Auditar la seguridad de la información resulta ser una tarea compleja e interesante. La complejidad está dada por la esencia misma de la gestión, sabemos que detrás de las cuatro palabras “seguridad de la información” existen miles de palabras que forman parte de una amplia gama de conceptos, normativas, tecnologías, técnicas y demás. Por curiosidad tomé NIST SP800-100 y noté que solo un apéndice abarca 440 palabras que definen 39 acrónimos, cuyos conceptos son muy amplios, como por ejemplo “Infraestructura de llave pública”. Definitivamente, cuando se trata de auditoría de seguridad de la información se puede y debe hacer mucho, por ello es necesario decidir por dónde empezar.
Para responder, analicemos dos perspectivas: el nivel de madurez del área de auditoría y el nivel de detalle.
.
Nivel de madurez del área de auditoría
El principal objetivo de una función de auditoría es validar la exposición al riesgo; este rol debe efectuarse con un grado de madurez que sea consecuente con la organización. Básicamente, el nivel requerido depende del tipo de organización. Un buen punto de referencia es el grado de regulación a la que se somete la industria: a mayor regulación, mayor madurez del área en temas de seguridad; este es el caso de las industrias financiera o de salud.
Para empezar, en auditoría de seguridad de la información determine cuál es el nivel de madurez óptimo para su área de auditoría y evalúe si ciertos indicadores responden a este nivel. El principal indicador tiene que ver con la capacidad del equipo de trabajo, por ejemplo conocimientos y experiencia en seguridad de tecnologías de información base o en estándares, regulaciones y buenas prácticas aplicables, habilidades de investigación y autoaprendizaje. Es común efectuar auditoría de seguridad de información con especialistas en tecnología, sin embargo denota mayor madurez incluir también profesionales de ramas como procesos o riesgos para identificar los flujos de información. Es recomendable conseguir capacitación específica que permita obtener certificaciones reconocidas.
Otro indicador clave es el valor que la auditoría quiere dar al negocio: un nivel de madurez inicial se refleja en evaluaciones básicas de cumplimiento de políticas internas, y un nivel mayor determinará lo razonable de las políticas así como los aspectos estratégicos y de gobierno.
.
Nivel de detalle
Auditar seguridad de información involucra analizar el flujo completo de información, en resumen: evaluar todos los procesos. En un inicio resulta práctico utilizar la estrategia “divide y vencerás”, seleccionando los procesos que permitan cumplir de mejor forma el objetivo. Siendo el objetivo validar la efectividad de la gestión de seguridad de la información recomiendo empezar por una evaluación de alto nivel pues es lo que brinda más valor, y combinar con evaluaciones de cumplimiento con prácticas básicas.
La evaluación de alto nivel consiste en analizar el gobierno de seguridad de la información. Una política clara, así como un gestor de alto nivel, son pilares de un enfoque efectivo. Primeramente busque una política que cubra aspectos de clasificación de información con las medidas de protección respectivas. Segundo, identifique a los gestores que garantizan que las medidas se cumplan pues es importante que exista un organismo de alto nivel con injerencia sobre todas las áreas de la organización, así como entes operativos que ejecuten y monitoreen las medidas. Da valor a la auditoría evaluar qué tan alineada está la gestión de seguridad de información con los objetivos estratégicos, evidenciar definiciones y cumplimiento de medidas para garantizar que la información se gestione en forma segura a través de los procesos estratégicos y, lógicamente, por medio de las tecnologías de información relacionadas.
La evaluación de cumplimiento se recomienda primero en las prácticas básicas de seguridad informática, sobre todo gestión de identidad en aplicaciones y equipos críticos de infraestructura, así como existencia de bitácoras para aplicaciones base. Posteriormente se puede validar el cumplimiento con normativas aplicables. Considere siempre que toda práctica o normativa involucra estas actividades básicas.
En síntesis, para empezar a trabajar en auditoría de seguridad de la información, parta de un análisis del nivel de madurez de su proceso de auditoría y efectúe evaluaciones de gobierno y de cumplimiento con las prácticas básicas de gestión de identidad en sistemas e infraestructura. Con los resultados que obtenga será más claro el camino a seguir.
Deja tu comentario