La auditoría de sistemas y seguridad informática
Hasta hace poco más de 20 años, el mundo era otro: la información circulaba con mucha menor rapidez, los ecosistemas digitales y electrónicos eran todavía rudimentarios, y las amenazas en este ámbito no eran un factor que determinara el colapso de una organización. Pero el planeta cambió y el enfoque empresarial, al igual que en todas las actividades humanas, está hoy alineado con la realidad irrefutable de la híperconectividad y todos sus consecuentes efectos en cuanto a seguridad, nuevos modos de relacionamiento laboral e innovación en cuanto a controles para evitar fuga o robo de información valiosa que, muchas veces, es más importante que la propia infraestructura material instalada de una empresa.
Con la irrupción de la pandemia de Covid-19, la dependencia humana de la dimensión informática se tornó aún más dramática: el teletrabajo se impuso como una modalidad que llegó para quedarse y frente a la que las empresas han adaptado su funcionamiento, no solo por una necesidad de salud sino también de rentabilidad; pero además, se entronizó aún más la modalidad de relacionamiento virtual entre entidades y organizaciones para resolver cualquier tipo de trámites o negociaciones entre sus directivos.
El forzado salto tecnológico que experimentamos desde el 2020, dio lugar a la creación de otro mundo: ahora las plataformas tecnológicas son mucho más fiables, las posibilidades de interconexión son infinitas y las perspectivas de mejoramiento de la productividad se muestran muy interesantes, una vez que la humanidad va dejando atrás la pandemia y se alista para emprender una agresiva reactivación. Pero, ¿en dónde están los peligros que se esconden tras las promisorias condiciones que brinda la tecnología? Pues justamente en el ámbito de la seguridad informática, cada vez más expuesta ante el desmontaje de las fronteras territoriales, la globalización de la criminalidad informática y las nuevas formas de sustracción, robo, exposición o deterioro de la información de una empresa.
Frente a este panorama, el destinar recursos para blindar con eficacia los sistemas electrónicos así como el establecer protocolos efectivos de seguridad informática en las organizaciones, ya no puede considerarse como un gasto, sino que constituye una inversión en políticas de prevención que pueden determinar la vida o la muerte de cualquier entidad, por más sólida que esta parezca.
En ese contexto, la aplicación de las auditorías de sistemas se torna imperiosa, pero el recurrir a ellas implica un trabajo exhaustivo de análisis en función de qué objetivo persigue la empresa, de acuerdo a sus necesidades. En primer lugar, es necesario tomar en cuenta que una auditoría de seguridad informática comprende la intervención de profesionales que analizan y gestionan los sistemas informáticos de una empresa, para identificar las vulnerabilidades que puede presentar el funcionamiento de servidores, puestos de trabajo, seguridad en el acceso remoto y redes que integran la infraestructura informática de la entidad.
El despliegue de la auditoría de sistemas abarca varias áreas de análisis para recabar la mayor y mejor información acerca de cómo marcha la empresa en ese tópico, y estas son:
1.- Test de penetración o hacking ético: se trata de un ataque controlado al sistema para encontrar brechas de seguridad y comprobar las debilidades en aplicaciones y redes informáticas.
2.- Auditoría de red: se trata de un mapeo de la red de dispositivos conectados en una organización y se efectúa para determinar cómo y por dónde los ciberdelincuentes pueden atacar esa red.
3.- Auditoría de seguridad perimetral: se la aplica para detectar cuál es la calidad del control de todos los accesos procedentes del exterior, con el fin de evitar que los hackers roben información.
4.- Auditoría forense: se realiza como un ejercicio de análisis posterior a un incidente, para reconstruir el procedimiento mediante el cual el ciberdelincuente ha ingresado en el sistema.
5.- Análisis web: se centra en medir la seguridad de las aplicaciones y los servicios de sofware que se tienen contratados, así como evaluar la seguridad de las páginas web y e-commerce para descubrir posibles vulnerabilidades que pueden ser utilizadas por terceros.
6.- Auditoría legal: evalúa el cómo la empresa gestiona los datos personales, las medidas de seguridad que aplica para protegerlos y el seguimiento de responsabilidad de quienes son custodios de esos datos.
Es evidente que todos estos recursos son imprescindibles en el caso de empresas que utilizan o están en proceso de desplegar servicios que operan en el exterior, tales como nubes de archivos, servidores web, servidores de correo electrónico, FTP o conexiones VPN.
Finalmente, los indicadores que revelan el nivel de seguridad de una empresa y mediante los cuáles se puede detectar la buena salud en cuanto a seguridad informática son:
- Sistemas antimalware
- Procesos de gestión de permisos
- Procesos de cumplimiento legal
- Políticas de prevención de fraude y de fuga de datos
- Sistemas de actualizaciones
- Sistemas de monitorización y supervisión de recursos
Y un detalle no menor constituye la recomendación de no centrar todo el proceso auditor en un solo análisis, y tampoco conformarse con una sola auditoría por siempre. Se sugiere planificar un calendario de auditorías de sistemas que se efectúen cada seis meses, por ejemplo. Solo así se puede estar al corriente de los avances tecnológicos que brindan mejores y más seguras condiciones para el desempeño empresarial, pero también nos permite estar oportunamente enterados de los cada vez más innovadores métodos para el cometimiento de delitos por parte de la ciberdelincuencia.