¿Preguntas? Escríbenos a [email protected]

Tipos de Auditoría de Ciberseguridad

Tipos de Auditoría de Ciberseguridad

La importancia de las auditorías de ciberseguridad

Uno de los servicios de ciberseguridad más demandados en la actualidad son las Auditorías de Ciberseguridad, también conocidas como análisis de vulnerabilidades, pruebas de intrusión, Pentesting, Hacking Ético o ejercicios de Red Team, dependiendo del objetivo y alcance de las mismas.

Durante el proceso de auditoría se somete a un entorno informático a una serie de pruebas relativas a ciberseguridad con el objetivo de detectar vulnerabilidades que pudieran poner en riesgo la seguridad, disponibilidad e integridad y de los sistemas de información auditados así como los datos gestionados y almacenados en ellos. 

Otro objetivo fundamental es poner a prueba los sistemas de ciberseguridad implantados y la capacidad de detección y respuesta ante ciberataques de las organizaciones.

Gracias a este tipo de auditorías podrá disponer de una serie de simulaciones que le permitirán conocer su grado de exposición a los ataques más comunes y le servirá también para poder evaluar el nivel y capacidad de detección y respuesta de sus sistemas de seguridad

Este tipo de servicios resultan fundamentales para poder detectar posibles deficiencias en la ciberseguridad de una organización con vistas a corregirlas y así prevenir posibles ciberataques.

Clasificación según el objetivo del alcance de la auditoría

Auditoría de infraestructura: se analizan las medidas de protección de la infraestructura TI / IoT / OT en busca de vulnerabilidades que puedan ser explotadas por atacantes internos o externos. También se revisan las operaciones de red y los diferentes perfiles de usuario para detectar posibles problemas de seguridad. En el caso de infraestructura y plataforma IT, se suelen diferenciar las auditorías de la red perimetral de las auditorías de las  redes internas. 

Auditoría web: se examinan los sitios y aplicaciones web para determinar su nivel de protección contra las posibles amenazas. También se analizan las infraestructuras subyacentes, las posibles vulnerabilidades en función de su lenguaje de desarrollo y las deficiencias de la lógica de la aplicación.

Auditoría de aplicaciones: se analizan las aplicaciones (software) existentes en la organización. Se analizan el funcionamiento y la lógica de la aplicación, su interconexión con terceros (API´s, etc.) así como la gestión y el almacenamiento de información.

Auditoría de aplicaciones móviles (APP): en este caso se analiza cómo se protegen los datos almacenados en las aplicaciones móviles, las medidas de seguridad en las comunicaciones entre aplicaciones y sus servidores asociados, así como  la seguridad y vulnerabilidades en aplicaciones web relacionadas. 

Auditoría de código fuente: se investigan las amenazas y vulnerabilidades a nivel del código fuente. Esto garantiza que el código se haya desarrollado con las suficientes medidas de seguridad y demuestra que el código fuente sigue las buenas prácticas de un  «desarrollo de código seguro».

Ingeniería Social: en este tipo de auditorías el foco se centra en poner a prueba el nivel de madurez de la organización y sus empleados en lo relativo a ciberseguridad. El objetivo principal ya no es tanto auditar infraestructuras y plataformas sino el nivel de concienciación de los empleados de la organización. El ejercicio más común consiste en  la realización de campañas de Phishing o suplantación de identidad mediante el correo electrónico.

Clasificación según el tipo de auditoría

Análisis de vulnerabilidades:

El análisis de vulnerabilidades tiene como objetivo evaluar las debilidades o deficiencias que puedan existir en un determinado software, aplicación o sistema informático.

Suele realizarse mediante herramientas automatizadas que usan una batería de pruebas predefinidas para analizar todos los puertos abiertos, servicios y procesos en búsqueda de vulnerabilidades ya conocidas, grado de actualización de los sistemas, etc.

Pentesting – Hacking Ético:

Las pruebas de Pentesting consisten en realizar pruebas complejas y avanzadas de intrusión en los sistemas. En este caso se suelen utilizar una combinación de herramientas automatizadas con pruebas manuales. 

Durante las pruebas los Pentesters o Analistas de seguridad identifican e intentan explotar las diferentes vulnerabilidades presentes en los sistemas a fin de evaluar el impacto que pueden tener en la organización. 

Red Team

La finalidad de un ejercicio de Red Team es analizar y mejorar el grado de madurez en ciberseguridad de una organización a nivel global.

Consiste en contar con un equipo de profesionales altamente especializados que utiliza diferentes técnicas de intrusión (pentesting, phishing, ingeniería social, etc.) con el objetivo de cubrir todos los ámbitos relacionados con la ciberseguridad de las organizaciones.

Los ejercicios de Red Team pretenden eliminar todas las fronteras establecidas por las auditorías de seguridad clásicas, no existen limitaciones salvo las que afectan a la continuidad del negocio.

Solo un número limitado de personas estarán al tanto del ejercicio, así se prueba la capacidad de respuesta del personal de la compañía frente a ataques reales.

Se obtiene una perspectiva realista del estado de seguridad de una compañía, donde los empleados y las infraestructuras son puestas a prueba.

Clasificación según la información proporcionada

Pruebas de caja blanca

En estas pruebas, los analistas tienen pleno conocimiento y acceso, por adelantado, de todos los elementos de la infraestructura IT, incluidos los servidores críticos, los dispositivos de la red, las bases de datos, el código fuente y las aplicaciones, credenciales, etc.

Pruebas de caja gris

Estas pruebas parten de un acceso limitado a los sistemas y datos de una organización. Se pretenden simular situaciones de ciberataques internos por usuarios malintencionados (“insider threats”) o casos en los que una credencial de acceso ha sido vulnerada. 

Pruebas de caja negra

En estas pruebas no hay información disponible ni acceso previo a los sistemas de una organización. El analista ha de «comenzar desde cero» y localizar posibles formas de lograr la intrusión en los activos de la empresa. En este caso se simula un ciberataque externo contra una organización determinada de la que se tiene muy poca o ninguna información.

Secuora, especialistas en ciberseguridad

En Secuora somos especialistas en realizar auditorías de ciberseguridad (Pentesting, Hacking Etico / Red Team) a empresas y organismos públicos.

Disponemos de Servicios adaptados a las necesidades de todo tipo de empresas y organismos públicos, con indiferencia de su tamaño o nivel de madurez en ciberseguridad.

Le invitamos a conocer nuestros Servicios de Auditoría de Seguridad

¡Conoce cómo podemos ayudarte!

Unai Mata
Últimas entradas de Unai Mata (ver todo)