Independientemente de la industria en la que trabajes, es fundamental proteger a tu personal y a tus clientes de las amenazas del ciberdelito. Existen varias pautas regulatorias y enfoques sistemáticos que tu empresa puede necesitar seguir, según la naturaleza de tu negocio. Pero tener un plan sólido es solo el primer paso; también necesitas ejecución y evaluación periódica para mantener tus prácticas actualizadas y la información de tus partes interesadas segura.
Por lo tanto, la importancia crítica de la redacción de informes de auditoría de ciberseguridad tiene como objetivo garantizar que tu ciberdefensa brinde lo que debe.
Te contamos aquí cómo redactar informes de auditoría de ciberseguridad de forma adecuada.
Indice
¿Qué es la redacción de informes de auditoría de ciberseguridad ?
Para comprender qué son los informes de auditoría, es útil comprender qué no lo son. Es decir, no es una evaluación, aunque ambos evalúan la eficacia de la ciberseguridad. En algunas situaciones, los dos términos se usan indistintamente. Por lo general, la diferencia entre una evaluación de ciberseguridad y una auditoría de ciberseguridad radica en la formalidad y objetividad de cada una.
Por lo general, una evaluación se realiza internamente, y el personal de tecnología de la información (TI) de una empresa realiza pruebas sobre la eficacia de sus medidas de seguridad. Estos pueden ocurrir de forma rutinaria o después de eventos especiales, como la instalación o el cambio de software o hardware importante. En cualquier caso, el enfoque interno deja espacio para el sesgo institucional y la tergiversación de los hallazgos.
Por el contrario, una auditoría suele ser realizada por o con la ayuda de un tercero externo. Esto permite una mirada mucho más objetiva e incisiva a tus prácticas de ciberseguridad. Una parte imparcial, como un socio o una institución reguladora, no tiene interés en tergiversar sus resultados.
Una auditoría de seguridad de TI abarca dos tipos de evaluaciones: manuales y automatizadas.
Las evaluaciones manuales ocurren cuando un auditor de seguridad de TI externo o interno entrevista a los empleados, revisa los controles de acceso, analiza el acceso físico al hardware y realiza escaneos de vulnerabilidades. Estas revisiones deben realizarse al menos una vez al año; algunas organizaciones los hacen con más frecuencia.
Las organizaciones también deben revisar los informes de evaluación automatizados generados por el sistema. Las evaluaciones automatizadas no solo incorporan esos datos; también responden a los informes de supervisión de software y a los cambios en la configuración del servidor y de los archivos.
Mejores prácticas para la redacción de informes de auditoría de ciberseguridad
En el mundo de la ciberseguridad, existen varias formas de evaluar la eficacia de las medidas de seguridad de tu empresa. Por un lado, la mera prevalencia de eventos de seguridad puede ser un indicador de desempeño deficiente. Pero incluso las empresas mejor protegidas serán atacadas por piratas informáticos ambiciosos. Incluso si no has experimentado una infracción, eso no significa necesariamente que tus defensas estén funcionando tan bien como podrían o que estés a salvo de futuros ataques.
Por tanto, la única forma de garantizar la seguridad de tu empresa es mediante una auditoría exhaustiva y objetiva. Por lo tanto, en las secciones siguientes, desglosaremos cuatro prácticas esenciales para la redacción eficaz de informes de auditoría:
Prepárate bien antes de auditar
La redacción de informes de auditoría se puede realizar por una amplia variedad de razones. Algunas de las más comunes tienen que ver con el cumplimiento o con el seguimiento de los procedimientos requeridos por varios marcos regulatorios. Otras empresas son auditadas o eligen auditarse a sí mismas por razones comerciales: por ejemplo, para demostrarle a un cliente potencial que pueden confiarle sus datos confidenciales.
Independientemente de por qué tu empresa está preparando un informe de auditoría, es esencial comenzar a prepararse para la evaluación mucho antes de que comience la auditoría real. Los pasos básicos a considerar incluyen:
- Inventario detallado y actualizado de todo el hardware y software relevante
- Mantenimiento de registros diligente con respecto a todo el personal, la clientela y los perfiles de usuario
- Seguimiento y documentación de todos los eventos de ciberseguridad (riesgos, ataques, etc.)
En muchos casos, los mismos marcos requieren documentación e informes escalonados que requieren que audites en primer lugar. Pero asegurarse de documentar todos los hechos y estadísticas relevantes para tu ciberseguridad es una práctica sólida, incluso cuando no es necesario, ya que agiliza el proceso.
Cumplimiento de las leyes
La preparación temprana produce simplicidad más adelante, lo que se traduce en menores costes de auditoría por su parte. Pero un obstáculo para un proceso de auditoría optimizado proviene de la profundidad y complejidad de varios protocolos de ciberseguridad que se cruzan.
Las empresas a menudo necesitan cumplir con uno o más marcos regulatorios, dependiendo de su industria.
Para complicar aún más las cosas, muchos de estos marcos requieren controles o prácticas similares, pero utilizan un lenguaje o métricas diferentes para definirlos. Algunos incluyen recursos de “mapeo”, que te ayudan a identificar cómo un control implementado para PCI-DSS satisface los requisitos de HIPAA, por ejemplo.
Pero en muchos casos, tal mapeo puede ser imposible, o al menos difícil. Por eso, en cualquier caso, es crucial mantener registros en formatos de datos sin procesar que no solo estén optimizados para cumplir con un conjunto de reglas en particular, sino que también sean manipulables para otros fines (de auditoría).
Recopila, analiza y optimiza datos
La preparación para la auditoría es solo la mitad de la batalla. Hace que el proceso de recopilación y optimización de datos oficiales sea mucho más ágil. Sin embargo, tu y tu organismo de auditoría aún debéis ejecutar la auditoría y redactar el informe de auditoría en sí, pasando de la preparación a la acción. Eso significa no solo recopilar todos los datos relevantes, sino también ponerlos en funcionamiento para su evaluación en varias métricas.
En algunos casos, el proceso de recopilación y optimización de datos será realizado íntegramente por un organismo de auditoría externo. En otros casos, se te asignará la tarea de presentar al auditor o auditores una cantidad significativa (o toda) de la información sobre la que basarán su informe.
Entre la información más importante que necesitas recopilar, analizar y optimizar se encuentra cualquier dato relevante sobre riesgos y vulnerabilidades (pasado, presente y futuro) que enfrenta tu empresa.
Contabilización de riesgos y vulnerabilidades
Un programa de ciberseguridad sólido no es uno en el que no exista absolutamente ningún riesgo o vulnerabilidad. Nunca ha existido tal ciberdefensa, ni existirá nunca. Incluso si el objetivo al que se aspiras es eliminar todos los riesgos y vectores, el enfoque más razonable de tu infraestructura y arquitectura de ciberseguridad debería ser administrar y mitigar las vulnerabilidades.
Con ese fin, tu proceso de redacción de auditorías puede y debe basarse en un enfoque sistemático para la gestión de amenazas y vulnerabilidades, que tiene en cuenta:
- Defectos o descuidos en el firewall u otras protecciones básicas
- Vulnerabilidades en cuentas de usuario y sistemas de control de acceso
- Todas las vulnerabilidades y exposiciones comunes conocidas (CVE)
Es importante destacar que todas las investigaciones realizadas sobre estos riesgos, como el análisis de la causa raíz interna o externa, o los resultados de las pruebas de penetración en profundidad, deben ponerse a disposición de los auditores.
Es imperativo pintar una imagen honesta de los riesgos y vulnerabilidades que enfrenta tu empresa. Puede parecer que lo mejor para ti es ignorar u ocultar un vector de riesgo determinado, por ejemplo, para parecer más estable para un cliente potencial. Pero tal táctica puede poner en peligro tanto tu auditoría como, lo que es más importante, tu ciberseguridad general.
Lista de verificación
Tu lista de verificación de auditoría dependerá de tu industria, tamaño y marco de cumplimiento. Por lo tanto, la lista de verificación de cada organización variará.
Sin embargo, existen algunas categorías básicas que toda auditoría debe incluir. Específicamente, las siguientes son categorías esenciales para revisar:
- Inventario y control de activos de hardware
- Inventario y control de activos de software
- Gestión continua de vulnerabilidades
- Uso controlado de privilegios administrativos
- Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.
- Mantenimiento, seguimiento y análisis de registros de auditoría
- Protección de correo electrónico y navegador web
- Defensas de malware
- Limitación y control de puertos de red, protocolos y servidores.
La lista de verificación anterior es solo el comienzo. Es una guía para principiantes para garantizar que los controles de seguridad básicos estén presentes y sean efectivos. Si aún no tienes estos controles en su lugar, no te preocupes. La seguridad cibernética es un maratón, no un sprint.
Adapta el informe a tu audiencia
Como se señaló anteriormente, la razón particular por la que realizas una auditoría puede variar. También lo harán las audiencias potenciales de tus informes de auditoría. Al igual que con cualquier tipo de redacción técnica, es importante adaptar tu informe a las expectativas y suposiciones particulares de tu audiencia.
Si tu auditoría se realiza con fines de cumplimiento o certificación, es esencial utilizar el lenguaje en particular en su respectivo marco regulatorio. Por ejemplo, una auditoría realizada para el cumplimiento de CMMC probablemente deba referirse a «prácticas» y «dominios» de seguridad, mientras que un informe de auditoría relacionado con el cumplimiento de la Publicación especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST) se referiría, en cambio, a «familias» de «requisitos».
Por otro lado, si tu auditoría se realiza por otras razones comerciales, como demostrar tu seguridad a un cliente potencial, es probable que desees enmarcar tus hallazgos de manera diferente. En particular, puedes utilizar menos términos técnicos u otra jerga que tu cliente no comprenda. Puedes mezclar y combinar el lenguaje de varios protocolos para resaltar tus fortalezas de ciberdefensa.
Elementos de un informe de auditoría eficaz
En última instancia, no existe una única forma de redactar un informe de auditoría. De hecho, una sola auditoría puede generar varios informes, o diferentes versiones del mismo informe, adaptadas a las necesidades de los diferentes lectores. Sin embargo, existen algunas técnicas útiles para la redacción de informes de auditoría.
Las cualidades esenciales de los informes de auditoría incluyen:
- Una sección de resumen ejecutivo conciso, por adelantado, minimiza la jerga y presenta de manera ordenada todas las conclusiones clave de una manera simplificada y accesible para todas las audiencias.
- Secciones lógicas que dividen el informe en partes más pequeñas, lo que permite al lector encontrar fácilmente cualquier información en particular de un vistazo; también considera un índice.
- La visualización clara de datos presenta los hallazgos más críticos en gráficos, tablas y otros formatos visuales para un análisis fácil, independientemente de los antecedentes de la audiencia.
- Las secciones analíticas sustanciales van más allá de los volcados de información y brindan información real, como predicciones y recomendaciones útiles para las partes interesadas.
La última práctica esencial para la redacción de informes de auditoría persuasivos es la edición diligente. Tu documento debe ser revisado y sometido a múltiples lecturas de sensibilidad y precisión para garantizar que esté libre de errores, omisiones y tergiversaciones que puedan poner en peligro tu auditoría.
Utiliza un socio de redacción técnica
Por último, una de las mejores formas de garantizar que la redacción de tu informe de auditoría sea lo más eficiente y eficaz posible es contratar los servicios de un proveedor de servicios dedicado que haya perfeccionado el oficio.
En algunos casos, una auditoría se puede realizar internamente, sin necesidad de un proveedor de servicios externo. Pero en muchos casos, deberás buscar un auditor o asesor calificado para realizar la evaluación, de todos modos. Si tu único punto de contacto con el tercero es durante la auditoría en sí, puede haber malentendidos que pueden extender el proceso y aumentar los costes de auditoría.
Establecer una relación con el socio de redacción técnica puede ayudar a aliviar la presión de la auditoría en sí al extender el proceso y colaborar tanto en la preparación de la auditoría como en cualquier otro trabajo correctivo necesario después. Escribir, como dicen, es un proceso.
¿Qué es una pista de auditoría de seguridad de TI?
El aspecto más lento de una auditoría de ciberseguridad es la creación de la pista de auditoría. Una pista de auditoría consiste en la documentación proporcionada al auditor que muestra pruebas de los procesos para proteger un entorno de TI.
Al prepararse para una auditoría, las empresas deben comenzar por organizar los documentos que cumplen con los requisitos de auditoría. Usa una lista de verificación de auditoría de seguridad de TI para determinar dónde están tus brechas.
La documentación debe demostrar el conocimiento comercial y de la industria. Debido a que el auditor leerá el informe de auditoría del año anterior, es aconsejable que una empresa también lo revise y recopile evidencia de las acciones correctivas.
Además, durante la auditoría de seguridad, las empresas deben mostrar sus evaluaciones de riesgo, evidencia de cumplimiento con los estatutos regulatorios y evidencia de información financiera desarrollada en el año en curso.
Además, el departamento de TI debe recopilar información que muestre la estructura organizativa de TI, las políticas y procedimientos de seguridad de la empresa, la lista de cuentas de usuario, el inventario de datos confidenciales y las pruebas de control interno.
Toda esta documentación muestra hechos que respaldan la opinión del auditor sobre si tu organización puede o no soportar una brecha de seguridad y ha realizado su debida diligencia para salvaguardar los sistemas y la información sensible contra amenazas a la seguridad.
¿Cuál es la diferencia entre controles generales y de aplicación?
Los controles generales se centran en aquellos sistemas de seguridad que se aplican a toda la empresa, incluidos, entre otros, TI. Estos controles incluyen controles operativos, administrativos, contables y organizativos.
Los controles de aplicaciones se centran en transacciones y datos dentro de aplicaciones o redes informáticas, como los controles de una red inalámbrica. Son específicos del panorama de TI de la empresa. Los controles de aplicaciones enfatizan los estándares de seguridad de TI y la precisión de los datos, específicamente la función de entrada, procesamiento y salida (IPO) de la empresa.
¿Cómo se comportaría la gestión de riesgos cibernéticos de tu empresa si mañana sufrieras un ataque?
Porque los riesgos de ciberseguridad para las empresas están aumentando durante esta pandemia. Se presentaron 1448 amenazas temáticas de COVID-19 en febrero de 2020 y 8319 amenazas en marzo de 2020. Muchas de estas amenazas cibernéticas tuvieron éxito a través de un ataque de phishing, que se dirige a la información confidencial de tu empresa y de los empleados.
Por lo tanto, es vital asegurarse de que tus medidas de administración de ciberseguridad sean efectivas, ya que una respuesta lenta o inadecuada contra un ataque daña tu reputación y tu balance final.
No es adecuado tener planes de seguridad establecidos; deben ser auditados de manera consistente. ¿Cuándo fue la última vez que revisaste los planes de gestión de riesgos cibernéticos de tu empresa ? ¿Los documentos de seguridad están actualizados y cumplen con los requisitos de cada departamento?
Si aún no estás seguro, entonces es el momento adecuado para una auditoría de ciberseguridad.
Principales indicadores de que te estás quedando atrás
- La tecnología desactualizada no hace frente a los nuevos desafíos: depender de tecnologías más antiguas, como software antiguo, hardware antiguo, políticas y prácticas obsoletas y servicios obsoletos, puede dejarte vulnerable a las amenazas emergentes.
- Riesgos que fluyen ampliamente sobre las oportunidades: debes experimentar e innovar con nuevas tecnologías. Si temes adoptar nuevas tecnologías con la preocupación de que la nueva tecnología te deje expuesto a nuevas amenazas, entonces necesitas una auditoría de ciberseguridad.
- ¿Pensando que tu negocio es «demasiado pequeño» para la auditoría de ciberseguridad – considerando que solo las empresas a gran escala requieren auditorías de ciberseguridad? ¡Piensa otra vez! La mayoría de las empresas, independientemente de su tamaño, están subcontratando cada vez más servicios, lo que permite a terceros observar de cerca sus sistemas y prácticas críticos. Las organizaciones de todos los tamaños pueden beneficiarse de una evaluación de ciberseguridad.