Cómo realizar una auditoría de seguridad de TI: guía y herramientas paso a paso

Hay muchos amenazas a los sistemas de TI y los ataques de piratas informáticos no son la única fuente de problemas potenciales. También debe asegurarse contra amenazas internas y pérdidas o daños accidentales a los datos. Hay muchas actividades que deben realizarse para garantizar una sólida seguridad del sistema.

Necesitas realizar auditorías periódicas de seguridad informática para asegurarse de que no existan lagunas en su estrategia de seguridad. Al realizar una auditoría de seguridad de TI, debe trabajar metódicamente con una lista de verificación porque las comprobaciones ad hoc pueden simplemente confirmar los problemas de seguridad que pensó y resolvió.

Son aquellas partes de la seguridad del sistema que pasó por alto las que serán el talón de Aquiles de su empresa.

Aquí está nuestra lista de las cuatro mejores herramientas automatizadas de seguridad de TI:

1. Administrador de derechos de acceso de SolarWinds (PRUEBA GRATUITA) Controle las implementaciones de Active Directory en toda la organización y ajuste las credenciales de los usuarios.
2. Papertrail (PRUEBA GRATUITA) Un administrador de registros completo que brinda acceso a archivos para auditoría.
3. Analizador ManageEngine EventLog (PRUEBA GRATUITA) Una herramienta de seguridad que se puede adaptar para mostrar el cumplimiento de los estándares.
4. Puerta lógica Un sistema de evaluación de riesgos de TI basado en la nube.

¿Qué es una auditoría de seguridad informática?

Una auditoría es una evaluación del sistema. Hay Muchos niveles de auditorías de seguridad. y diferentes motivos para realizar uno. Una auditoría se puede realizar internamente con herramientas automatizadas; otras pueden requerir la participación de consultores externos para identificar y ajustar las prácticas de trabajo que crean debilidades de seguridad.

Las auditorías de seguridad de TI automatizadas también se conocen como evaluaciones de vulnerabilidad , mientras que las cuestiones de procedimiento son tratadas por gestión de riesgos . El costo y la interrupción de una auditoría externa pueden resultar desalentadores, por lo que es mejor programar ese tipo de auditorías de seguridad de TI con menos frecuencia que los análisis automatizados del sistema. La instalación de un software de monitoreo compatible con los estándares realizará tareas de auditoría de cumplimiento automáticamente.

Herramientas de monitoreo que pueden ser adaptadas por plantillas de conformidad con estándares imponer un conjunto de prácticas laborales y producir documentación de cumplimiento sin intervención humana. Se puede facilitar una auditoría de seguridad de TI instituyendo mejores prácticas que se apliquen mediante software.

Tipos de auditoría de seguridad

Una auditoría de seguridad de TI examina los sistemas y las prácticas de trabajo, buscando debilidades que podrían permitir que se produzca una violación de datos o buscando evidencia de que se ha producido una violación de datos. La función de auditor es un puesto profesional y existen organismos de normalización que emiten certificaciones para los profesionales que se afilian al instituto y presentan exámenes para demostrar sus conocimientos. Así, existen Auditores Certificados de Sistemas de Información y Auditores Certificados de Internet que están calificados para realizar auditorías de seguridad informática.

Auditoría interna

Como su nombre lo indica, la auditoría interna la realiza un miembro de la organización. Una auditoría interna suele ser comandado por la junta directiva en lugar de un ejercicio electivo realizado por el departamento de TI. La solicitud de auditoría también debe especificar el estándar que se debe alcanzar.

Una auditoría interna suele ser un ejercicio poco frecuente. Puede ser una evaluación del sistema que garantice que la empresa pase una auditoría externa.

La auditoría de seguridad de TI tiene como objetivo identificar problemas que los gerentes del departamento de TI no se habían dado cuenta y sugieren posibles lagunas en las que esos gerentes no habían pensado, por lo que esos mismos gerentes no son las personas adecuadas para establecer la agenda de la auditoría.

Algunas empresas más grandes tienen un departamento de auditoría interna. Sólo las empresas muy grandes tienen el volumen y alcance de negocio que les permite justificar tener un auditor especialista en TI cualificado en el personal. El departamento de auditoría de las empresas más pequeñas podría contratar a un consultor especializado en seguridad de TI para fortalecer el equipo de auditoría durante la duración de la auditoría de seguridad de TI.

Auditoría externa

Una auditoría externa tiene más autoridad que una auditoría interna. Aunque la empresa auditada paga a un auditor externo, se espera que esa empresa de auditoría sea independiente. No debería ser susceptible a presiones para falsear los resultados de la auditoría y dar una imagen positiva del sistema informático.

El motor de una auditoría externa suele ser un requisito contractual o una obligación legal de la empresa de demostrar que no existen problemas de seguridad en su sistema informático. Actualmente, el objetivo principal de una auditoría de seguridad informática es demostrar el cumplimiento de un estándar de seguridad de datos, como HIPAA , PCI-DSS , o SOX .

Métodos de auditoría de seguridad de TI

Los dos marcos para la auditoría de seguridad de TI son auditorías manuales y auditorías automatizadas . En realidad, ninguna auditoría de TI será completamente manual porque los auditores dependen de herramientas para extraer datos del sistema. De manera similar, ninguna auditoría puede automatizarse completamente porque un humano necesita establecer los parámetros de las herramientas automatizadas y verificar la veracidad de sus resultados. Sin embargo, hay más participación humana en una auditoría manual que en una auditoría automatizada.

Auditoría manual

Una auditoría manual requiere mucho tiempo y es costosa. Para que valga la pena y tenga autoridad, las personas que dirigen la auditoría deben ser profesionales cualificados en auditoría informática , que cobran salarios altos.

Un auditor profesional tiene la experiencia que dirige la auditoría hacia los factores importantes a tener en cuenta y la capacitación que garantiza que la auditoría se realizará de manera metódica y exhaustiva.

Una auditoría manual tiene la ventaja de poder incluir entrevistas con personal clave . Puede evaluar la competencia de quienes ejecutan el sistema de TI. Una auditoría manual también puede cubrir cuestiones geográficas, como la ubicación de los equipos de TI clave y las medidas de seguridad física adoptadas por la empresa.

La validez de una auditoría manual depende de la competencia y reputación del auditor superior que dirige al investigador y de la confianza invertida en el equipo que lleva a cabo la auditoría.

Auditoría automatizada

A Técnica de auditoría asistida por computadora (CAAT) no está completamente automatizado. Es necesario que haya personas que controlen y verifiquen la implementación de la auditoría y sus resultados. Sin embargo, CAAT es mucho más fácil de realizar que una auditoría manual tradicional.

Las auditorías automatizadas son más efectivo cuando se establezcan de forma permanente. La base documental para una auditoría de seguridad de TI se puede construir con el tiempo, verificando cada transacción y evento a medida que ocurre. Por tanto, una auditoría automatizada se puede realizar de forma incremental. Cuando es necesario enviar un informe de auditoría, se puede extraer de inmediato.

Auditoría continua, implementada por procesamiento automatizado también mantiene al departamento de TI en el buen camino. Las plantillas de estándares integradas en el sistema de TI evitan prácticas laborales descuidadas y hacen menos probable que la empresa falle cualquier auditoría exigida por una autoridad externa.

Ver también: Las mejores herramientas de auditoría de seguridad de red

Estándares de seguridad informática

Si bien las autoridades fiscales exigen auditorías financieras, las auditorías de seguridad de TI generalmente están impulsadas por el requisito de cumplir con un estándar de protección de datos, impulsado por obligaciones contractuales o convenciones de la industria. Los principales estándares que requieren una auditoría para comprobar su cumplimiento son:

• PCI-DSS – PCI-DSS es un requisito de procesamiento de tarjetas de pago. Una empresa no podrá aceptar pagos de clientes sin la acreditación PCI-DSS. El estándar PCI-DSS no está interesado en la seguridad de todo el sistema de TI de una empresa, solo en los detalles de la tarjeta de pago y la información personal del cliente.
• HIPAA – Esta norma aplica dentro de la industria de la salud y aquellos negocios que la suministran. Se ocupa de la información personal de los pacientes.
• SOX – SOX significa Ley Sarbanes-Oxley. Es una norma legal nacional en EE.UU. que tiene como objetivo evitar que las empresas falsifiquen informes sobre su rentabilidad y viabilidad financiera. Aunque esta norma sólo se aplica a las empresas estadounidenses, también debe implementarse en todas las filiales extranjeras de empresas estadounidenses.
• RGPD – Esta norma de protección de datos se aplica a los países de la UE. Sin embargo, cualquier empresa no perteneciente a la UE que quiera hacer negocios en la UE. Se relaciona específicamente con la seguridad de la información de identificación personal (PII) mantenida en formato digital.
• ISO/CEI 27000 – Una familia de normas producidas por la Organización Internacional de Normalización (ISO). Estos estándares no lo son directamente. Sin embargo, a menudo son requisitos establecidos por las empresas al redactar contratos con empresas asociadas, como proveedores.

Frecuencia de las auditorías de seguridad informática

A diferencia de las auditorías financieras, no existe ningún requisito general impuesto por el gobierno sobre la frecuencia de las auditorías de seguridad de TI. Muchos de los estándares de seguridad de TI incluyen una renovación de acreditación , que requiere una auditoría. Si busca la acreditación para uno de esos estándares, debe seguir los requisitos de auditoría de ese estándar en particular.

La convención con las auditorías financieras y la acreditación de estándares de seguridad de TI es realizarlas anualmente y, por lo tanto, esa es la mejor práctica para la auditoría de seguridad de TI.

Se realiza una auditoría proactiva y automatizada continuamente . La auditoría continua proporciona toda la documentación necesaria para una auditoría de normas. Si se ordena una auditoría externa, un requisito de la empresa auditada es que debe tener todos sus registros disponibles para inspección sin previo aviso.

Un desencadenante común de una auditoría de seguridad de TI es el descubrimiento de una violación de datos o un ataque grave de ciberseguridad. Después de recuperarse del ataque, es probable que los ejecutivos de la empresa soliciten una auditoría de seguridad de TI para garantizar que no ocurra otro incidente de seguridad.

Consejos para la auditoría de seguridad de TI

Las auditorías de seguridad de TI pueden ser muy disruptivas. Una auditoría manual en particular requiere que el personal de TI dedique tiempo a sus actividades habituales para satisfacer los requisitos de información de los auditores. La preparación de una auditoría también puede llevar mucho tiempo porque requiere que todos los registros relevantes estén ubicados y disponibles en un formato adecuado.

Hay pasos que puede seguir para garantizar que una auditoría se realice sin problemas y con una interrupción mínima de las actividades en curso del departamento de TI.

• Identificar datos sensibles – Una auditoría de seguridad de TI basada en estándares se centrará en un grupo de datos específico, como datos de tarjetas de pago (para PCI-DSS) o información personal (para HIPAA). Identifique todas las ubicaciones de los almacenes de datos para este tipo de datos. Siempre que sea posible, centralice todos los tipos de datos críticos y centre los esfuerzos de seguridad allí. Si la centralización no es posible, asegúrese de que se apliquen medidas de alta seguridad en todas las ubicaciones donde se almacenan esos datos.
• Administrar archivos de registro – Los estándares de datos requieren que todos los archivos de registro estén disponibles a pedido para que un auditor externo los examine sin previo aviso. El período de retención para este requisito varía según el estándar. Archivar está bien, pero los archivos deben restaurarse fácilmente para que estén disponibles para su examen.
• Controlar el acceso a los recursos – instituir una política de gestión de derechos de acceso que coordine el acceso a capas de datos y la sensibilidad de las aplicaciones. Registre todos los eventos de acceso para que las violaciones de datos puedan investigarse adecuadamente.
• Hacer cumplir prácticas laborales seguras – Utilice casilleros de contraseñas y sistemas de distribución de credenciales que descarten la necesidad de enviar credenciales de inicio de sesión por correo electrónico o escritas en hojas de papel. Asegúrese de que todas las actividades se realicen dentro del marco del sistema de TI para que puedan registrarse y rastrearse automáticamente.

Asegúrate de saber exactamente cuál estándar de datos se espera que usted cumpla y con qué datos o transacciones se relaciona ese estándar. Elimine los procesos manuales siempre que sea posible y registre todas las actividades dentro del sistema de TI.

Lista de verificación de auditoría de seguridad de TI

Facilite el proceso de auditoría asegurándose de que su departamento de TI esté preparado para soportar cualquier demanda de auditoría en cualquier momento.

• Especifique el estándar de auditoría que debe cumplir.
• Identifique los recursos que examinará la auditoría.
• Asigne la responsabilidad de la seguridad del sistema al personal clave para los diferentes atributos del sistema.
• Formar a los responsables de seguridad de los datos para que sean plenamente conscientes de sus responsabilidades.
• Enumere el software de seguridad del sistema actual: por ejemplo, firewalls, AV, herramientas SIEM, etc.
• Verifique que todo el software y los sistemas operativos estén completamente parchados y actualizados a las últimas versiones.
• Compruebe que los archivos de registro estén disponibles para realizar búsquedas.
• Cree un conjunto de políticas de seguridad y documentelas, guardándolas en una carpeta específica, ya sea en formato digital o en papel.
• Realice barridos regulares de vulnerabilidades del sistema.
• Reforzar el acceso físico a los servidores documenta los niveles de acceso de seguridad del personal.
• Implementar control de autenticación centralizado.
• Aplique seguridad de contraseña, 2FA y rotación de contraseñas en todas las cuentas de usuario.
• Eliminar cuentas inactivas.
• Implemente controles de dispositivos periféricos y firewalls inversos para prevenir la pérdida de datos.
• Aplicar el cifrado a todas las transmisiones de datos.
• Implemente análisis de seguridad automatizados y registros de actividad.

Cuando llegue un equipo de auditoría externa, los pasos anteriores garantizarán que puedan realizar una auditoría de seguridad integral sin que su personal de TI tenga que interrumpir su trabajo habitual.

Las mejores herramientas automatizadas de auditoría de seguridad de TI

Implemente sistemas que controlen las actividades para bloquear prácticas laborales no seguras y compilar de forma incremental la documentación de auditoría. Estas herramientas garantizan que usted sea constantemente cumpliendo con estándares de seguridad de datos y podría pasar fácilmente cualquier auditoría flash.

Nuestra metodología para seleccionar una herramienta de monitoreo de seguridad TI

Revisamos el mercado de sistemas de monitoreo de seguridad y analizamos herramientas en función de los siguientes criterios:

• Evaluación de los datos de gestión de derechos de acceso.
• Recopilación y correlación de registros.
• Adaptación de la evaluación a los estándares de privacidad de datos
• Herramientas de evaluación automatizadas
• Plantillas formateadas de informes de cumplimiento
• Una prueba gratuita o un paquete de demostración que ofrece la oportunidad de realizar una evaluación sin costo
• Relación calidad-precio de una herramienta de auditoría que ahorrará tiempo y se ofrece a un precio razonable.

Con estos criterios de selección en mente, hemos identificado una variedad de herramientas que debe considerar para respaldar sus requisitos de auditoría de sistemas de TI.

1. Administrador de derechos de acceso de SolarWinds (PRUEBA GRATUITA)

Administrador de derechos de acceso de SolarWindsfue creado con procedimientos de cumplimiento de estándares por lo que es una herramienta validada para cumplir con RGPD , PCI-DSS , HIPAA , además de otros estándares de seguridad de datos. Los informes de auditoría están integrados en Access Rights Manager, lo que hace que las auditorías internas y externas sean más rápidas y fáciles de completar.

Características clave:

• Gestión de cuentas de usuario
• limpieza de cuenta
• Opera en Active Directory
• Cumplimiento de PCI-DSS, HIPAA y GDPR
• Portal de autoservicio para usuarios

Este software se instala en Servidor de windows y le presta atención Directorio Activo implementaciones, centralizando la gestión de cuentas en todos los sitios y aplicaciones. Incluye funciones de análisis de cuentas que le permiten identificar cuentas inseguras e inactivas. También incluye un portal de autoservicio para permitir a los usuarios actualizar sus propias cuentas y puede hacer cumplir políticas de renovación y seguridad de contraseñas. Puede obtener una prueba gratuita de 30 días de SolarWinds Access Rights Manager.

Ventajas:

• Proporciona una visión clara de las estructuras de permisos y archivos a través de visualizaciones y mapeos automáticos.
• Los informes preconfigurados facilitan la demostración del cumplimiento
• Cualquier problema de cumplimiento se describe después del análisis y se combina con acciones correctivas.
• Los administradores de sistemas pueden personalizar los derechos de acceso y el control en Windows y otras aplicaciones.

Contras:

• SolarWinds Access Rights Manager es una plataforma detallada diseñada para administradores de sistemas cuyo aprendizaje completo puede llevar tiempo

SolarWinds Access Rights Manager inicie una prueba GRATUITA de 30 días

dos. Papertrail (PRUEBA GRATUITA)

Rastro de papeles un servicio de gestión de registros basado en la nube que tiene excelentes funciones de gestión de disponibilidad de datos. Los agentes instalados en el sitio cargan los mensajes de registro en el servidor de Papertrail. El servidor de archivos de registro clasifica, consolida y almacena mensajes de registro en un formato estandarizado, de modo que pueda manejar todo tipo de mensajes de registro, incluidos los generados por Eventos de Windows y registro del sistema . Los mensajes de registro están disponibles a través de un visor de archivos de registro para buscar, ordenar y analizar.

Características clave:

• Basado en la nube
• Recopila y consolida eventos de Windows y Syslog
• Archivar y reactivar registros

Papertrail tiene una muy útil archivar Mecanismo que puede devolver los archivos a la esfera activa para su examen. Esta es una característica muy importante requerida por los auditores de estándares de datos y la convierte en una útil herramienta automatizada de auditoría de seguridad de TI.

Ventajas:

• El servicio alojado en la nube ayuda a escalar la recopilación de registros sin invertir en nueva infraestructura
• Cifra datos tanto en tránsito como en reposo
• La copia de seguridad y el archivado se realizan automáticamente y forman parte del servicio.
• Utiliza detección de anomalías y basada en firmas para lograr el monitoreo más completo posible
• Incluye una versión gratuita

Contras:

• Se debe invertir tiempo para explorar completamente todas las características y opciones.

La capacidad de procesamiento de datos, el período de disponibilidad en vivo y la capacidad de almacenamiento de Papertrail dependen de cuál de los seis planes elija. Hay una versión gratuita que procesa 50 MB de datos al mes.

Versión gratuita de Papertrail<50GB/month

3. Analizador ManageEngine EventLog (PRUEBA GRATUITA)

Analizador de registros de eventos ManageEngine proporciona rutinas integrales de administración de registros. Recopila y consolida mensajes de registro y luego los indexa y archiva. Los archivos de registro se crean en una estructura de directorio significativa, lo que facilita el acceso a ellos para su análisis. El sistema también incluye funciones de análisis para facilitar la evaluación de eventos.

Características clave:

• Recolector y consolidador de registros
• Eventos de Windows, Syslog y registros de aplicaciones
• Cumplimiento de PCI-DSS, GDPR, SOX, HIPAA e ISO 27001
• Plantillas de informes de cumplimiento

ManageEngine diseñó EventLog Analyzer teniendo en cuenta los estándares de protección de datos. Tiene plantillas que adaptan el sistema para que haga cumplir y apoye el cumplimiento de PCI-DSS , HIPAA , RGPD , SOX , ISO 27001, y otras normas.

Ventajas:

• Paneles de control personalizables que funcionan muy bien para los centros de operaciones de red
• Múltiples canales de alerta garantizan que los equipos reciban notificaciones a través de SMS, correo electrónico o integración de aplicaciones.
• Utiliza la detección de anomalías para ayudar a los técnicos en sus operaciones diarias
• Admite el monitoreo de la integridad de los archivos que puede actuar como un sistema de alerta temprana para ransomware, robo de datos y problemas de acceso a permisos.
• Las funciones de auditoría de registros forenses permiten a los administradores crear informes para casos o investigaciones legales.

Contras:

• Más adecuado para monitoreo continuo que para auditorías únicas

El software para EventLog Analyzer se instala en Servidor de windows y linux . Puedes conseguirlo en unPrueba gratuita de 30 días.

ManageEngine EventLog Analyzer Inicie una prueba GRATUITA de 30 días

Cuatro. Puerta lógica

Puerta lógica es una herramienta de gobierno, gestión de riesgos y cumplimiento (GRC) basada en la nube. Entre los servicios de LogGate se encuentra un sistema de evaluación de riesgos de seguridad de TI que se puede adaptar a estándares de datos específicos, como RGPD , PCI-DSS , y SOX .

Características clave:

• Basado en la nube
• Cumplimiento de GDPR, PCI-DSS y SOX
• Evaluación de riesgos

Este servicio crea un marco de riesgo adaptado a su industria y a los estándares que debe cumplir. LogicGate también puede producir Directrices de auditoría de seguridad de TI , que son útiles para una verificación previa a la evaluación, así como una herramienta para quienes realizan la propia auditoría.

Ventajas:

• Admite GDPR y otros estándares de cumplimiento populares
• Cuenta con un portal de clientes donde terceros pueden realizar solicitudes de datos de forma segura y auditable.
• Las alertas automáticas pueden mantener a los equipos informados sobre problemas de cumplimiento e infracciones.
• Sysadmin puede crear sus propios inventarios de activos y aplicar permisos personalizados según sus necesidades.

Contras:

• El precio no es transparente.
• Debe comunicarse con ventas para obtener una demostración, sin descarga gratuita.