Cómo prepararse para una auditoría de seguridad cibernética?

Si su organización se está preparando para una auditoría de seguridad cibernética, le recomendamos que siga leyendo para conocer las mejores prácticas para optimizar el valor de la auditoría. Las auditorías externas realizadas por terceros pueden ser costosas, por lo que es mejor estar lo más preparado posible siguiendo estas mejores prácticas.

Una auditoría de seguridad cibernética es un método que verifica que su empresa cuente con políticas de seguridad para abordar todos los riesgos posibles. El personal interno puede realizar una auditoría como una forma de prepararse para una organización externa. Si su organización está sujeta a requisitos reglamentarios, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés), la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés), o ISO 27001, deberá contratar a un auditor externo para verificar el cumplimiento y recibir una certificación. 

Una auditoría de seguridad cibernética es diferente a una evaluación de seguridad cibernética. La auditoría consiste en una lista de verificación que chequea que ha abordado un riesgo específico, mientras que una evaluación prueba el riesgo para ver qué tan bien se implementa. 

Hay muchas publicaciones disponibles que brindan información detallada sobre cómo prepararse para una auditoría de seguridad cibernética, pero a continuación se proporciona una descripción general de alto nivel de lo que debe hacer en preparación para una auditoría externa.

Toda organización debe tener una política de seguridad que describa las reglas y procedimientos para trabajar con la infraestructura de TI de la organización, especialmente el manejo de datos confidenciales y privados. Si anteriormente desarrolló estas políticas, ahora es el momento de revisar las políticas para garantizar la confidencialidad de los datos, la integridad de los datos y el acceso seguro a los datos en lo que respecta a su industria y los requisitos de cumplimiento aplicables. Por ejemplo, su política de seguridad debe identificar:

• Qué proteger? (por ejemplo, datos, aplicaciones comerciales, hardware, etc.)
• ¿Cómo lo protegerá? (por ejemplo, el uso de contraseñas)
• ¿Cómo se controlará y bloqueará el acceso a los datos?
• ¿Cómo proteger los datos personales o confidenciales?
• ¿Cómo mantener la precisión e integridad de los datos?
• ¿Cómo proteger los datos archivados?

Para ayudarlo en la preparación y/o revisar la política de seguridad de su organización, puede consultar el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés). 

“El Marco NIST es una guía voluntaria, basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de seguridad cibernética. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, se diseñó para fomentar las comunicaciones de gestión de riesgos y seguridad cibernética entre las partes interesadas de la organización, tanto internas como externas, mejorar su capacidad para prevenir, detectar y responder a los ciberataques".

Lo más probable es que tenga una variedad de políticas de seguridad que fueron creadas en diferentes momentos por diferentes personas. Ahora es el momento de revisar cada una de estas políticas y hacer referencias cruzadas para asegurarse de que sean coherentes. Por ejemplo, si su política de copia de seguridad requiere respaldos cada 30 días, es posible que no pueda cumplir con sus Objetivos de Punto de Recuperación (RPO, por sus siglas en inglés) según su política de recuperación ante desastres, que depende de esas copias de seguridad. Si ocurre un desastre, puede perder hasta 30 días de datos. Si sus sistemas no utilizan la autenticación multifactor, su política de contraseñas debe requerir contraseñas extraordinariamente seguras que se cambian con frecuencia.

Ejemplos de estas políticas de seguridad incluyen:

Políticas de seguridad de datos. ¿Cómo se asegura de que sus datos confidenciales estén a salvo de miradas indiscretas? Políticas de privacidad de datos. ¿Cómo se asegura de que los datos privados se mantengan privados? Control de acceso a redes. ¿Cómo restringe el acceso a la red solo a aquellos dispositivos que están autorizados y cumplen con las políticas de seguridad? ¿Los dispositivos de red tienen los parches de seguridad necesarios y la protección de seguridad cibernética? Políticas de copia de seguridad. ¿Cuándo y cómo realiza su organización una copia de seguridad de sus sistemas, aplicaciones y datos? Políticas de contraseña. ¿Cuáles son las políticas de contraseñas de su organización y cómo las administra? Políticas de recuperación ante desastres. ¿Se ejercita y actualiza su plan de recuperación ante desastres con regularidad para garantizar que pueda recuperar sus sistemas y datos? ¿Podrá cumplir con los Objetivos de Tiempo de Recuperación (RTO, por sus siglas en inglés) y los RPO planificados? Políticas de trabajo remoto. ¿Cómo garantiza su empresa la seguridad y protección de los dispositivos de sus trabajadores remotos? Política de correo electrónico e Internet de los empleados. ¿Cómo se asegura de que sus empleados utilicen el correo electrónico y la Internet corporativa para sus negocios y no tengan ninguna expectativa de que las comunicaciones, los datos y los archivos personales se mantengan privados? ¿Cómo puede estar seguro de que los empleados comprenden que no pueden enviar correos electrónicos que acosen, amenacen u ofendan? Política de uso aceptable. ¿Qué procedimientos debe aceptar un empleado antes de que se le permita acceder a la red corporativa?

Es importante crear una estructura y un diseño de topología de red seguros. Por ejemplo, si está segmentando su red, los servidores de finanzas no deben estar en la misma red o subred que sus servidores de investigación y desarrollo o de recursos humanos. En cambio, segmentar su red en zonas más pequeñas refuerza su seguridad porque tiene servicios compartimentados que pueden contener información confidencial. También verifique para asegurarse de que su firewall y otras herramientas de seguridad de red que deberían estar en su lugar ESTÁN en su lugar, ya que deberán ser revisadas y auditadas.

Si está sujeto a regulaciones, como GDPR, PCI o HIPAA, asegúrese de cumplir con las regulaciones aplicables y haga que este tema forme parte de la conversación con sus auditores. Los auditores probablemente se acercarán a su equipo sobre las regulaciones de cumplimiento aplicables, así que esté preparado con documentación que demuestre su cumplimiento.

Antes de la auditoría, asegúrese de revisar y asegurarse de que todos los empleados comprendan y respeten la política de correo electrónico e Internet de sus empleados. Por ejemplo, los empleados no deben ver sitios web que incluyan contenido criminal u ofensivo, como sitios web de juegos de azar y pornografía. Los empleados no deben almacenar contenido que viole las leyes de derechos de autor. Los empleados no deben utilizar su dirección de correo electrónico corporativa para asuntos personales. Su organización tiene derecho a revisar cualquier correo electrónico que envíen los empleados o el contenido almacenado en sus máquinas para detectar malware, fraude o acoso en el lugar de trabajo.

Antes del inicio de una auditoría externa, se recomienda altamente que realice una prueba de incumplimiento y brechas de seguridad realizando una auditoría interna de prueba siguiendo las mejores prácticas descritas anteriormente. Una auditoría interna de seguridad cibernética puede combinar una revisión manual de políticas, procesos y controles, así como revisiones automatizadas de la infraestructura clave y los sistemas de seguridad.

Debe hacer esto por dos razones. En primer lugar, las auditorías externas son bastante caras, desde decenas de miles hasta cientos de miles de dólares. Es mejor conocer su postura de cumplimiento antes de gastar el dinero en una auditoría externa para poder abordar cualquier problema de antemano. Hacer esto también reducirá el estrés asociado con una auditoría externa y eliminará cualquier sorpresa.  

Con Acronis Cyber Protect, puede descubrir todos los activos de software y hardware instalados en sus equipos, eligiendo entre análisis automáticos y bajo demanda. Además, puede examinar y filtrar activos de software/hardware según varios criterios, generar fácilmente informes de inventario y eliminar registros automáticamente una vez que se retira una máquina.

Para aprobar una auditoría de cumplimiento, su organización debe utilizar diferentes tecnologías y herramientas de seguridad cibernética para respaldar los requisitos de cumplimiento importantes para las copias de seguridad del sistema, software antivirus, recuperación ante desastres, etc. Muchos proveedores de software de seguridad ofrecen estos como soluciones puntuales. De hecho, la encuesta anual de la Semana de la Protección Cibernética 2021 de Acronis encontró que el 80% de las organizaciones ejecutan hasta 10 soluciones simultáneamente para sus necesidades de protección de datos y seguridad cibernética, sin embargo, más de la mitad de esas organizaciones sufrieron un tiempo de inactividad inesperado el año pasado debido a la pérdida de datos. La lección aprendida es que más soluciones no significan más protección.

Acronis reconoce el costo, las ineficiencias y los desafíos de seguridad que surgen del uso de múltiples soluciones, por lo que Acronis, un pionero en el campo de la protección cibernética, ofrece una única solución de seguridad cibernética integrada.

Acronis Cyber Protect es una solución única en su tipo que ofrece protección cibernética completa para las amenazas modernas, combinando la protección de datos y copias de seguridad; antimalware de próxima generación basado en AI; y gestión de la protección en una única solución integrada. Es diferente a otras soluciones de seguridad que solo combinan herramientas y tecnologías de seguridad o soluciones de puntos aislados heredados para copias de seguridad, antivirus, gestión de parches, acceso remoto, gestión de cargas de trabajo y herramientas de monitoreo y generación de informes. Con todas estas tecnologías empaquetadas en una solución, Acronis Cyber Protect puede ayudarlo a prepararse para una auditoría de seguridad cibernética externa.