¿Qué es una metodología?

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoría de seguridad informática.

 

¿Qué se hace en una auditoría informática?

Este enfoque consiste en realizar un mayor énfasis en las amenazas procedentes de redes de comunicación externas a la organización y en los nuevos tipos de ataques y fraudes basados en dichas redes, sin obviar los ataques e intentos de fraude tradicionales o que se pueden producir internamente (originados por personal de la propia empresa).

 

Principales tipos de ataques

Los principales tipos de ciberataque existentes que buscan explotar las vulnerabilidades de los sistemas son los siguientes:

  1. Ataques que evitan prestar el servicio en el ciberespacio (Denial of Service).
  2. Ataques dirigidos a alterar la información, robarla, secuestrarla o cometer fraude (ransomware, troyanos, etc).

 

Nuestra metodología

Con nuestra metodología se analizarán los distintos elementos, hardware y software, a los que pueda afectar un ataque de ciberseguridad y se podrá establecer un rating del risk assesment (riesgo potencial) que indique hasta qué punto la unidad auditada es robusta o no.

Además, redactaremos un informe que servirá como soporte a la hora de establecer las conclusiones en el informe final de auditoría realizado y, con ello, ayude a la determinación del rating del Riesgo Potencial de la entidad auditada (Risk assesment).

 

Pruebas en una auditoría de seguridad informática

  • Hacer pings para detectar los puertos abiertos potencialmente peligrosos y que deberían estar cerrados o tener una justificación para estar abiertos. Para realizar la prueba podemos partir de la CMDB (listado con todos los elementos que componen la infraestructura de red). Normalmente escogeremos aquellos elementos que sean más críticos (entorno de producción, estado activo, etc).
  • Comprobar que dichos procedimientos han sido construidos teniendo en cuenta los requerimientos de las políticas corporativas, locales, regulatorias que afecten a la entidad, y las mejores prácticas de la industria, ya sean del fabricante, o de organismos dedicados a la publicación de estándares de seguridad.
  • Comprobar que los sistemas cuentan con un nivel de actualización suficiente, mediante la instalación de parches de seguridad. Verificar que el departamento de seguridad es partícipe de estas actualizaciones y mantiene una política de gestión de estos (prioridad de instalación de los parches para solucionar vulnerabilidades, periodicidad de revisión, etc).
  • Inventariar y analizar los usuarios con privilegios especiales (técnicos/administradores) en los servicios.
  • Determinar si los accesos de administración a los servicios se realizan mediante el uso de protocolos seguros y a través de interfaces o redes dedicadas a la administración.
  • Identificar y obtener las políticas y procedimientos relativos a la configuración de la seguridad de los dispositivos de red (Firewalls, IDS/IPS, enrutadores y switches y appliances de seguridad en red como proxys, email o VPN).
  • Obtener el mapa de red del ámbito de análisis, además del mapa de red global, para verificar la existencia de mecanismos de seguridad:

a) Dispositivos para el filtrado de las conexiones (firewalls).

b) Dispositivos para la segmentación de la red (switches)

c) Dispositivos de detección de intrusos y ataques.

d) Sistemas de análisis de correo, antivirus, proxies, Network Access Control Appliances y Data Loss Prevention agents.

e) Dispositivos de conexión como VPN.

  • Verificar que existen mecanismos que regulan y limitan el acceso de los usuarios a los dispositivos de red:

Los dispositivos delegan las funciones de AAA (Authentication, Authorization and Accounting) en servicios centralizados como por ejemplo RADIUS O TACACS+.

Los accesos a los datos se efectúan siempre mediante la utilización de un usuario y una contraseña que identifica de forma inequívoca al técnico o usuario administrador que está accediendo.

Longitud mínima y composición de la clave acorde a las definidas en las políticas de seguridad de la unidad y corporativas.

Vigencia adecuada de la contraseña.

Controles para no repetir las últimas contraseñas de un usuario.

Número de intentos de acceso fallido permitidos y mecanismos para el bloqueo y desbloqueo de usuarios.

Las contraseñas se almacenan cifradas, comprobando bajo qué sistema y con qué cifrado se encuentran, verificando que no se muestran en claro en las pantallas, listados, mensajes de comunicaciones, etc. (tanto en los servicios centralizados como en los usuarios administrativos locales de contingencia).

  • Analizar los tipos de redes inalámbricas existentes. Asegurar la existencia de redes diferenciadas para empleados e invitados, así como los mecanismos de seguridad implementados para controlar el acceso a los medios (WPA2, 802.1x, portal cautivo, etc).
  • Determinar si existen procedimientos y herramientas para detectar software no autorizado en la red.

 

Tipos de auditorías

Habitualmente ofrecemos tres tipos de auditorías:

  • Auditoría de caja blanca: Auditoría en la que se tiene información sobre la empresa a nivel de empleado.
  • Auditoría de caja negra: Auditoría en la cual no se tiene información de la empresa que se va a auditar.
  • Auditoría de caja gris: Auditoría en la que se tiene información parcial de la empresa.