En estos tiempos de relaciones globales y conexiones múltiples en los que prácticamente es imposible trabajar fuera de la red universal que es Internet, los sistemas informáticos se encuentran especialmente expuestos al ataque de usuarios maliciosos, hackers u otra serie de intromisiones que pueden afectar, en definitiva, al correcto funcionamiento de los sistemas y a la seguridad global de un usuario particular o empresa. Así pues, de un tiempo a esta parte se está poniendo en valor la necesidad de reforzar los mecanismos de control, especialmente en una fase previa que podríamos llamar de prevención y en la que entrarían, con un lugar destacado dentro de ella, la auditoría de sistemas.
Ahora bien, a la pregunta de cómo hacer una auditoría de seguridad informática se le impone la necesidad de definir de qué se trata, cuáles son sus objetivos, de qué fases consta y, también, los tipos que existen en atención a diversas cuestiones. Pues bien, una auditoría de seguridad informática es un estudio que conlleva tanto la gestión como el análisis de los sistemas informáticos y que es llevado a cabo por profesionales –ajenos al entorno de la empresa– con el objeto de hallar y valorar las posibles vulnerabilidades que pueden presentarse tras una revisión a fondo de estaciones de trabajo, redes de comunicaciones, servidores… En toda auditoría, por básica que fuere, se evalúan al detalle los protocolos y procedimientos de una entidad, se comprueba el sistema de procesamiento de la información en cuanto que mecanismo de evaluación interno…
Qué se analiza en una auditoría informática
Si se trata de dar una respuesta a cómo hacer una auditoría de seguridad informática, lo más elemental es recordar que se trata de una función que debe realizar una entidad independiente y, por este motivo, objetiva, que no tenga ningún interés en la empresa y que pueda limitarse a hacer bien su trabajo de evaluación. Además, este análisis está llamado a ser exhaustivo, tanto como lo pueda ser una auditoría de cuentas o la revisión periódica del estado de un edificio. Así, no pueden quedar sin ser revisados los equipos instalados, los servidores, los programas, los sistemas operativos… Tampoco los procedimientos, así como la seguridad de los equipos y en la red.
Por otra parte, toda auditoría de seguridad informática debe detenerse a analizar la eficiencia de los sistemas y programas informáticos, la gestión de los sistemas instalados y la vulnerabilidad que pudieran presentar las estaciones de trabajo, redes de comunicación o servidores. Se valorará, por último, la existencia o no de un protocolo de seguridad ante una amenaza tecnológica y lo oportuno de las medidas recogidas, si es que existe, para hacer frente a una amenaza tecnológica.
Aunque en la pregunta que da título a esta entrada (“cómo hacer una auditoría de seguridad informática”) bien pudiera tener más de una respuesta, existe un consenso, recogido en leyes y reglamentos sobre la materia, de que la auditoría no termina en la fase anteriormente recogida, de evaluación y análisis de los diferentes elementos de un complejo informático, sino que a ese informe le sigue otro en el que se recogen toda una serie de medidas de refuerzo o prevención para permitir a los administradores, quienes solicitan o “padecen” la auditoría, reforzar y mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos, una experiencia muy recomendable en esta como en tantas otras facetas de la vida.
La auditoría permitirá conocer a los gestores de un sistema informático cuáles serían los procedimientos a poner en marcha para corregir las desviaciones existentes y fomentar el correcto mantenimiento de los mismos, así como definir un proceso de autoanálisis en lapsos de tiempo fijados que puedan ayudar a determinar la existencia de estas fallas de seguridad sin necesidad de recurrir a una empresa externa especializada.
Tipos de auditoría informática
Igualmente, hay que tener en cuenta los tipos para saber cómo hacer una auditoría de seguridad informática, pues, en función de estas clases, varían también los procedimientos. No es lo mismo que la auditoría esté orientada a la seguridad interna, pues entonces se basará en chequear los niveles de privacidad y seguridad de la intranet, que el objetivo primordial se fije en el perímetro, lo que se conoce en la jerga especializada como la “frontera” entre la red privada y la externa. Otros tipos son los tests de intrusión, llamados a poner a prueba la seguridad del equipo ante la actuación de posibles hackers y la auditoría forense, llamada a implantarse como mecanismo de urgencia cuando ya se ha producido una entrada no autorizada al sistema y se pretenden valorar las pérdidas ocasionadas.
Por último, indicar que estas auditorías pueden ser llevadas a cabo desde Internet, desde la red interna o llevando a cabo trabajos sobre los equipos echando mano de herramientas de software especializadas en la identificación de vulnerabilidades, de presencia de virus, del estado físico y lógico de los equipos… En resumen, ante la cuestión de cómo hacer una auditoría de seguridad informática solo cabe dar una respuesta flexible en atención a las múltiples variantes que puede adoptar. Variantes todas ellas, eso sí, que deben respetar los principios de objetividad e imparcialidad así como estar orientadas a la búsqueda de la máxima eficacia y rigor.