Cómo prepararse para una auditoría de ciberseguridad?

Si su organización se prepara para una auditoría de ciberseguridad, debería leer o conocer acerca de las mejores prácticas para optimizar el valor de la auditoría. Las auditorías externas realizadas por terceros pueden ser costosas por lo que es mejor estar tan preparado como sea posible siguiendo estas mejores prácticas.

Una auditoría de ciberseguridad es un método que comprueba y verifica que su empresa tenga implementadas políticas de seguridad para abordar todos los riesgos posibles. Una auditoría puede ser llevada a cabo por personal interno como una forma de prepararse para una organización externa.  Si su organización está sujeta a requerimientos normativos, tal como el Reglamento General de Protección de Datos (GDPR), Ley de Privacidad del Consumidor de California (CCPA), Estándar de Seguridad de Datos Industriales de Tarjeta de Pago (PCI DSS), la Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA), o ISO 27001, usted deberá contratar un auditor externo para verificar el cumplimiento y recibir una certificación. 

Una auditoría de ciberseguridad es diferente de una evaluación de ciberseguridad. La auditoría consiste en una lista de verificación que comprueba que usted haya abordado un riesgo específico, mientras que una evaluación pone a prueba el riesgo para ver qué tan bien se implementó. 

Existen diversas publicaciones disponibles que proporcionan información pormenorizada respecto a cómo preparar una auditoría de ciberseguridad, pero a continuación se proporciona un resumen de alto nivel acerca de lo que usted necesita hacer en la preparación de una auditoría externa.

Cada organización debe tener implementada una política de seguridad que detalle las reglas y procedimientos para trabajar con la infraestructura de TI de la organización, en especial con respecto a la gestión de datos privados y sensibles. Si usted anteriormente desarrolló estas políticas, ahora es el momento de revisar las políticas para garantizar la confidencialidad, la integridad y el acceso seguro a los datos en lo que respecta a su industria y los requerimientos de cumplimiento vigentes. Por ejemplo, su política de seguridad debería identificar:

• Qué proteger? (por ej., datos, aplicaciones empresariales, hardware, etc.)
• Cómo los protegerá? (por ej., el uso de contraseñas)
• Cómo se supervisará y bloqueará el acceso a los datos?
• Cómo asegurar datos personales y sensibles?
• Cómo mantener la precisión e integridad de los datos?
• Cómo proteger los datos archivados?

Para ayudarle en la preparación y/o revisar la política de seguridad de su organización, usted puede consultar la Estructura de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). 

“La Estructura de NIST es una orientación voluntaria, en base a los estándares, pautas y prácticas existentes de las organizaciones para gestionar y reducir el riesgo de ciberseguridad. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, se diseñó para fomentar las comunicaciones de gestión de ciberseguridad y riesgo entre los accionistas corporativos internos y externos, mejorar su capacidad para prevenir, detectar y responder ante ciberataques”.

Lo más probable es que usted tenga una variedad de políticas de seguridad que se crearon en diferentes momentos por distintas personas. Ahora es el momento revisar cada una de estas políticas y de referenciarlas para asegurarse de que sean consistentes. Por ejemplo, si su política de respaldo solicita copias de seguridad cada 30 días, es probable que usted no cumpla con sus Objetivos de Punto de Recuperación (RPO) conforme a su política de recuperación ante desastres, la cual depende de tales copias de seguridad. Si ocurre un desastre, usted podría perder hasta 30 días de datos. Si sus sistemas no utilizan autenticación multifactor, su política de contraseñas debe exigir contraseñas con una extraordinaria solidez que deban cambiarse con frecuencia.

Algunos ejemplos de estas políticas de seguridad incluyen:

Políticas de seguridad de datos. ¿Cómo garantiza que sus datos sensibles estén seguros de miradas entrometidas? Políticas de privacidad de datos. ¿Cómo garantiza usted que los datos privados conserven dicha privacidad? Control de acceso a la red. ¿Cómo restringe usted el acceso a solo estos dispositivos que tienen autorización y cumplen con las políticas de seguridad? ¿Los dispositivos de red cuentan con los parches de seguridad exigidos y la debida protección de ciberseguridad? Políticas de respaldo. ¿Cuándo y cómo su organización respalda sus sistemas, aplicaciones y datos? Políticas de contraseña. ¿Cuáles son las políticas de contraseña de su organización y cómo se gestionan? Políticas de recuperación ante desastres. ¿Su plan DR se ejerce y actualiza periódicamente para garantizar que usted pueda recuperar sus sistemas y datos? ¿Será usted capaz de cumplir sus objetivos de tiempo de recuperación (RTO) y RPO? Políticas de trabajo a distancia. ¿Cómo su compañía garantiza la seguridad y protección de los dispositivos de sus trabajadores remotos? Política laboral de correo electrónico e internet. ¿Cómo garantiza usted que sus empleados utilicen el correo electrónico y el internet corporativo para labores empresariales y no se tengan expectativas de que comunicación personal, los datos y los archivos se mantengan en privado? ¿De qué manera puede usted tener la certeza de que los empleados comprenden que no pueden enviar correo electrónico con el fin de acosar, amenaza u ofender? Política de uso aceptable. ¿Qué procedimientos debe un empleado aceptar antes de tener el acceso permitido a la red corporativa?

Es importante crear una estructura y diseño de topología de red segura. Por ejemplo, si usted segmenta su red, los servidores de finanzas no deberían estar en la misma red o subred que sus servidores de investigación y desarrollo o recursos humanos. Al contrario, segmentar su red en zonas más pequeñas fortalece su seguridad debido a que usted dispone de servicios compartimentados que puedan contener información sensible También verifique para asegurarse de que su firewall y otras herramientas de seguridad de red que debiesen estar presente efectivamente SEAN implementadas ya que deberán revisarse y auditarse.

Si usted está sujeto a las normativas, como GDPR, PCI o HIPAA, asegúrese de cumplir con las normativas aplicables y procure que este tema sea parte de la conversación con sus auditores. Los auditores probablemente se comentarán con su equipo acerca de las normativas de cumplimiento vigentes, por lo que debe prepararse con la debida documentación que demuestre su cumplimiento.

Antes de la auditoría, asegúrese de revisar y verificar que su política laboral de correo electrónico e internet es comprendida y seguida por todos los empleados. Por ejemplo, los empleados no deben visitar sitios web que contengan contenido criminal u ofensivo, tales como sitios web de apuestas y pornografía. Los empleados no deben almacenar contenido que infrinja las leyes de derechos de autor. Los empleados no deberían usar su dirección de correo electrónico corporativo para asuntos personales. Su organización tiene el derecho de revisar cualquier correo electrónico que los empleados envíen, o contenido almacenado en sus equipos para verificar malware, fraude o acoso en el lugar de trabajo.

Antes del comienzo de una auditoría externa, se recomienda encarecidamente que usted ponga a prueba las brechas de no cumplimiento y seguridad realizando una auditoría interna de operación en seco siguiendo las mejores prácticas descritas anteriormente. Una auditoría de ciberseguridad interna puede combinar una revisión manual de las políticas, procesos y controles, así como revisiones automatizadas de los sistemas fundamentales de infraestructura y seguridad.

Querrá hacer esto por dos razones. Primero, las auditorías externas son bastante costosas, varían de decenas de miles a cientos de miles de dólares. Es mejor que sepa su postura en cuanto a cumplimiento antes de invertir dinero en una auditoría externa para que pueda abordar cualquier problema de antemano. Hacer esto también reducirá el estrés asociado a una auditoría externa y eliminará cualquier sorpresa.  

Con Acronis Cyber Protect, usted puede descubrir todos los activos de software y hardware instalados en sus equipos, eligiendo entre escaneos automáticos y a petición. Además, usted puede navegar y filtrar activos de software/hardware a través de múltiples criterios, generar fácilmente informes de inventario y eliminar automáticamente registros una vez que se retira un equipo.

Para aprobar una auditoría de cumplimiento, su organización debe usar diferentes tecnologías de ciberseguridad y herramientas para dar soporte a los importantes requerimientos de cumplimiento para respaldos de sistema, software antivirus, recuperación ante desastres, etc. Muchos proveedores de software de seguridad ofrecen estas como soluciones puntuales. De hecho, el estudio anual 2021 Acronis Cyber Protection Week determinó que el 80% de las organizaciones ejecutan unas 10 soluciones en simultáneo para sus necesidades de protección de datos y ciberseguridad, no obstante, más de la mitad de estas organizaciones padecieron de tiempo de inactividad imprevisto el año pasado a causa de la pérdida de datos. La lección aprendida es que más soluciones no se traducen en mayor protección.

Acronis reconoce el costo, las ineficiencias y los desafíos de seguridad que surgen del uso de múltiples soluciones, razón por la cual Acronis, un pionero en el campo de la ciberprotección, ofrece una única solución de ciberseguridad integrada.

Acronis Cyber Protect es una solución única en su clase que ofrece total ciberprotección para las amenazas modernas, unificando funciones de respaldo y protección de datos; antimalware basado en IA de siguiente generación; y gestión de protección en una única solución integrada. Se distingue de otras soluciones de seguridad que únicamente reúnen herramientas de seguridad o legadas, soluciones específicas aisladas para respaldo, antivirus, gestión de parches, acceso remoto, administración de carga de trabajo y herramientas de monitoreo e informe. Con todas estas tecnologías agrupadas en una solución, Acronis Cyber Protect puede ayudarle a preparase para una auditoría de ciberseguridad externa.