Bueno después de unas semanas trabajando a tope y de descanso vamos a seguir con las auditorias.
Yo siempre recomiendo empezar de dentro hacia fuera, así que vamos a empezar por sistemas, que es la parte más interna que tenemos.
En la parte de sistemas se engloban varias cosas, la mayoría de las personas cuando leen la palabra sistemas piensan que solo engloban la parte de sistemas operativos y lo programas que tenemos instalados sobre ellos, pero es más amplio que solo esto.
Por supuesto, conlleva saber que sistemas hay instalados, así como sus versiones y parches de seguridad aplicados, así como el software instalado y sus correspondientes parches de seguridad.
Una parte que mucha gente olvida, o por lo menos eso he detectado en varios casos, es el hardware. Por ejemplo, ¿está bien refrigerado? ¿tenemos piezas o podemos mover máquinas?, si ya se lo que vais a decir, que lo virtualice y listo 😉
¿Pero y si no existe la virtualización de un servicio? Bueno, al menos tener en cuenta que el hardware que soporta el software, tambien debe ser auditado y catalogado.
Los datos, quien, como y cuando acceden a los datos es algo muy importante, si existen controles, políticas o logs que controlen es algo en caso de tener que determinar quien ha modificado algo o simplemente si se ha accedido sin autorización a un dato, así como las copias de seguridad de estos datos, con que frecuencia se realizan y donde se guardan.
Pero no menos importante es saber que usuarios están dados de alta en el sistema, si hay una política de alta, baja o modificación de los usuarios y que dispositivos tienen autorización para usar.
Más adelante hablaremos de si hay documentos/políticas aprobadas por el comité de dirección sobre seguridad, se puede englobar sobre la auditoria de sistemas o bien sobre la de seguridad, dependiendo de la empresa y la criticidad de sus datos yo lo suelo revisar en la parte de sistema y de seguridad ya que me parece que esta compratido y me parece importante tener este conocimiento.
Algo fundamental es saber si esas copias de seguridad, de las que hemos hablado antes, se han probado, si se realizan pruebas de recuperación de datos o sistemas, y con que frecuencia, ya que en las empresas se dedican a programar las copias de seguridad y luego se olvidan de ellas, PROBAR Y COMPROBAR su funcionamiento el algo indispensable. De que sirve tener algo que cuando lo queramos usar no funcione, púes es como tener un ramsonware pero sin rescate 😉
Por último, y no menos importante, es evaluar la criticidad de los trabajadores, que labores desempeñan, si tienen o no definido su puesto de trabajo, si hay «respaldo» para el trabajo que desempeña y si existe documentación de las instalaciones y mantenimientos que realizan.
Esta última parte lo dejo para la próxima entrada, ya que creo que es muy interesante el factor humano y que factor desempeñan en la auditorias, así que hasta la próxima.
Buen fin de semana.