Las empresas se enfrentan a numerosas amenazas externas e internas. Si hablamos de ciberseguridad, hay que tener en cuenta también ambos aspectos. Con el aumento progresivo de la digitalización y la implementación de nuevos servicios y tecnologías, estos riesgos aumentan, pero no de forma progresiva sino de manera exponencial. El hecho de incorporar herramientas informáticas y de digitalizar toda la información de la compañía conlleva muchos beneficios, entre ellos el aumento de la eficiencia, la productividad y la competitividad. Pero también llevan consigo ese aumento de los riesgos inherentes a cualquier tecnología.
Implementar las tecnologías y servicios de seguridad que ayuden a proteger los sistemas, además de adoptar buenas políticas y cultura de ciberseguridad es fundamental. Pero para hacer todo esto de la forma más efectiva posible, hay que empezar por el principio. Conocer cuál es el estado inicial de la compañía en términos de ciberseguridad, cuáles son sus puntos fuertes y débiles así como posibles vulnerabilidades ayudará a implementar la mejor estrategia posible en cada caso. Esto permitirá, además, realizar una óptima gestión de los riesgos y establecer las mejores capacidades de respuesta ante posibles ciber incidentes.
En este sentido, las auditorías informáticas así como sus diferentes variantes son el mecanismo que nos permite obtener esa visibilidad. Básicamente nos permiten responder a varias preguntas, entre ellas: ¿Qué nivel de ciberseguridad tengo?
La auditoría informática
¿En qué estado se encuentran mis sistemas informáticos? Para responder a esta pregunta debemos recurrir a las auditorías. Estas van a ayudar a las empresas a comprobar la eficiencia de sus equipos, sus sistemas y a tener una mayor visibilidad de dónde y cómo se encuentra la información corporativa. No necesariamente tienen que estar enfocadas únicamente a los aspectos de seguridad, sino que se puede comenzar realizando una auditoría general para comprobar si todo está funcionando de forma correcta, si se utilizan los recursos de forma adecuada o si existe algún problema que corregir.
Estos aspectos en realidad están completamente hilados con los de seguridad en sí mismos, ya que para que un sistema sea seguro en primer lugar debe funcionar de forma correcta, sin fallos. Las auditorías exclusivas de seguridad se centrarán en aspectos más concretos como la seguridad de los sistemas, equipos y programas que se están usando en la empresa, detectando debilidades y posibles vulnerabilidades.
En el caso de los datos corporativos, hay que tener en cuenta que además de auditorías técnicas también conviene llevar a cabo controles y auditorías de cumplimiento, que verifiquen y velen porque se están llevando a cabo de forma apropiada las políticas y procedimientos tanto internos como en base a normativas aplicables de protección de datos.
Además de lograr esa imagen inicial del estado de los sistemas, las auditorías deben llevarse a cabo de forma periódica, ya que debido a la velocidad con la que se implementan nuevos servicios tecnológicos y crece la información, ese estado va cambiando con el tiempo. No olvidemos además que la ciberseguridad es un proceso continuo, y conocer en qué situación nos encontramos ayudará a protegernos de posibles amenazas.
Estas auditorías se pueden llevar a cabo tanto de forma interna, llevada a cabo por la propia organización, como de forma externa, contratando empresas especializadas para llevar a cabo estos controles. Controles que, por otro lado, deberían ser llevados a cabo por todas las empresas, con independencia de su tamaño.
Pentesting
¿Y si nos ponemos en la piel de un ciberdelincuente y ponemos a prueba nuestros sistemas ante un ataque? Esta es la base de un test de penetración o pentesting.
Esta técnica permite llevar a cabo ataques simulados contra los sistemas de la empresa para detectar posibles vulnerabilidades y poder corregirlas adecuadamente antes de que puedan ser explotadas por terceros.
Sus métodos incluyen desde la recogida de información en fuentes abiertas hasta simulaciones de ciberataques a nivel técnico e incluso de ingeniería social, para comprobar la capacidad de los empleados de actuar frente una amenaza de ciberseguridad que use esta técnica.
En este sentido, existen diferentes tipos de pentesting, en función de la información de base con la que cuenta el profesional que va a realizar el test de intrusión. Por ejemplo, si disponen de mucha información sobre los sistemas y políticas de seguridad de la empresa se denominan “White Box” o de caja blanca. Al contrario, si no conocen absolutamente nada, estaríamos ante un test “Black Box”, que sería prácticamente lo que haría un ciberdelincuente. En medio, encontramos los pentesting “Grey Box” que disponen de algo de información pero no toda, variable en cada caso.
Estas pruebas se realizan por empresas y profesionales que lógicamente han sido contratados y autorizados previamente para llevar a cabo estas intrusiones de forma legal, firmando los contratos de confidencialidad pertinentes.
Al igual que antes, lo ideal es llevar a cabo estos test de penetración de manera periódica. No solamente porque las propias características de la empresa van cambiando con el tiempo, sino porque los ciberataques y amenazas de seguridad van adaptándose y sofisticándose con el tiempo. Realizar pruebas de intrusiones teniendo en cuenta las nuevas técnicas de ataque nos permitirá estar un paso por delante.
Comprobar el estado antes, durante y después
Este tipo de controles que hemos mencionado se llevan a cabo idealmente “antes” de que haya ocurrido un incidente. Una vez que la empresa ha sido víctima de un ataque de ciberseguridad, se deberá llevar a cabo un análisis específico para conocer el alcance, así como una auditoría forense que permita conocer qué es lo que ha ocurrido y obtener la información relacionada con el incidente. Aunque lo ideal es realizar las auditorías para prevenir posibles intrusiones, es importante en el caso de que ocurra una llevar a cabo también este tipo de mecanismos para poner las medidas adecuadas que no se hayan puesto antes y aprender de los errores.
En definitiva, cualquier auditoría o pentesting de seguridad que se realice en la empresa será beneficioso gracias a la enorme cantidad de información que nos facilitará su informe final.
NOTA: Hemos preparado una infografía para mostrar, de manera más visual, los aspectos más relevantes del post.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.