Si su organización se está preparando para una auditoría de seguridad cibernética , querrá seguir leyendo para conocer las mejores prácticas para optimizar el valor de la auditoría. Las auditorías externas realizadas por terceros pueden ser costosas, por lo que es mejor estar lo más preparado posible siguiendo estas mejores prácticas.
¿Qué es una auditoría de ciberseguridad?
Una auditoría de ciberseguridad es un método que comprueba y verifica que su empresa cuenta con políticas de seguridad para abordar todos los posibles riesgos. El personal interno puede realizar una auditoría como una forma de prepararse para una organización externa. Si su organización está sujeta a requisitos reglamentarios, como el Reglamento general de protección de datos (GDPR) de la UE, la Ley de privacidad del consumidor de California (CCPA), el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA), o ISO 27001, deberá contratar a un auditor externo para verificar el cumplimiento y recibir una certificación.
Una auditoría de ciberseguridad es diferente a una evaluación de ciberseguridad. La auditoría consiste en una lista de verificación que verifica que ha abordado un riesgo específico, mientras que una evaluación prueba el riesgo para ver qué tan bien se implementa.
Mejores prácticas de una auditoría de ciberseguridad
Hay muchas publicaciones disponibles que brindan información detallada sobre cómo prepararse para una auditoría de seguridad cibernética, pero la siguiente proporciona una descripción general de alto nivel de lo que debe hacer para prepararse para una auditoría externa.
Desarrollar una política de seguridad.
Toda organización debe contar con una política de seguridad que detalle las reglas y los procedimientos para trabajar con la infraestructura de TI de la organización, especialmente el manejo de datos confidenciales y privados. Si desarrolló estas políticas anteriormente, ahora es el momento de revisar las políticas para garantizar la confidencialidad de los datos, la integridad de los datos y el acceso seguro a los datos en lo que respecta a su industria y los requisitos de cumplimiento aplicables. Por ejemplo, su política de seguridad debe identificar:
¿Qué proteger? (por ejemplo, datos, aplicaciones comerciales, hardware, etc.)
¿Cómo te protegerás? (por ejemplo, el uso de contraseñas)
¿Cómo se controlará y bloqueará el acceso a los datos?
¿Cómo proteger los datos personales o sensibles?
¿Cómo mantener la precisión e integridad de los datos?
¿Cómo proteger los datos archivados?
Para ayudarlo en la preparación y/o revisión de la política de seguridad de su organización, puede consultar el marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST).
“El Marco NIST es una guía voluntaria, basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de ciberseguridad. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, se diseñó para fomentar las comunicaciones de gestión de riesgos y ciberseguridad entre las partes interesadas internas y externas de la organización. mejorar su capacidad para prevenir, detectar y responder a los ciberataques”.
Revisa y coteja tus políticas de ciberseguridad
Lo más probable es que tenga una variedad de políticas de seguridad que fueron creadas en diferentes momentos por diferentes personas. Ahora es el momento de revisar cada una de estas políticas y compararlas para asegurarse de que sean consistentes. Por ejemplo, si su política de copias de seguridad requiere copias de seguridad cada 30 días, es posible que no pueda cumplir con sus objetivos de punto de recuperación (RPO) según su política de recuperación ante desastres, que depende de esas copias de seguridad. Si ocurre un desastre, puede perder hasta 30 días de datos. Si sus sistemas no utilizan autenticación multifactor, su política de contraseñas debe exigir contraseñas extraordinariamente seguras que se cambien con frecuencia.
Ejemplos de estas políticas de seguridad incluyen:
Políticas de seguridad de datos . ¿Cómo se asegura de que sus datos confidenciales estén protegidos de miradas indiscretas? Políticas de privacidad de datos . ¿Cómo se asegura de que los datos privados se mantengan privados? Control de acceso a la red . ¿Cómo restringe el acceso a la red solo a aquellos dispositivos que están autorizados y cumplen con las políticas de seguridad? ¿Los dispositivos de red tienen parches de seguridad requeridos y protección de ciberseguridad? Políticas de respaldo . ¿Cuándo y cómo realiza su organización una copia de seguridad de sus sistemas, aplicaciones y datos? Políticas de contraseñas. ¿Cuáles son las políticas de contraseñas de su organización y cómo las administra? Políticas de recuperación ante desastres. ¿Se ejecuta y actualiza periódicamente su plan de recuperación ante desastres para garantizar que pueda recuperar sus sistemas y datos? ¿Podrá cumplir con sus objetivos de tiempo de recuperación (RTO) y RPO planificados? Políticas de trabajo remoto. ¿Cómo garantiza su empresa la seguridad y protección de los dispositivos de sus trabajadores remotos? Política de correo electrónico e Internet de los empleados . ¿Cómo se asegura de que sus empleados utilicen el correo electrónico y la Internet corporativa para los negocios y no esperen que las comunicaciones, los datos y los archivos personales se mantengan privados? ¿Cómo puede asegurarse de que los empleados entiendan que no pueden enviar correos electrónicos que acosen, amenacen u ofendan? Política de uso aceptable . ¿Qué procedimientos debe aceptar un empleado antes de que se le permita acceder a la red corporativa?
Fortalezca la estructura de su red
Es importante crear una estructura y un diseño de topología de red seguros. Por ejemplo, si está segmentando su red, los servidores de finanzas no deben estar en la misma red o subred que sus servidores de recursos humanos o de investigación y desarrollo. En cambio, segmentar su red en zonas más pequeñas fortalece su seguridad porque tiene servicios compartimentados que pueden contener información confidencial. También verifique para asegurarse de que su firewall y otras herramientas de seguridad de la red que deberían estar en su lugar ESTÁN en su lugar, ya que deberán revisarse y auditarse.
Revisar y aplicar estándares de cumplimiento comercial
Si está sujeto a regulaciones, como GDPR, PCI o HIPAA, asegúrese de cumplir con las regulaciones aplicables y haga que este tema forme parte de la conversación con sus auditores. Es probable que los auditores se acerquen a su equipo acerca de las normas de cumplimiento aplicables, así que esté preparado con la documentación que demuestre su cumplimiento.
Revisar y aplicar las normas del lugar de trabajo de los empleados
Antes de la auditoría, asegúrese de revisar y asegurarse de que todos los empleados entiendan y sigan la política de correo electrónico e Internet de sus empleados. Por ejemplo, los empleados no deben ver sitios web que contengan contenido delictivo u ofensivo, como sitios web de apuestas y pornografía. Los empleados no deben almacenar contenido que viole las leyes de derechos de autor. Los empleados no deben utilizar su dirección de correo electrónico corporativa para asuntos personales. Su organización tiene derecho a revisar los correos electrónicos que envían los empleados o el contenido almacenado en sus máquinas para detectar malware, fraude o acoso en el lugar de trabajo.
Realización y auditoría interna de ciberseguridad
Antes del inicio de una auditoría externa, se recomienda encarecidamente que realice una prueba de incumplimiento y brechas de seguridad realizando una auditoría interna de prueba siguiendo las mejores prácticas descritas anteriormente. Una auditoría interna de ciberseguridad puede combinar una revisión manual de políticas, procesos y controles, así como revisiones automatizadas de infraestructura clave y sistemas de seguridad.
Quieres hacer esto por dos razones. En primer lugar, las auditorías externas son bastante caras, oscilando entre decenas de miles y cientos de miles de dólares. Es mejor conocer su postura de cumplimiento antes de gastar el dinero en una auditoría externa para que pueda abordar cualquier problema de antemano. Hacer esto también reducirá el estrés asociado con una auditoría externa y eliminará cualquier sorpresa.
Acronis Cyber Protect: una solución para todas las necesidades de ciberseguridad
Con Acronis Cyber Protect, puede descubrir todos los activos de software y hardware instalados en sus equipos, eligiendo entre escaneos automáticos y bajo demanda. Además, puede buscar y filtrar activos de software/hardware por múltiples criterios, generar fácilmente informes de inventario y eliminar registros automáticamente una vez que se elimina una máquina.
Para aprobar una auditoría de cumplimiento, su organización necesita usar diferentes tecnologías y herramientas de ciberseguridad para respaldar importantes requisitos de cumplimiento para copias de seguridad del sistema, software antivirus, recuperación ante desastres, etc. Muchos proveedores de software de seguridad los ofrecen como soluciones puntuales. De hecho, la encuesta anual de la Semana de la protección cibernética de 2021 de Acronis encontró que el 80 % de las organizaciones ejecutan hasta 10 soluciones simultáneamente para sus necesidades de protección de datos y ciberseguridad; sin embargo, más de la mitad de esas organizaciones sufrieron tiempos de inactividad inesperados el año pasado debido a la pérdida de datos. La lección aprendida es que más soluciones no significa más protección.
Acronis reconoce los costos, las ineficiencias y los desafíos de seguridad que surgen del uso de múltiples soluciones, razón por la cual Acronis, pionero en el campo de la protección cibernética, ofrece una única solución integrada de seguridad cibernética.
Acronis Cyber Protect es una solución única que ofrece protección cibernética completa para las amenazas modernas, al combinar la copia de seguridad y la protección de datos; antimalware de última generación basado en IA; y gestión de la protección en una única solución integrada. Es diferente a otras soluciones de seguridad que solo agrupan herramientas y tecnologías de seguridad o soluciones puntuales heredadas y aisladas para copias de seguridad, antivirus, administración de parches, acceso remoto, administración de cargas de trabajo y herramientas de monitoreo y generación de informes. Con todas estas tecnologías empaquetadas en una sola solución, Acronis Cyber Protect puede ayudarlo a prepararse para una auditoría externa de ciberseguridad.
