¿Qué es una Auditoría de Ciberseguridad?: Pasos, Tipos y Objetivos

En este artículo, vamos a definir y comprender qué es una auditoría de ciberseguridad. Veremos qué necesidades puede satisfacer, cuáles son sus desafíos, sus modalidades y objetivos.

¿Alguna vez has pensado en la seguridad de tus datos y de tu sistema de información? No hay un día, ni siquiera un minuto, en que los sistemas de todo el mundo no reciban solicitudes de hackers (humanos o robots) que intentan introducirse en tus sistemas. Sus objetivos pueden ser el dinero, la defensa de ideologías religiosas o (geo)políticas, el espionaje industrial, etc. En este contexto, veremos que la auditoría de seguridad informática es una etapa fundamental para la protección de los sistemas. Pero, ¿en qué consiste exactamente una auditoría de ciberseguridad y por qué es indispensable para tu organización?

A diferencia de lo que se piensa, una auditoría de ciberseguridad no debe confundirse con una prueba de intrusión o prueba de penetración, que es solo uno de sus componentes. Veamos todo esto más de cerca.

Auditoría de ciberseguridad: objetivos y desafíos

Una auditoría de ciberseguridad (auditoría de seguridad informática) consiste en una evaluación exhaustiva y metódica de tu sistema de información. El objetivo es identificar las vulnerabilidades y los riesgos potenciales en materia de seguridad. En resumen, es como un chequeo completo de tu sistema para ver cuáles son sus debilidades y cómo reforzar su resistencia. Este análisis puede ser realizado internamente por tus equipos, o externamente por expertos especializados. Cada enfoque tiene sus ventajas, pero una perspectiva externa a menudo aporta una visión nueva y experiencia.

Una auditoría de ciberseguridad puede adoptar varias formas. Revisaremos estas diferentes formas posteriormente para comprender sus intereses y metodologías. Sin embargo, hay que entender que cada situación es diferente y puede requerir un ángulo de ataque y análisis específico.

Para realizar su análisis, los auditores se basan en guías, referencias, buenas prácticas, o directamente en normas o leyes.

El trabajo de fondo de un auditor es, por lo tanto, confrontar una situación, una configuración, una arquitectura o un fragmento de código con uno de estos elementos y constatar si hay o no conformidad.

Por ejemplo, una de las recomendaciones clave de estándares internacionales como la norma ISO/IEC 27001 (Anexo A, control A.6.3) es “Capacitar al personal en la seguridad de los sistemas de información”. Los auditores, por lo tanto, intentarán averiguar y demostrar que este es el caso, y recordarán esta directiva y proporcionarán recomendaciones más detalladas si no lo es. Todo ello exponiendo la importancia de la formación de los equipos, los riesgos concretos para la entidad cuando no se realiza, etc.

En una auditoría, todo debe basarse en hechos para evitar cualquier ambigüedad. Se habla entonces de prueba de auditoría. Puede tratarse de notas tomadas durante una entrevista oral, de un registro de configuración, de un extracto de documentación o de un registro técnico (prueba del éxito de un ataque, fragmento de código, etc.).

La ciberseguridad es un componente central para todas las organizaciones, independientemente de su tamaño.

Estas son las tres razones principales que hacen que las auditorías sean indispensables:

#1. Proteger y cumplir

Las auditorías periódicas permiten identificar las debilidades del sistema de información antes de que sean explotadas por hackers, ofreciendo así la oportunidad de corregirlas proactivamente. Además, numerosas regulaciones como el RGPD o la directiva NIS2 imponen requisitos estrictos en materia de seguridad de datos. Las auditorías ayudan a las organizaciones a mantener este cumplimiento legal.

Además, los auditores de ciberseguridad, gracias a su experiencia y conocimiento de los riesgos y técnicas de ataque más recientes, desempeñan un papel educativo importante. Ayudan a los equipos internos a comprender los riesgos que pesan sobre su sistema de información y demuestran concretamente cómo diferentes debilidades podrían ser explotadas.

#2. Optimización y mejora continua

Las conclusiones de una auditoría de ciberseguridad ayudan a identificar las inversiones prioritarias en materia de seguridad. Una auditoría permite, por lo tanto, tomar decisiones sobre la orientación del presupuesto asignado a la ciberseguridad, pero también controlar si las decisiones pasadas son eficaces.

Además, permiten una supervisión y una mejora continua de las medidas de seguridad. Ayudan a identificar las nuevas vulnerabilidades que puedan aparecer con la evolución del sistema de información, las nuevas técnicas de ataque y a ajustar las estrategias de seguridad en consecuencia. Este enfoque es comparable a la inspección técnica de un automóvil: permite asegurarse regularmente de que, a pesar de sus evoluciones y su uso diario, un sistema de información mantiene un cierto nivel de resistencia.

#3. Imagen y confianza en la organización

Las auditorías de seguridad también desempeñan un papel en el fortalecimiento de la confianza de los socios de una organización (clientes, proveedores). Demuestran de forma tangible que la organización se toma en serio la seguridad de los datos e implementa medidas para protegerlos. Esta demostración de seriedad es a veces incluso un requisito previo para establecer asociaciones estratégicas o finalizar operaciones de adquisición, especialmente cuando se prevé una interconexión de los sistemas de información.

Finalmente, al prevenir los ciberataques y el robo de datos, las auditorías contribuyen directamente a proteger la reputación de la organización, evitando así los daños financieros y de imagen asociados a incidentes de seguridad.

La realización de una auditoría concluye con la redacción de un informe de auditoría que tiene como objetivo proporcionar los detalles, las métricas y el resumen de los elementos detectados. Esto puede incluir los puntos positivos, los puntos negativos, los detalles técnicos de las vulnerabilidades encontradas.

El informe de auditoría también contiene elementos que permiten evaluar la gravedad de una vulnerabilidad, el nivel de seguridad global, una estimación de la urgencia de aplicación de las recomendaciones, así como los detalles de los elementos que se deben implementar para corregir una vulnerabilidad.

Como se indicó anteriormente, una auditoría puede adoptar varias formas (a veces denominadas alcances de auditoría), que pueden ser más o menos técnicas y tener metodologías o ángulos de análisis diferentes. Cada tipo de auditoría suele ser complementaria y aporta una confirmación, invalidación o información adicional con respecto a los resultados de otro tipo de auditoría.

Veamos cuáles son estos diferentes alcances.

Tipos de auditoría de ciberseguridad

#1. La prueba de intrusión

Es sin duda el tipo de auditoría más conocido, hasta el punto de que a veces ocupa el lugar y la definición. La prueba de intrusión (o prueba de penetración, traducción torpe de pentest) consiste en que los auditores adopten el lugar, la mentalidad, los objetivos y las herramientas de un pirata informático (hacker). Su objetivo es, por lo tanto, introducirse en el sistema de información a partir de una posición determinada (que puede ser Internet, una proximidad física, la red Wifi, una sala de reuniones, etc.) y luego progresar, comprometer cuentas, sistemas y datos.

Aunque la prueba de intrusión a menudo designa el ataque a un sistema de información, también puede limitarse a un recurso o a algunos componentes. Por ejemplo, un sitio web, un ERP, un entorno en la nube, etc.

Este enfoque es el más claro, ya que permite confirmar objetivamente que un sistema es vulnerable. Permite exponer paso a paso las debilidades explotadas y los posibles impactos.

Para llevar a cabo este proceso, que en circunstancias normales sería totalmente ilegal, los auditores disponen de una autorización específica del auditado.

El objetivo principal es hacer referencia a las debilidades del perímetro auditado, como un sistema de información. Un segundo objetivo puede ser comprometer una cuenta de administrador del dominio (u otro tipo de acceso privilegiado), ya que esta posee las claves de todos los sistemas y permite “hacerlo todo” en el SI.

Esto permite demostrar que una compromiso completo es posible gracias a la “concatenación” de algunas de las vulnerabilidades descubiertas. También se pueden definir trofeos más específicos y precisos que los auditores intentarán alcanzar.

Esto puede ser “obtener los detalles del último contrato firmado con nuestro cliente”, “leer los correos electrónicos de nuestro director general”, “tener acceso a las nóminas”, etc. El hecho de alcanzar estos diferentes objetivos o no permitirá al auditado evaluar la solidez de los mecanismos de seguridad implementados para proteger los objetivos definidos.

Para ello, los auditores detectarán varias debilidades o vulnerabilidades y las explotarán de forma encadenada para dibujar un camino de compromiso completo (a veces llamado escenario de ataque).

En el marco de esta identificación de debilidades o incumplimiento de las buenas prácticas presentes en el SI, se realizan una serie de análisis y cartografías para obtener la mayor cantidad de información posible. Se podrá, por ejemplo, elaborar la lista de usuarios con contraseñas débiles, sistemas que no tienen la obligación de firmar los intercambios SMBv1 o servicios FTP accesibles sin autenticación. También se deben realizar numerosos controles en Active Directory, sus objetos y sus relaciones.

Aquí hay una lista de algunas herramientas y recursos utilizados en las pruebas de intrusión:

• Nmap: Para el análisis y la cartografía de la red (ver nuestro curso gratuito sobre el tema)
• Metasploit: Framework de explotación y automatización de ataques
• Exegol: Paquete de herramientas en forma de contenedor Docker (¡hecho en Francia!)
• BurpSuite: Proxy local, para la interceptación, el análisis, la modificación y la repetición de las solicitudes web.
• BloodHound: Herramienta de análisis de las debilidades de Active Directory y las rutas de ataque (ver nuestro curso gratuito sobre el tema)
• OWASP Testing Guide: Repositorio de pruebas para aplicaciones web
• MITRE ATT&CK: Repositorios de técnicas de ataque.

Durante una prueba de intrusión, se distinguen tres tipos de enfoques, que pueden combinarse. Se diferencian por el nivel de información proporcionado a los auditores para realizar sus pruebas.

• Enfoque “caja negra”: Se acerca más a un ataque real. En este caso, no se proporciona ninguna información a los auditores antes del inicio de las pruebas. Deben descubrir y explotar las vulnerabilidades sin conocimiento previo del sistema. Es el enfoque más realista para simular un ciberataque, pero también puede ser el más largo y costoso.
• Enfoque “caja gris”: En este caso, los auditores reciben cierta información sobre el sistema, pero no toda. El nivel de detalle proporcionado depende de los objetivos específicos de la auditoría y del objetivo probado. Este método simula una situación en la que un atacante ya habría obtenido un acceso limitado al sistema, por ejemplo, al haber comprometido una cuenta de usuario estándar o al tener acceso a algunas partes no públicas de la infraestructura. La ventaja de este enfoque es que permite probar la resistencia del sistema ante un atacante que ya habría superado una primera línea de defensa, sin dejar de ser más realista que un enfoque completo de caja blanca (ejemplo: se dispone de una cuenta de becario válida en AD, y de un puesto de usuario).
• Enfoque “caja blanca”: A diferencia de la caja negra, el enfoque de caja blanca proporciona a los auditores la máxima información sobre el sistema objetivo: código fuente, credenciales de administrador, documentación técnica, etc. Este método permite identificar vulnerabilidades que podrían pasar desapercibidas sin un conocimiento profundo del sistema. Es particularmente eficaz para detectar fallos complejos o problemas de configuración que requieren una comprensión precisa de la arquitectura. Es un enfoque que también permite solucionar el problema del tiempo limitado que presenta una auditoría y para el cual el enfoque de caja negra parece lento.

Sin embargo, hay que tener en cuenta que, aunque pueda parecer el aspecto más “atractivo” del trabajo de auditor, no es necesariamente su actividad principal. Algunos auditores, por ejemplo, se especializarán en la realización de auditorías organizativas o físicas y, aunque comprendan los desafíos y objetivos, no serán necesariamente expertos técnicos capaces de realizar pruebas de intrusión (lo contrario también es cierto).

Por lo tanto, el trabajo de auditor en realidad está compuesto por varias funciones, que uno puede tener o no según sus experiencias y aptitudes (sin hablar de las numerosas funciones normativas y tecnológicas).

#2. La auditoría de arquitectura

La auditoría de arquitectura es un alcance que no debe pasarse por alto para evaluar el diseño general de tu sistema de información. No se trata solo de verificar los componentes individuales, sino de comprender cómo interactúan y se integran para formar un todo coherente y seguro. Consiste en la revisión de la arquitectura (en el sentido de redes y subredes), de los cortafuegos y de los mecanismos de control/filtrado de flujos, de los sistemas de copia de seguridad, de actualización, de registro, de administración y de todos los componentes que tienen un impacto en la seguridad.

El objetivo es asegurarse de que la arquitectura es sólida y capaz de resistir las amenazas potenciales, pero también de bloquear, o incluso detectar, a un atacante.

Los auditores suelen utilizar la documentación interna y los diagramas para visualizar la arquitectura e identificar los puntos débiles. Esta revisión documental se complementa con entrevistas orales con las personas responsables del SI: administradores de sistemas, de redes, RSSI, DSI, etc. En este sentido, la auditoría de arquitectura se combina muy bien con la prueba de intrusión, que a menudo permite confirmar o refutar la composición arquitectónica tal como se define en la documentación o se evalúa durante las entrevistas.

Por ejemplo, a menudo ocurre que un cortafuegos entre dos zonas está mal configurado, permitiendo el paso de flujos que deberían estar bloqueados. En este caso, la auditoría de arquitectura permite identificar un componente central e importante desde el punto de vista de la seguridad. La revisión de la documentación de arquitectura puede dar la impresión de una situación controlada y segura, mientras que la prueba de intrusión puede revelar una realidad diferente.

#3. La auditoría de código

La auditoría de código consiste en examinar el código fuente de una aplicación, un sitio web o una aplicación móvil para identificar las posibles vulnerabilidades, los errores de programación y el incumplimiento de las buenas prácticas de desarrollo. A menudo se habla de “caja blanca” en la medida en que todos los secretos de la aplicación se proporcionan a los auditores.

Este tipo de auditoría a menudo se combina con una prueba de intrusión. Esto permite validar las debilidades descubiertas a través de ataques concretos. A menudo se trata de un ejercicio difícil, ya que una vulnerabilidad evidente de un fragmento de código debe colocarse en su contexto de ejecución. Los controles de seguridad en una entrada de usuario pueden, por ejemplo, realizarse antes o después del código que se está analizando en el momento T.

Los auditores utilizan herramientas de análisis estático y dinámico para detectar fallos de seguridad. Estas herramientas permiten analizar el código en busca de patrones conocidos de vulnerabilidades, como funciones inseguras, inyecciones SQL, desbordamientos de búfer y fallos de tipo cross-site scripting (XSS). Los resultados de estas herramientas se analizan y se completan con el trabajo manual del auditor, lo que permite, en particular, realizar controles relativos al aspecto empresarial del código analizado.

Aquí tienes algunas herramientas que pueden utilizarse durante una auditoría de código:

• SonarQube: Para el análisis estático.
• Checkmarx: Para el análisis de código fuente.
• Aura: Auditoría de Seguridad e Introspección de Código

#4.. La auditoría de configuración

La auditoría de configuración tiene como objetivo verificar que los sistemas y las aplicaciones están configurados de forma segura, de conformidad con las buenas prácticas. Esto incluye la verificación de los parámetros de seguridad, los permisos de acceso, las configuraciones de red y las políticas de gestión de usuarios, etc. Según los sistemas analizados, los elementos revisados pueden ser muy diferentes.

Para dar algunos ejemplos, se puede incluir en una auditoría un alcance de “auditoría de configuración” dirigido a la base Windows de los servidores del SI, un sistema cliente Windows, la imagen maestra que permite implementar todos los servidores Linux, etc. También puede incluir los cortafuegos, que poseen funciones y parámetros específicos para cada editor, los hipervisores, así como las soluciones de aplicación (por ejemplo: Office 365 y sus numerosos parámetros de seguridad, o GLPI). En resumen, todo lo que contiene una configuración de seguridad.

La auditoría de configuración suele aparecer como un alcance complementario a otras auditorías. A menudo se habla de defensa en profundidad en la medida en que las debilidades detectadas rara vez son muy impactantes tomadas una a una y constituyen más bien desviaciones de las guías de buenas prácticas.

Sin embargo, hay que tener en cuenta que la acumulación de estas desviaciones de las buenas prácticas abre la puerta a vulnerabilidades más importantes o puede facilitar la ejecución de algunos ataques muy concretos. Por esta razón, no hay que descuidar la configuración de seguridad de los componentes de un SI, aunque individualmente puedan parecer accesorios.

Para ser más concreto, durante el análisis de una base de sistema Windows, se verificará, por ejemplo, que cada sistema tiene un límite de bloqueo automático de la pantalla después de X segundos de inactividad, que la política de contraseñas obliga a introducir una contraseña de 14 caracteres, que la IPv6 está desactivada si no se utiliza, que la firma de los intercambios SMB es obligatoria, que el tamaño de los registros de eventos está por encima de un cierto valor, etc.

Para que te hagas una idea del número de parámetros que hay que verificar, ten en cuenta, por ejemplo, que la guía CIS para las buenas prácticas de Windows Server 2022 tiene más de 1000 páginas y contiene cientos de puntos de control. Aquí tienes un pequeño extracto:

Descargar auditoría ciberseguridad pdf

Los auditores utilizan herramientas de recopilación y análisis automatizadas para detectar configuraciones inseguras. También pueden realizar pruebas manuales para verificar que las configuraciones cumplen con las buenas prácticas y las políticas de seguridad de la organización. La tarea suele ser ardua, ya que existen numerosos repositorios, a veces contradictorios, así como numerosas tecnologías o versiones de una tecnología. Las herramientas de recopilación que funcionan en un Windows 10 no funcionarán exactamente igual en un Windows Server 2022 o 2016, y no funcionarán en absoluto en un cortafuegos o una versión UNIX exótica.

En cualquier caso, y dada la complejidad de la tarea, a menudo se opta por un proceso de muestreo que consiste en tomar una muestra representativa de los componentes del SI. Por lo general, un defecto de configuración detectado en un sistema se encontrará en todos los sistemas del mismo tipo dentro de una organización.

En cuanto a las guías y soportes, los CIS Benchmark (Center for Internet Security) son la referencia en la materia. Este organismo proporciona gratuitamente y mantiene gracias a su comunidad cientos de guías sobre un gran número de tecnologías:

#5. La auditoría organizativa

Menos conocida, pero igual de importante, la auditoría organizativa se centra en los aspectos humanos, procedimentales y de gestión de la seguridad de la información. A diferencia de las auditorías técnicas que se centran en los sistemas y las infraestructuras, la auditoría organizativa evalúa las políticas, los procesos, los procedimientos y las prácticas de gestión de la seguridad dentro de una organización. De hecho, estos diferentes elementos suelen ser la fuente de numerosos errores, negligencias y debilidades persistentes en el sistema de información.

Los objetivos de la auditoría organizativa son los siguientes:

• Evaluar el cumplimiento de las políticas y las regulaciones: cumplimiento de las políticas internas de seguridad y de las regulaciones externas aplicables (RGPD, ISO 27001, NIS, etc.).
• Identificar las lagunas en los procesos: detección de las debilidades en los procesos de gestión de la seguridad, como la gestión de incidentes, la gestión de accesos, la concienciación sobre la seguridad, etc.
• Evaluar la cultura de la seguridad: examinar la concienciación y la formación de los empleados en materia de seguridad, así como su adhesión a las políticas de seguridad.
• Verificar la gobernanza de la seguridad: evaluar la estructura de gobernanza de la seguridad, incluidos los roles y las responsabilidades de los diferentes actores (DSI, RSSI, responsables de negocio, etc.).

Durante una auditoría organizativa, se verifican numerosos puntos. Entre ellos, se encuentran, por ejemplo, la existencia y la actualización de las políticas de seguridad, los procesos de gestión de incidentes de seguridad, la formación y la sensibilización de los empleados en materia de seguridad, la gestión de accesos e identidades, los planes de continuidad de actividad y de recuperación tras un desastre o el cumplimiento de las regulaciones aplicables.

Por lo general, la auditoría organizativa se lleva a cabo de la misma manera que la auditoría de arquitectura. La revisión documental es la primera etapa en la que los auditores examinan las políticas, los procedimientos, los informes de incidentes, los planes de continuidad de actividad y los registros de formación.

A continuación, se realizan entrevistas con los responsables de seguridad, los responsables de negocio, los empleados y otras partes interesadas para comprender las prácticas reales e identificar las desviaciones con respecto a las políticas. Por último, las prácticas de la organización se comparan con las buenas prácticas del sector y las normas internacionales como la ISO 27001.

Aquí tienes algunas de las herramientas y repositorios utilizados durante una auditoría organizativa:

• ISO 27001: Norma internacional para los sistemas de gestión de la seguridad de la información (SMSI).
• RGPD: Reglamento general de protección de datos.
• NIS: (Network and Information Security Directive, en inglés) Directiva sobre la seguridad de las redes y los sistemas de información.

La auditoría organizativa es, por lo tanto, un complemento de las auditorías técnicas, ya que permite asegurarse de que se tienen en cuenta los aspectos humanos y de gestión de la seguridad. Sus conclusiones y recomendaciones suelen aplicarse a largo plazo a nivel de la empresa.

Y los demás…

Estamos lejos de haber hecho un repaso de los tipos de auditoría que existen en ciberseguridad. Según las necesidades y los perímetros, estos pueden adoptar numerosas formas.

Cabe mencionar, en particular, las auditorías específicas para la nube, el IoT (Internet of things), los sistemas industriales, la seguridad física, las auditorías orientadas a las amenazas (Red Team) y las auditorías orientadas a la detección (Purple Team), las campañas de phishing, etc.

Para obtener más información sobre las auditorías Red Team y Purple Team, que se centran en particular en las capacidades de detección de las herramientas y los equipos de seguridad y supervisión, te recomiendo este artículo dedicado:

Lectura recomendada: Red Team vs Blue Team vs Purple Team: Lo que Necesitas Saber

¿Cómo implementar una auditoría de ciberseguridad?

La implementación de una auditoría de ciberseguridad pasa por varias fases que no deben descuidarse, ya que se corre el riesgo de hacer un mal uso del presupuesto y de no alcanzar los objetivos fijados.

#1. Definir la necesidad

Antes de comenzar la auditoría, es necesario definir claramente la necesidad. Como hemos visto, la realización de una auditoría puede responder a una necesidad reglamentaria, permitir orientar mejor el presupuesto de seguridad, ver si un sistema es lo suficientemente robusto como para pasar a producción, hacer un inventario, etc. La definición de esta necesidad permitirá normalmente comenzar a definir el perímetro de la auditoría.

#2. Dibujar el perímetro de la auditoría

También es importante saber enmarcar bien el perímetro de la auditoría. Teniendo en cuenta que la auditoría será tanto más costosa cuanto mayor sea el perímetro. Para ello, una de las mejores herramientas sigue siendo el análisis de riesgos. Se supone que, por un lado, pone de manifiesto los principales eventos temidos de un perímetro técnico o de una organización entera (“¿qué es lo que más temo?“), pero también define los diferentes componentes críticos y sus relaciones técnicas u organizativas.

Para las auditorías técnicas, también hay que recordar la noción de superficie de ataque, que está compuesta por el conjunto de puntos de entrada e intercambio de un sistema con el exterior. Esta superficie de ataque se convertirá, según los tipos de auditoría, en escenarios simulados en pruebas de intrusión, definiendo al mismo tiempo los requisitos necesarios. Pero también puntos de atención particulares durante la auditoría del código fuente (entrada de usuario, autenticación) de la configuración (sistema prioritario, ya que está particularmente expuesto).

Por ejemplo, un componente evidente de la superficie de ataque de un sistema de información son las direcciones IP públicas de los servidores que exponen servicios en Internet a la vez que están alojados en el SI. Se piensa en particular en el sitio web de presentación, el correo web, etc. Pero no hay que descuidar la navegación de los usuarios, los correos electrónicos, incluso las llaves USB o los terminales móviles de los usuarios que, a su vez, envían y reciben datos con el exterior estando conectados al SI. Por lo tanto, estos componentes también deben considerarse en el perímetro de la auditoría.

En resumen, antes de hacer intervenir a un equipo de expertos, hay que saber por qué se desea realizar una auditoría y qué se teme particularmente en el caso de un ciberataque.

Una vez que se ha definido este perímetro, hay que determinar qué tipos de auditoría permitirían evaluar mejor la seguridad del perímetro. Algunos perímetros solo requieren auditorías técnicas, mientras que otros, más complejos e implican más significativamente al ser humano, deben incluir un alcance organizativo. Los proveedores externos capaces de realizar estas auditorías pueden normalmente ayudarte a definir mejor los tipos de auditorías pertinentes en función del perímetro y de la necesidad.

#3. Elegir al proveedor

Sin entrar demasiado en detalles sobre esta fase, hay que elegir naturalmente al proveedor que mejor se ajuste a tus necesidades y a tu presupuesto. En algunos casos específicos, la lista de posibles proveedores puede ser más reducida debido a la necesidad de recurrir a un proveedor que disponga de ciertas autorizaciones.

En otros casos, las auditorías son realizadas por equipos de seguridad internos y especializados.

#4. Definir y preparar los prerrequisitos

Como hemos visto, cada tipo de auditoría requiere elementos diferentes para poder llevarse a cabo. Puede ser un simple nombre de dominio (prueba de intrusión externa con un componente OSINT), una toma de red (prueba de intrusión interna), un acceso al servidor (configuración) o al código fuente. Las auditorías organizativas y de arquitectura utilizarán la documentación del SI, así como la disponibilidad de diferentes responsables y equipos técnicos.

Todos estos elementos deben definirse con el equipo de auditoría y también dependerán del perímetro. Lo importante con respecto a los prerrequisitos es que, en primer lugar, se definan y se enumeren claramente, de acuerdo con el equipo de auditoría. A continuación, se ponen a disposición de estos últimos para que todos los elementos que deben verificarse puedan hacerlo sin problemas.

Aquí tienes, sin orden particular, algunos ejemplos de prerrequisitos que pueden esperarse (todo tipo de auditoría combinado):

• Inventario de activos informáticos;
• Lista de aplicaciones críticas;
• Cartografía de la red;
• Acceso a una toma de red;
• Cuentas en Active Directory o una aplicación web;
• Identificación de datos sensibles;
• Definición de roles profesionales;
• Documentación técnica;
• Políticas de seguridad existentes;
• Historial de incidentes;
• Informes de auditorías anteriores;
• Etc.

Esta fase consiste, por lo tanto, en recopilar y preparar todos los datos pertinentes sobre tu sistema informático. A continuación, se realiza naturalmente la ejecución de la auditoría y sus diferentes alcances. ¡Podríamos fácilmente escribir un libro sobre cada uno de los alcances! Describir todos los elementos verificados, esperados y las metodologías de cada tipo de auditoría sería demasiado para este artículo :).

#5. (Re)evaluar los riesgos y las prioridades

Tras la realización de la auditoría, normalmente obtendrás un informe detallado de las observaciones y los descubrimientos de los auditores. El informe de auditoría contendrá, en particular, diferentes métricas que permitirán evaluar la criticidad de una debilidad o de un incumplimiento. Esto puede incluir la gravedad, la dificultad y la probabilidad de explotación (para una vulnerabilidad técnica), una puntuación CVSS, así como una prioridad y la facilidad de corrección.

Hay que saber que los auditores rara vez conocen la composición exacta de tu equipo, las experiencias que lo componen, las disponibilidades y el presupuesto de cada uno. A veces, algunas debilidades también pueden atenuarse (o amplificarse) mediante medidas técnicas u organizativas de componentes fuera del perímetro inicial de la auditoría. Por lo tanto, siempre es necesario revisar las diferentes métricas de las vulnerabilidades y confirmarlas o reevaluarlas a la luz de la información de que se dispone.

Por ejemplo, una recomendación puede resultar más sencilla o compleja de implementar gracias (o debido a) un elemento que el auditor externo no conocía. Esta fase es importante, ya que permite asegurar o corregir el plan de acción y la criticidad de algunas vulnerabilidades, que luego podrán tratarse de forma más eficaz.

#6. Realizar un seguimiento regular de las vulnerabilidades

Esta fase es sin duda la más larga. Consiste en realizar un seguimiento regular de las vulnerabilidades y los incumplimientos, así como en definir a las personas o equipos responsables de su corrección. Esto permite asegurarse de que la auditoría sea realmente útil, de que cada vulnerabilidad y recomendación se aborde y de mostrar claramente la evolución y los beneficios de la realización de la auditoría.

A menudo, un simple cuadro es suficiente para realizar este seguimiento, lo más complicado es implementar las recomendaciones.

Tras una auditoría, algunas recomendaciones pueden ser fáciles de implementar. Por ejemplo: activar una opción de seguridad sin riesgo de efectos secundarios, realizable con un componente central de gestión de la seguridad como AD. Otras pueden ser mucho más largas y fastidiosas. Pienso, por ejemplo, en las recomendaciones que requieren una modificación de la organización o de la arquitectura de red de un sistema de información, que requieren la compra de material costoso o operaciones de migración complejas. Todo esto para decir que algunos informes de auditoría podrán servir de plan de acción a seguir durante meses y años, de ahí la importancia de realizar un seguimiento claro, preciso y regular.

Conclusión

Habría mucho más que decir sobre las auditorías de ciberseguridad, pero en este artículo hemos visto lo principal. Los desafíos y los intereses de estos tipos de auditoría son numerosos, así como sus formas.

Además de conocer su desarrollo y sus diferentes componentes, lo más importante es saber cuándo y cómo realizarlos, evitando los errores frecuentes que pueden hacer que no se alcance el objetivo inicial de la auditoría.

En cuanto a la profesión de auditor de ciberseguridad, de la que también podría hablarles largo y tendido, es apasionante y compleja. A veces frustrante, porque no siempre se ha conseguido hacer todo o porque se dispone de recursos (tiempo, conocimientos) limitados. A veces muy satisfactoria, porque se ha conseguido identificar una vulnerabilidad impactante para una entidad, que un atacante real podría haber explotado para causar grandes daños y que se corrige gracias a nosotros…

Antes de empezar, es importante recordar que es más completo que el de pentester (orientado principalmente al aspecto ofensivo y a las pruebas de intrusión). Los diferentes alcances de una auditoría de ciberseguridad se vuelven tan complejos de dominar que actualmente es frecuente tener equipos en los que cada participante está especializado en un alcance, y el conjunto permite entonces realizar una auditoría de ciberseguridad completa.

No dudes en compartir tus opiniones y preguntas en los comentarios de este artículo.