Una auditoría de seguridad informática es una evaluación de los sistemas informáticos, cuyo objetivo es detectar los posibles problemas y amenazas a la seguridad que permitiesen el acceso a un atacante ajeno al sistema informático. Principalmente se buscan vectores de ataques que aprovechen vulnerabilidades, formas ingeniosas de acceder al sistema a través de los empleados, a través de las redes wifis de la compañía, etc. El resultado final es un informe que se entrega al responsable TIC, para que subsane los "agujeros" encontrados. Aquellas vulnerabilidades críticas, se van informando directamente al responsable TIC para que las subsane inmediatamente e intentar evitar que no pase nada mientras la seguridad de la empresa se está poniendo en jaque por el auditor.
Las auditorias pueden ser de muchos tipos: Internas, externas, perimetrales, de seguridad física, tests de intrusión (de caja negra, blanca y gris), de páginas webs, de bases de datos, de códigos fuentes o aplicaciones específicas, de ingeniería social, etc.
Es en la firma del contrato con la empresa auditora donde además de otros parámetros que no vamos a entrar a detallar, se firma el tipo y el alcance que tendrá la auditoria.
Tradicionalmente los 3 elementos a proteger en un sistema informático, y que se evalúan en una auditoria son:
- Hardware: Como siempre he dicho, aquello que si te cae en el pie te hace daño. Servidores, electrónica de red, almacenamientos, equipos clientes, etc.
- Software: Las aplicaciones, desde las que corren en servidores, clientes y equipos especiales hasta las de tablets, móviles corporativos, etc. Es el conjunto de programas, instrucciones y reglas informáticas que hacen funcionar el hardware.
- Datos: Que decir de los datos. ¿Te imaginas si por ejemplo un fabricante de coches consigue los planos del nuevo diseño que va a realizar la competencia? ¿Te imaginas si por ejemplo un fabricante de aviones consigue las especificaciones técnicas de un nuevo motor que va a realizar la competencia? Todo eso se traduce en dinero, mucho dinero. Es lo más valioso a proteger. Es la información lógica de la organización, el resultado de la labor realizada.
Este podría ser un esquema típico de las capas que tendría que atravesar un atacante para llegar a los datos.
Si puede colarse en la red, encontrar una vulnerabilidad para acceder a los servidores, hacer un escalado de privilegios y tener acceso a las aplicaciones que contienen los datos...mal vamos. Se que parece como "de película", pero muchos de los sistemas informáticos tienen vulnerabilidades suficientes a explotar que permiten hacer esto y mucho mas. Fijaos, en muchas auditorias actuales encuentras vulnerabilidades del 2004, 2005...es demencial. Si pensamos en los cajeros automáticos de los bancos, a mediados de 2015 se estimaba que el 95% todavía tenían Windows XP instalado. Si exacto, ese Windows que ya no está soportado ni actualizado por Microsoft para los particulares, aunque para las grandes empresas y sobretodo entidades bancarias sea diferente, o eso dice. ¿Os imagináis las posibles vulnerabilidades que tendrán? Mejor no pensarlo.
Hay un 4º elemento que siempre se ha nombrado, pero es un poco polémico en cuanto a las auditorias de seguridad. Son los elementos fungibles: son aquellos que se gastan o se desgastan con el uso continuo, como el tóner, los cartuchos, el papel, los CDs o DVDs. Bien, hasta aquí a priori parece que no tiene mucho que ver con la seguridad informática, pero ¿Que pasa con las impresiones de temas confidenciales o los CDs y DVDs que ya han cumplido su función y se tiran? En muchas empresas no se es consciente de la importancia que tiene la información almacenada en un mísero papel, o en un CD que se ha grabado para presentar en un portatil de la sala de reuniones 4 datos a un cliente y que luego se lanza a una papelera.
De momento ahí lo dejamos. Es posible que hable mas sobre este tema...que me gusta y mucho!!!
SaluDOS.
