BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial: Crecen las estrategias de seguridad de redes
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cinco pasos a seguir en su lista de auditoría sobre seguridad de red

Planificar, ejecutar, analizar, generar informes y hacer seguimiento son los elementos básicos de una lista de verificación para la auditoría de seguridad de la red. Pero la coordinación entre los equipos de TI también es importante.

¿Ha considerado recientemente el estado actual de la seguridad de su red? Muchas personas están preocupadas por eso en estos días, y con razón. ¿Qué está haciendo al respecto?

Muchas organizaciones están revisando al menos los registros del sistema y ocasionalmente monitoreando el tráfico de la red. Ese nivel de información es útil pero no cuenta toda la historia. Si desea medir el estado actual de la seguridad de su red, debe realizar una auditoría de seguridad de red en profundidad, también conocida como prueba de vulnerabilidad y penetración o evaluación de seguridad.

En este contexto, las auditorías de seguridad de red no son auditorías de controles formales de TI a nivel de sistema operativo, aplicación y base de datos. En cambio, son ejercicios para descubrir las vulnerabilidades de seguridad en su red con la esperanza de resolverlas antes de que los malos las exploten. Es importante no confundir los diversos términos de prueba de seguridad.

Entonces, ¿cómo se construye una lista de verificación para la auditoría de seguridad de red? ¿Qué sistemas prueba? ¿Qué herramientas utiliza y quién participa?

La lista de verificación de cinco pasos para la auditoría de seguridad de red

Una auditoría de seguridad de red adecuada es bastante simple, pero difícil. Una lista de verificación para la auditoría de seguridad de la red puede incluir todo, desde el alcance inicial hasta la ejecución de pruebas, informes y seguimiento. Lo importante es seguir una metodología probada para descubrir fallas de seguridad que importan.

La siguiente lista de verificación de cinco pasos para la auditoría de seguridad de red ayudará a evaluar las vulnerabilidades y los riesgos en su red.

  1. Planificar las cosas. Esta fase de la auditoría de seguridad de su red describe el alcance, las herramientas que podrían usarse, y quién realiza las pruebas y cuándo. Todos deben estar en la misma página en elementos como los siguientes:
  • ¿Probará todo, o solo sistemas externos o solo internos?
  • ¿Qué herramientas se utilizarán? Algunas herramientas incluyen Nessus, NetScanTools Pro, Netsparker y Acunetix Vulnerability Scanner.
  • ¿A qué hora se pueden ejecutar los escaneos de vulnerabilidad?
  • ¿Se realizará una lista blanca de las computadoras de prueba para evitar el bloqueo del firewall y del sistema de prevención de intrusiones? En la mayoría de las situaciones, se recomienda este paso.
  1. Ejecutar sus pruebas. Esta es la fase de ejecución real donde ejecutará sus escáneres de vulnerabilidad. También analizará y validará manualmente los resultados del examen. Puede realizar una evaluación de phishing utilizando una herramienta como Lucy e incluso algunos análisis de red utilizando una herramienta como CommView para Wi-Fi. Algunas pruebas deben realizarse manualmente utilizando un proxy HTTP, como Burp Suite; una herramienta de explotación, como Metasploit; o una herramienta para descifrar contraseñas, como Proactive Password Auditor de Elcomsoft. Si no valida sus hallazgos o realiza pruebas adicionales que las herramientas no pueden hacer por sí mismas, no ha hecho lo suficiente.
  2. Analizar sus hallazgos. Aquí es donde realiza el triaje, correlaciona las vulnerabilidades y proporciona información y perspectiva sobre lo que puede suceder. Sus resultados no pueden existir simplemente como vaporware. Deben comunicarse en términos del negocio. Omitir este paso y asumir que todo es un gran problema o, igual de malo, asumir que nada realmente importa le impedirá obtener soporte de seguridad a largo plazo. Este paso es donde la experiencia entra en juego: saber lo que cuenta y lo que no en el contexto de su negocio y la tolerancia al riesgo.
  3. Informar sus resultados. Aquí es donde documenta sus hallazgos y los comunica a las personas necesarias. No puede simplemente guardar informes en HTML o PDF desde sus herramientas de seguridad y lanzarlos a los desarrolladores, DevOps o la gerencia. Debe tomar lo que ha descubierto y analizado, traducirlo en riesgos comerciales tangibles y comunicarlo en el nivel correcto a los involucrados. Sugerencia: Ahorre los detalles técnicos a menos que se ajuste a la audiencia y puedan agregar valor.
  4. Hacer un seguimiento de sus hallazgos. En otras palabras, aborde los riesgos de seguridad reparando las debilidades que ha descubierto. No se tome esto a la ligera. Es común para mí realizar una evaluación de seguridad de la red, entregar mi informe y volver un año después para descubrir que todavía existen la mayoría de las mismas vulnerabilidades. Lo único peor que no realizar una auditoría de seguridad es realizar una y no hacer nada sobre las vulnerabilidades que se descubrieron. Elabore un plan y sígalo como si fuera su tarea más importante.

Retos de auditoría de seguridad de red

A menudo me preguntan qué es lo más difícil relacionado con la realización de una auditoría de seguridad de red. Mucha gente dice que son problemas de dinero; otros dicen que es el apoyo político de la gerencia. Algunos incluso dicen que la falta de conocimiento podría impedirles ejecutar una evaluación de seguridad adecuada. Aún así, el mayor obstáculo para una auditoría de seguridad de red son dos cosas simples: disposición y disciplina. Usted necesita la voluntad de hacer lo correcto para su negocio, clientes y socios comerciales y la disciplina para hacerlo realidad.

Incluso cuando los recursos son limitados, puede realizar sus propias evaluaciones de seguridad o traer a alguien del exterior. Incluso si su alcance es limitado al principio y se ve obligado a usar herramientas gratuitas, siempre se puede hacer algo, y probablemente no sea tan costoso como parece. Solo asegúrese de que su objetivo a largo plazo sea hacerlo de la manera más profesional utilizando las mejores herramientas para la tarea. Puede equivaler a una inversión considerable cada año, pero sigue siendo menos costoso que la alternativa.

Si las cosas van mal y ocurre un incidente o una violación confirmada, podrá demostrar que estaba haciendo un progreso razonable para encontrar y corregir sus fallas de seguridad de red.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close