Las auditorías son completamente imprescindibles dentro de una empresa o institución, ya que estas contribuyen a su correcto funcionamiento. La Ley de Seguridad Privada 5/2014 del 4 de abril, determina una normativa en la cual se habla de la exigencia e importancia de las Auditorías de Seguridad.
El fin de este artículo es dar a entender el significado, tipos, importancia, entre otras áreas más, que se relacionan con las auditorías de ciberseguridad.

¿Qué es una Auditoría de Seguridad?
Para definir a la auditoría de seguridad informática para empresas, hay que entender que la seguridad es una necesidad básica del ser humano, sin importar en qué contexto se analice. Si la analizamos en un ámbito empresarial o institucional, adjudicamos la seguridad como un valor jurídico, político y normativo.
Podríamos decir que es una evaluación de las actividades que se realizan en el lugar de trabajo además de sus sitemas informáticos, y cómo estas pueden afectar o no la seguridad y la de los que trabajan en la empresa o institución. Busca ayudar en la evaluación y optimización de los programas de salud y seguridad de la organización, con el fin de mejorar todas esas gestiones y estrategias que tiene la empresa para resguardar la seguridad. Estas técnicas se aprenden en centros de enseñanza similares a nuestro curso de ciberseguridad online.
Hay que distinguir las inspecciones de seguridad de lo que es una auditoría física, auditoría de ciberseguridad y auditoría de seguridad interna. Las inspecciones son periódicas y en ellas se buscan peligros, riesgos o algún factor que impida la normalidad en las operaciones, sin embargo, las auditorías son examinadoras y evaluadoras de que se cumplan los objetivos de las operaciones, mientras se garantiza la seguridad.
¿Para qué sirve una Auditoría de Ciberseguridad?
Una auditoría de ciberseguridad se realiza para determinar el cumplimiento de la legislación de seguridad, a su vez sirve para identificar cada debilidad o deficiencia en los programas y procesos. Como hablamos de programación debemos entender a la auditoría como participe en la ciberseguridad para empresas.
El contrato de una empresa de ciberseguridad, es ideal para identificar cada nivel de riesgo que pueda existir en cada una de las áreas particulares de la organización y que, a su vez se relacionan entre sí.
Dentro de los niveles de riesgo que se examina en la auditoría seguridad informática, se busca: la protección de pymes, la protección de los datos de empleados, proteger negocio, y evitar hackeos.

La importancia de la seguridad en internet para autónomos, pymes, empresas e infraestructuras industriales
Los avances tecnológicos han hecho que la sociedad utilice herramientas informáticas con gran dependencia, especialmente cuando se usa en el trabajo u oficio que cada persona ejerce. Sin importar si se trata de pymes, autónomos, empresa o infraestructuras industriales, cada una de ellas hace uso de ordenadores, tabletas y móviles para realizar la mayoría de las acciones.
Cada dispositivo usado guarda los datos del negocio, las claves de seguridad, información sobre los empleados, información sobre los clientes, las cuentas de cada persona en redes sociales, entre otros. Los que nos da a entender que se trata de información privada que posee riesgo a divulgarse o extraerse.
Si ocurre la pérdida de dicha información, puede influir automáticamente de manera negativa en la seguridad del negocio o empresa, es por esto que existen las auditorías de seguridad, realizadas por empresas de ciberseguridad que garantizan la protección de sus datos.
Las auditorías de seguridad sirven para…
Evitar fraudes: En cada auditoría se identifican anomalías, para atacarlas y solucionarlas con el fin de que no afecte a la compañía, como por ejemplo, con una gran fuga de dinero. Al finalizar la evaluación se emite un reporte con el que podrás decidir cómo accionar legal y administrativamente para solucionar el caso.
Garantizar la confianza en los estados financieros: En las revisiones se identifica el nivel de confiabilidad de toda la información de los estados financieros. Lo que pretende la auditoría de seguridad es buscar posibles errores para que la organización pueda corregirlos de manera inmediata.
Decidir acertadamente: Cada reporte o informe diagnóstico entregado al finalizar la auditoría en una empresa, permite la evaluación de los aspectos que influyen en el proceso de la organización, incluyendo sus gestiones administrativas, financieras, entre otras. Dicha información otorgada es esencial para la toma de decisiones acertadas.
Identificar riesgos: La auditoría de seguridad realiza un diagnóstico para entregar el mapa de riesgos. Este mapa es el indicador de cada una de las amenazas a las que se expone la empresa o institución, a su vez demuestra la efectividad o no de los controles de seguridad con los que cuentan. Con esta identificación se puede, incluso, observar el verdadero cumplimiento del presupuesto general, incluyendo las ventas y gastos de cada período.

¿Cómo contratar una empresa de ciberseguridad?
En primera instancia la empresa, institución, pyme o autónomo debe entender que no solo se trata de evaluar la eficiencia y el precio de las empresas que ofrecen auditorías de seguridad. Ya que se debe tomar en cuenta que todos los datos empresariales estarán a la disposición de la empresa de auditorías contratada.
Recuerda que se les otorga el acceso al soporte informático, datos administrativos, datos personales entre otros, es por esto que lo recomendable es:
Ubicar una empresa que ofrezca el servicio de auditorías de seguridad en tu zona o a nivel nacional.
Constatar la confiabilidad del auditor: Puedes buscar referencias o recomendaciones, al igual que investigar sobre el rendimiento de la empresa en trabajos realizados a otras organizaciones y fijarte en si también ofrecen algún curso de seguridad informática online, por lo que si además ofrecen enseñanza podrás verificar sus conocimientos y hablidades.
¿Cuánto cuesta la ciberseguridad para Pymes y empresas?
Para determinar el precio de la auditoría de seguridad, se toman en cuentas factores como: la complejidad y el tamaño del sistema de gestión usado en su empresa. También va a depender del volumen de trabajo a realizar, de la experiencia del auditor o del reconocimiento de la empresa de auditorías de seguridad.
Las variaciones del precio dependerán de la empresa contratada, así como del lapso de tiempo en que harán la auditoría. Algunas empresas auditoras calculan el precio en base a las horas de trabajo diarias que dedicarán a la empresa del cliente, en cambio hay otras que cotizan presupuestos en base a los días completos de trabajo dedicado o a la cantidad de sistemas a auditar.

¿Se deben realizar auditorías de ciberseguridad de manera periódica?
Para determinar si tu empresa necesita la realización de auditorías de ciberseguridad, debes tomar en cuenta:
La vulnerabilidad de tu sistema de gestión
Las amenazas que se estén presentado en ese momento
Cambios del panorama
Estos tres aspectos te indicarán si es necesaria la auditoría. La vulnerabilidad o vulnerabilidades que puedan tener los sistemas de la empresa por cualquier razón, presenta grandes riesgos para la protección o seguridad de la información de empleados y clientes, por lo que si su trabajo requiere de sistemas informáticos para su funcionamiento es un indicio para saber la urgencia con la que se requiere realizar una auditoría de ciberseguridad.
Las amenazas pueden generarse también por agentes externos que pueden intentar atacar tu sistema informático para luego chantagearte con vender la información o ofrecerte su recuperación a cambio de un pago, generando una nueva amenaza que necesita ser resuelta de inmediato.
Los cambios del panorama influyen en su mayoría, ya que un sistema ciberseguro depende de tecnologías, y sabemos que diariamente ocurren avances tecnológicos. Estos mismos avances pueden inferir en tu versión de sistema o en las herramientas que usen, ya que al no encontrarse actualizadas van aumentando su nivel de vulnerabilidad.

Otros factores a tomar en cuenta
Plazo pautado al momento de ser programada tu empresa: Si al momento de crear los planes de calidad y manuales se estableció algún período específico para las auditorías de seguridad.
Si se considera necesario: Cuando luego de un análisis se determina la necesidad de realizar una auditoría de seguridad.
Cambios en el Sistema de Gestión
Fallos y/o problemas de calidad: Con el fin de conseguir el origen de cada falla o inconveniente.
Al detallar esta información se da a conocer que en cada esquema de gestión de riesgos empresariales, es necesario revisarse de manera periódica. Si previa revisión, no se pueden detectar si ocurrieron cambios, si hay amenazas o si el sistema está vulnerable. Con las revisiones periódicas se logra el control y mantenimiento, y a su vez se obtiene información sobre lo que verdaderamente necesita la empresa.
Tipos de auditoría de seguridad
Los tipos de auditoría de seguridad son encargadas de la protección de pequeñas y grandes empresas; al mismo tiempo se encargan de mantener la seguridad y de ajustarse a las necesidades empresariales. Para la realización de un presupuesto, se estudia previamente dichas necesidades, de esta forma se determina el tipo de auditoría que requiere y con eso se elaborará un presupuesto inicial.
Es por esto que se definirán ambos tipos y así se entienda fácilmente sus conceptos y beneficios.
Auditoría física o test de intrusión
En el servicio de auditoría física se protege a partir de sistemas de controles físicos, la entidad o la empresa. Con estos controles físicos nos referimos a sistemas como: alarmas contra incendios, sistemas de vigilancia en las que se incluye el vídeo, instalación de iluminación necesaria, servicios como agua y gas, entre otros.
Con una auditoría física se comprueba la existencia de los medios físicos con los que cuenta a la empresa, así mismo como su funcionalidad, la seguridad que ofrecen y su racionalidad. Con una buena auditoría y el cumplimiento de los resultados, se garantiza la integridad del capital humano, de los materiales, de las herramientas, entre otros.
La auditoría física revisa las siguientes áreas:
Cada dependencia de la empresa establecida en el organigrama.
Normas, procedimientos y planes de seguridad física que se encuentran a cago de la auditoría interna. Se evalúa su desempeño y los resultados que se obtienen.
La administración de la seguridad de la empresa, como su organización, estructura y con lo que cuenta.
Centro de procesamiento de datos que le ha sido instalado.
Equipos para las comunicaciones, como equipos de computación, servidores, impresoras, host, entre otros.
Seguridad en entradas y salidas del lugar.
¿Cómo se hace una auditoría de seguridad física?
En primer lugar se ejecuta un Plan de Contingencia que se adecue a las necesidades.
Se analizan los riesgos del sistema de las aplicaciones para establecer los objetivos de la seguridad.
Se determinan prioridades del proceso.
Se asignan capacidades de comunicaciones y de servicios.
Luego se debe adquirir un contrato de seguros, con el fin de cubrir las pérdidas anuales de bienes, sea por robo, daños, entre otros.
No hay diferencias entre la auditoría general o la auditoría física, ya que, sea internamente o externamente, la auditoría física no es más que una auditoría específica y parcial, que solo varía en su alcance de protección.
Auditoría de ciberseguridad
La auditoría de seguridad informática también es conocida como pentesting, este término en español significa “examen o test de penetración”. El pentesting es un procedimiento que ataca al sistema informático para detectar posibles debilidades o vulnerabilidades.
La mayoría de las personas vinculan el concepto del pentesting con el de ciberseguridad, sin embargo, ambos poseen diferencias aunque sean consideradas como iguales. La ciberseguridad detecta las vulnerabilidades en el sistema, el pentesting busca explotar dichas debilidades para así observar qué consecuencias ocurrirían en caso de un ciberataque.
Su análisis es a través de los equipos instalados, sus servidores, programación, sistemas operativos, procedimientos y la seguridad de cada equipo y la red. Específicamente durante el proceso se analiza:
Eficiencia del sistema y de cada programación informática de la empresa.
La gestión de los sistemas instalados.
La vulnerabilidad que se puede presentar en redes de comunicación y/o servidores
Por otra parte, hay que mencionar que las auditorías de ciberseguridad, pueden ser: Forense. De código, físicas, de redes, web, hacking ético y hasta de los sistemas VoIP y maquinaria industrial.

¿Cómo hacer una auditoría de seguridad informática?
Los pasos a seguir para hacer una auditoría de seguridad informática son:
Enumerar los servicios a auditar.
Verificar el cumplimiento de estándares de calidad.
Verificar el cumplimiento de las normas de control.
Identificar el software y hardware
Identificar los sistemas operativos instalados.
Analizar cada servicio y aplicación instalada.
Comprobar y evaluar las vulnerabilidades que se detecten.
Corregir las medidas específicas.
Aplicar medidas preventivas.
¿Qué contiene el informe de ciberseguridad?
El informe de ciberseguridad, no solo debe identificar cada riesgo, sino que también debe ser un documento de mejoría de la ciberseguridad de la empresa. En el documento deben reflejarse las vulnerabilidades que presentan los sistemas, los procesos de investigación y escaneo que se han llevado a cabo para encontrarlas y el correspondiente parcheado o solución de las mismas.
De manera un poco más específica se tiene que dicho informe debe:
Incorporar los procesos existentes de gestión de riesgos y gobernanza.
Debatir la ciberseguridad de la empresa.
Implementar los estándares de la empresa, así como las mejores prácticas, sin quedarse solo en lo exigido por la Ley.
Evaluar los riesgos específicos que presenta la organización.
Determinar cómo es la supervisión y revisión del plan global.
Indicar planes y procedimientos desarrollados para responder ante incidentes.
Coordinar la respuesta a los incidentes para la empresa.
Informar, explicar y crear conciencia sobre las posibles amenazas cibernéticas.