques. Para ello, examina los procesos, software y hardware. Entre las mejores prácticas para llevarla a cabo, se pueden mencionar:
La auditoría basada en riesgos es una manera de realizar las auditorías internas y externas de ciberseguridad, partiendo de la identificación de los riesgos críticos que pudieran causar un impacto negativo en la organización (pérdida reputacional, sanciones por parte de los entes reguladores, demandas, etc.).
Entre sus ventajas tenemos:
Enfoque centrado en el negocio, permitiendo el cumplimiento de los objetivos
Nivel óptimo de aseguramiento que respalda el logro de los objetivos de negocio
Mejor priorización de hallazgos
Mejora en la mitigación de los riesgos
Uso efectivo de los recursos de auditoría.
El criterio de auditoría es la norma, marco de referencia, ley u otro sobre el cual, nos guiaremos para realizar el proceso de auditoría y compararla con las prácticas realizadas por la organización, entre ellas tenemos algunos ejemplos de criterios de auditoría:
ISO/IEC 27001:2013
Marco de Ciberseguridad NIST
Cybersecurity Assessment Tool – FFIEC
Ley 29733 Protección de Datos Personales.
Para empezar, todas las organizaciones deben contar con una política de ciberseguridad que establezca las reglas y las normas para el buen manejo de la información confidencial de los clientes y empleados. Por ello, antes de realizar la auditoría de ciberseguridad, es fundamental revisar para comprobar su consecuencia y efectividad. Por ejemplo, si la política de copias de seguridad de una empresa es hacerla cada 30 días, puede representar un problema si se presentan eventos fortuitos, como un incendio o un desastre natural. Ello puede provocar que se pierdan los datos de un mes. Otro ejemplo de ello es la falta de autenticación al ingresar a la red corporativa. De darse el caso, se debe exigir la generación de contraseñas seguras, que integren diversos caracteres, y que sean cambiadas con frecuencia.
Centralizar las políticas en un solo documento ayuda a los auditores a comprender las prácticas de seguridad de la empresa. Ello permite al auditor identificar las brechas fácilmente durante la auditoría de ciberseguridad. Entre las políticas más importantes que se deben incluir en el folio, destacan:
Control de acceso a la red. Identificar quiénes tienen acceso a la red.
Políticas de seguridad relacionadas al trabajo remoto.
Planes de recuperación de datos ante desastres para garantizar la continuidad del negocio.
Las entrevistas a los empleados son fundamentales en una auditoría de ciberseguridad. Los auditores suelen hacerlas para entender mejor la arquitectura de seguridad de la organización. Y para ello, es clave proporcionarles un documento con los nombres, las funciones y las responsabilidades de todos los miembros del equipo.
Otra práctica clave antes de empezar es determinar el alcance de la auditoría de ciberseguridad. Por ejemplo, es necesario revisar todos los procesos de seguridad o solo se centrará en ciertas partes del negocio. No obstante, lo ideal es examinar todo el marco de ciberseguridad para obtener mejores resultados. Algunos de los elementos a revisar son:
Hardware. Computadoras, servidores o dispositivos personales.
Información sensible de la empresa.
Información confidencial del cliente.
Documentación importante de la organización.
Finalmente, es importante asegurarse de que todos los empleados entiendan y sigan las políticas de ciberseguridad de la empresa. Por ejemplo, los colaboradores no deben utilizar su correo electrónico corporativo para asuntos personales. También deben abstenerse de revisar contenido delictivo u ofensivo, como sitios web de pornografía o casas de apuestas. Asimismo, el personal de seguridad tiene el derecho de revisar los correos electrónicos de los empleados para detectar malware o indicios de fraude.
Fuentes bibliográficas:
https://www.auditool.org/blog/auditoria-externa/6316-la-auditoria-basada-en-riesgos-en-la-practica
FedTechMagazine, (2021, 30 de junio). What Is a Cybersecurity Audit and Why Is It Important?
Acronis. (2021, 21 de abril). How to prepare for a cyber security audit?
Reciprocity. (2022, 26 de abril). Cybersecurity Audits: Best Practices + Checklist.
Según Fortinet, durante el 2021 se registraron 11.5 millones de intentos de ciberataques en Perú. Para reducir esta cifra, es clave implementar una auditoría de ciberseguridad en la gestión de riesgos.
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?