Auditorías de seguridad ¿Por qué se complican?

Muchas empresas hemos pasado por algún proceso de auditoría de seguridad y con frecuencia se complica o se vuelve una tarea difícil de cumplir, generando estrés en las personas asignadas a dicha tarea debido a la cantidad de requisitos solicitados, pero principalmente porque deben evidenciar que sus políticas de seguridad, su sistema de gestión de seguridad de la información (SGSI), o los controles establecidos por alguna normativa se llevan a cabo conforme a lo definido.

Es común pensar que, con un sistema de seguridad y un certificado ISO 27001 o similar, pasar una auditoría de seguridad es sencillo. Sin embargo, la realidad es que muchas organizaciones fracasan en este proceso, ya que la documentación no se sigue y las políticas no se aplican. Esto puede convertirse en un verdadero dolor de cabeza.

¿Quién es el responsable de hacer cumplir nuestro sistema de seguridad?

La seguridad es responsabilidad de todos en la organización, desde los dueños hasta los empleados. El sistema de seguridad es una parte fundamental del negocio, y debe ser tratado con la misma importancia que cualquier otro proceso.

¿Qué es una auditoría de seguridad?

Una auditoría de seguridad es una evaluación de nuestro sistema, donde se analiza el cumplimiento de políticas y procesos que fueron establecidos por la misma empresa, con el fin de saber si cumplen y en qué grado de cumplimiento se encuentran, lo que se conoce como "estado de madurez".

Las auditorías pueden ser de dos tipos:

➥Auditorías internas: cuando son ejecutadas por personal propio de la organización.

➥Auditorías externas: cuando se realizan a través de un tercero (proveedores, clientes, organizaciones certificadoras, etc)

En su realización, puede ser una auditoría completa donde se analizan todas las políticas y controles de seguridad de la empresa, o parcial que es cuando solo se enfocan en ciertos puntos.

Estas auditorías normalmente son solicitadas por las organizaciones que serán probables clientes y que buscan proteger la información y operaciones confidenciales que se manejarán con el proveedor, principalmente por clientes del sector financiero, quienes cuentan con lineamientos muy específicos en materia de ciberseguridad. Así mismo, cualquier organización puede realizar una auditoría a sus proveedores. También existen otras auditorías de seguridad que son llevadas a cabo para permitir la labor de alguna organización, por lo que, para poder trabajar, deben cumplir en materia de ciberseguridad.

¿Cómo prepararse para una auditoría de seguridad?

Para poder cumplir con la auditoría de seguridad es indispensable hacer valer nuestras políticas, incluyendo procesos, procedimientos, y tecnología, por lo que debería ser sencillo.

La preparación es clave para tener éxito en una auditoría de seguridad. Hay algunas cosas que puedes hacer para prepararte para una auditoría de seguridad, incluyendo:

➥ Comprender los objetivos de la auditoría.  ¿Qué está tratando de lograr el auditor? ¿Está buscando identificar riesgos específicos? ¿Está tratando de evaluar el estado general de la seguridad de la organización?

➥ Reunir la documentación necesaria. El auditor necesitará acceso a la documentación de seguridad de la organización, como políticas, procedimientos, registros y pruebas de cumplimiento.

➥ Asignar a los responsables. Es importante asignar a los responsables de responder a las preguntas y proporcionar la documentación necesaria al auditor.

➥ Realizar un simulacro. Realizar un simulacro de la auditoría puede ayudar a los empleados a sentirse más cómodos con el proceso.

Si la empresa se encuentra comprometida con la seguridad y mantiene actualizado su sistema no tendrá problemas en la evaluación. Recordemos que la estrategia de seguridad y políticas deben ser definidas por la propia empresa y va encaminado a lograr el objetivo de la misma, por lo que su cumplimiento, si es que se realiza de forma correcta, no debería ser tan complicado.

Te recomiendo que si ya decidiste implementar una estrategia de seguridad, se lleve a cabo tal y como se encuentra plasmado en la documentación, esto será lo que te lleve al éxito en una auditoría.

Consejos adicionales

➥Mantén tus políticas y procedimientos actualizados. Las políticas y procedimientos de seguridad deben estar actualizados para reflejar los cambios en los riesgos y las regulaciones.
➥Realiza pruebas de penetración (Pentest) con regularidad. Las pruebas de penetración son una forma de evaluar la seguridad de tu organización desde el punto de vista de un atacante.
➥Invierte en capacitación. Capacitar a los empleados en Ciberseguridad los ayudará a comprender los riesgos de seguridad y cómo protegerse.

La seguridad es un proceso de mejora continua, por eso, es importante poner en práctica nuestros documentos de seguridad y actualizarlos cuando sea necesario. De lo contrario, estaríamos desperdiciando dinero, recursos y poniendo en riesgo nuestra organización.