Auditoría de seguridad informática
A día de hoy, es mayoritario el uso de un ordenador en la empresa. Es más, nos escandalizaríamos si en algún negocio, del tipo que sea, no se gestionara y/o administrara a través de medios informáticos junto con el uso de Internet, que está más que generalizado. Es solo cuestión de mirar a nuestro alrededor.
La implantación absoluta de los sistemas informáticos en la empresa hace de ésta más competitiva a todos los niveles, tanto logístico, administración, inventario, contabilidad, RR.HH, pedidos, etc… Ni que decir tiene que el uso de Internet favorece enormemente la relación entre empresas y clientes.
Como todo activo de la empresa, tal como un vehículo, estos equipos necesitan un mantenimiento. Obviamente no el mismo que un coche o camión. La parte fundamental de cara a interactuar con el ordenador es el Sistema Operativo. Mucha gente piensa que el ordenador es eterno, perpetuo al paso del tiempo y del trabajo. Que es solo introducir información, navegar, correo, etc… Pero lejos del pensamiento casi común, un ordenador, un conjunto de equipos de una empresa X, necesita unas atenciones básicas ya que pueden ser la vía de entrada a los famosos, amigos de lo ajeno, en este caso hackers (blackhat) y crackers.
¿Cómo es posible que ese ordenador que tenemos para usar el plotter de A3 que lo usamos una vez cada día puede facilitar el robo de información?
Pues sí, lo puede ser. Un ordenador desactualizado es un objetivo bastante apetitoso.
Pero, ¿cómo sé que en mi empresa tengo mis datos seguros, mis equipos protegidos y mi red libre de ataques o filtraciones y así cumplir con la famosa y exigente Ley de Protección de Datos (LOPD)?
La respuesta: Auditoría de seguridad informática.
Una empresa con un mínimo de 50 personas, debería realizar una auditoría informática. Por otra parte ha de garantizar la seguridad de sus sistemas, ataques internos, externos, base de datos, etc…
En una auditoría informática se evalúan diferentes ámbitos. Se redactan en informes y se presentan al cliente. Se revisan, generalmente, los siguientes aspectos:
· Equipos, servidores, programas, sistemas operativos…
· Vulnerabilidades que se presenten en una revisión de los equipos informáticos de trabajo, redes de comunicaciones, servidores, etc…
· Gestión de los sistemas instalados.
· Análisis de Seguridad en los equipos y de la red.
· Procedimientos instalados.
· Análisis de los Sistemas y Programas informáticos.
· Optimización de los equipos a nivel de Software y Hardware.
· Verificar que se cumple la LOPD.
· Protocolo de Seguridad ante una amenaza tecnológica. Qué acciones realizar.
Al termino de este informe, se debe reportar otro “contra informe” para enumerar las medidas preventivas o de corrección para la solución de las incidencias encontradas.
Las auditorías de seguridad informática pueden estar orientadas a ciertos aspectos. Por ello nos encontramos con auditorías de:
· Seguridad Interna: Básicamente se testea el nivel de privacidad y seguridad de la LAN.
· Seguridad Perimetral: Se realiza un estudio de la “frontera” entre la red interna con el exterior.
· Test de intrusión: En este punto se realizan métodos de ataque controlado para acceder a los sistemas, comprobando la resistencia o vulnerabilidad de la red. Este aspecto es FUNDAMENTAL en una auditoría perimetral.
· Análisis forense: Es usado cuando ocurre algún incidente. Se intenta averiguar la posible entrada no autorizada al sistema, así como la valoración de las pérdidas ocasionadas o no.
· Código de aplicaciones: Se revisa el código de páginas Web, como de aplicaciones empleadas por la empresa.
Es muy recomendable realizar una auditoría de seguridad informática, al menos una vez al año, y cada tres meses, visitando la empresa, revisar las normas aplicadas tras la auditoría.
La formación a los empleados es fundamental para la rápida y efectiva implantación de cualquier tipo de medida y protección.
Podemos decir que una auditoría de seguridad informática en nuestra empresa garantiza la protección en un nivel bastante importante, de todos nuestros sistemas. Obviamente no existe el nivel de protección “cero” ya que esto traería problemas de eficiencia, optimización, etc…
Más información en el artículo de nuestro compañero Miguel A. Arroyo (miguel_arroyo76 en Twitter) en la Web de Proxy Servicios y Consulting.
Saludos!