análisis de seguridad informática

Cómo hacer una auditoría informática: lo que necesitas saber

15/04/2021
Número de visualizaciones

La tecnología lleva décadas presente en el seno de las empresas y a día de hoy es uno de los activos más importantes. En este artículo, te explicamos las motivaciones existentes para hacer una auditoría informática que nos garantice la seguridad de nuestros sistemas. Además de los pasos básicos que hay que llevar a cabo al realizar una.

¿Por qué es fundamental realizar una auditoría informática?

La tecnología forma parte esencial de nuestras vidas y es el núcleo de muchas empresas, sin importar el sector en el que estén encuadradas. Con el paso de los años y el avance tecnológico, la digitalización cada vez está más integrada en los diferentes procesos empresariales: desde un simple control de la jornada laboral hasta la digitalización y envío de documentos sensibles.

Estos sistemas, sean de gran importancia o no, son susceptibles a fallos (ya sean propios o fruto de un uso inadecuado) y pueden presentar fallas de seguridad. Estos errores pueden comprometer la integridad del sistema y los datos que este maneja. Es por tanto que, la auditoría informática, tiene como objetivos el análisis de los sistemas informáticos, la verificación del cumplimiento de la normativa en este ámbito y la revisión de la gestión de los recursos informáticos.

Además, la realización de este tipo de auditorías tiene efectos secundarios muy beneficiosos ya que mejoran la imagen pública de la empresa, la confianza que tienen los usuarios en la seguridad de sus sistemas, disminuye los costos asociados a la mala calidad del servicio, etcétera.

Los tres pasos fundamentales de una auditoría informática

A la hora de realizar una auditoría informática es importante recordar que siempre debe ser llevada a cabo por una entidad independiente que no tenga intereses con nuestra empresa, para de esta manera poder llevar a cabo un análisis exhaustivo y objetivo sin ningún tipo de influencia.

Esta empresa, a la hora de realizar la auditoría informática, deberá llevar a cabo tres pasos fundamentales:

  • Planificación del proyecto: establece el marco general para el proyecto.
  • Análisis de riesgos: determina cómo son los activos, cuánto valen y cómo están protegidos.
  • Gestión de riesgos permite la implementación de salvaguardas para afrontar los riesgos.

Estos pasos forman parte de la metodología MAGERIT, desarrollada en España por el Consejo Superior de Administración Electrónica (CSAE). Esta metodología surge como respuesta a la increíble dependencia informática que tienen las empresas en la actualidad. Veamos con más detalle cada uno de estos pasos.

Planificación del proyecto

Dentro de esta planificación del proyecto nos encontramos, a su vez, con un paso inicial de análisis. Este paso previo se torna como el más importante ya que sin un correcto análisis de las necesidades de la empresa no es posible llevar a cabo una auditoría satisfactoria. Es en esta etapa donde surgen todos los problemas (objetivos) a tratar en las etapas posteriores del proceso de auditoría.

Como nos podemos imaginar, no todas las empresas tienen los mismos requisitos cuando encargan una auditoría informática. Puede que en un caso la red informática sea perfecta y no tengan problemas con sus equipos físicos, pero tengan fallas en sus sistemas de seguridad. En otro caso, puede suceder al contrario y encontrarnos un sistema de seguridad perfecto, pero fallos en la red y sistemas físicos.

Es por esto que el auditor, en estrecha colaboración con los empleados y el personal implicado, deberá de establecer unos objetivos personalizados a cada caso. Determinando los objetivos a cumplir y haciendo un inventario de todos los aspectos concernientes a los sistemas y usos informáticos en la empresa.

Tras el establecimiento de los objetivos de la auditoría mediante la etapa de análisis, la realización del inventario de los componentes informáticos existentes y los usos que se les dan a estos dentro de la empresa, llegamos a la planificación en sí misma. Es en este momento donde se planifica la auditoría, es decir, cómo vamos a abordar la consecución de cada uno de los objetivos que hemos establecido con el análisis previo.

Análisis de riesgos informáticos

En esta etapa se deberán identificar todos los activos informáticos, las vulnerabilidades que presentan, a qué amenazas se encuentran expuestos y qué probabilidad e impacto tienen una vez que ocurren. Gracias a esta identificación se podrán determinar los controles pertinentes para aceptar, disminuir, transferir o evitar por completo la ocurrencia de estos riesgos.

Si nos ceñimos a la normativa oficial (ISO/IEC 27001) el análisis de riesgos incluye los siguientes puntos a tratar:

  • Identificación de los activos, requisitos legales y de negocio relevantes al proceso.
  • Valoración de dichos activos e impacto que supondría una vulnerabilidad de los mismos.
  • Identificación de las vulnerabilidades y amenazas que pueden llegar a ocurrir.
  • Evaluación del riesgo de dichas vulnerabilidades y amenazas.
  • Cálculo del riesgo.

Una vez completados estos pasos, y habiendo acotado correctamente los riesgos, se procede al último paso donde se hará una gestión de los mismos.

Gestión de riesgos informáticos

Finalmente, se tomarán medidas para resolver los problemas que ya están produciendo y prevenir los riesgos que se podrían producir en un futuro. Es en este punto donde encontramos cuatro formas de actuación frente a los riesgos detectados:

  • Controlar el riesgo: consiste en fortalecer los controles que ya están implantados en la empresa y proceder a la agregación de otros nuevos que ayuden a controlar el riesgo.
  • Eliminar el riesgo: en esta aproximación se elimina directamente el activo que está causando el riesgo por lo que, de forma transitiva, dicho riesgo también es eliminado.
  • Compartir el riesgo: mediante un acuerdo, y ante la imposibilidad de afrontar el riesgo por uno mismo, se cede la gestión del mismo a un tercero especializado en tratar dicha clase de riesgos.
  • Asumir el riesgo: en este caso, se determina que el riesgo es asumible y por lo tanto se acepta.

Conclusiones

En este artículo hemos visto por qué son importantes las auditorías informáticas, los tres pasos fundamentales que las componen y cómo llevarlos a cabo. Pero siempre hay que tener presente que la seguridad en la empresa comienza desde dentro y es por ello que un personal capacitado, guiados por unas normas y protocolos correctos, es fundamental para evitar riesgos innecesarios.

0
Categorizado en: Redes, Sistemas y Seguridad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Descubre MasterClass de INESEM. Una plataforma en la que profesionales enseñan en abierto

Profesionales enseñando en abierto