Intpire elabora una propuesta eficaz de ciberseguridad para las empresas de FREMM

Intipire explica la diferencia entre el estudio de ciberseguridad y riesgos informáticos y al auditoría de ciberseguridad, abriéndose a implementar la propuesta más eficaz en función de la idiosincrasia de cada empresa del metal.

Es común hoy en día que las empresas y otras organizaciones se interesen por el estado de la seguridad de su información y servicios. A tal fin, existen diferentes métodos que pueden usarse como herramientas para evaluar tal estado. Sin embargo, existen diferencias sustanciales en la profundidad y técnicas utilizadas dependiendo de la metodología seguida. Por lo cual, es este artículo abordaremos cómo desde Intpire hemos “empaquetado” en dos herramientas bien diferenciadas, la evaluación de la ciberseguridad, atendiendo a la situación en la que se encuentre la organización, de cara a establecer una eficiencia económica que repercuta en un ahorro para nuestros clientes.

Estudio de Ciberseguridad y Riesgos Informáticos (ECRI)

El ECRI es la herramienta de elección para la evaluación general de la seguridad de una organización que nunca ha abordado el capítulo de la seguridad de la información. Este estudio consta de una versión ligera de una auditoría de ciberseguridad completa, aunque se realiza de manera exhaustiva para todos los ámbitos de la organización. Se revisan:

• Políticas de seguridad de la información y organización interna.
• Procedimientos y seguridad operacional.
• Seguridad de sistemas.
• Seguridad del software.
• Seguridad de redes y comunicaciones.
• Seguridad del personal.
• Seguridad física, electrónica y personal de seguridad.
• Requisitos legales en el marco jurídico españo.

Esto se hace con la información y documentación que proporcione el cliente en una entrevista, con una visita del auditor a las instalaciones y/o con información recogida de un muestreo de los sistemas de la organización.

Auditoría de Ciberseguridad

Definiremos la auditoría en comparación con el Estudio de Ciberseguridad y Riesgos Informáticos. Mientras que con el ECRI recibíamos información de una manera más pasiva, y teníamos un muestreo limitado, con la auditoría probamos activamente la seguridad de cada uno de los equipos, buscando vulnerabilidades explotables. Además, evaluamos los procesos y probamos que efectivamente se estén realizando conforme a lo marcado en las políticas y procedimientos de la empresa.

Sumando a lo ya expuesto en el ECRI tendremos un nuevo surtido de pruebas activas que nos darán una información mucho más detallada y minuciosa que requerirá de mayor tiempo de análisis.

Una auditoría incluye además, pruebas de penetración en las aplicaciones y sistemas de la organización, con una aproximación de caja negra primero simulando el ataque de un adversario con recursos avanzados. La cual, se complementa más tarde con pruebas de caja blanca, ya disponen de toda la información de la infraestructura del cliente. Estas dos modalidades se complementan para dar lugar a un informe completo y exhaustivo que permitirá tras analizarse con el cliente, abordar aspectos de la seguridad defensiva tan importantes como:

• Gestión de la superficie de ataque. Disminuyendo la exposición de la organización y securizando los puntos de entrada.
• Gestión de la vulnerabilidad técnica. Detectando y mitigando vulnerabilidades antes de que sean explotadas por atacantes reales.
• Modificaciones en el sistema de gestión de la seguridad de la información (SGSI). Introduciendo experiencia y contacto con problemas reales a los procesos de seguridad de la organización, de cara a su mejora.
• Modificaciones en los procesos de optimización de la gestión de la seguridad. De igual manera si se tiene un procedimiento de calidad también puede ponerse a prueba con una evaluación exhaustiva.

Una auditoría también puede tener un alcance parcial cuando se ha realizado una modificación en una parte del sistema o la infraestructura que esté bien localizada y no tenga ramificaciones a otros ámbitos dentro de la organización. Pudiendo economizar recursos a la vez que se aumenta la seguridad.

Conclusión

En conclusión, ambas herramientas ECRI y auditoría de ciberseguridad representan modos diferentes de entender la evaluación del Estado de la Ciberseguridad, y dan visiones útiles y accionables a la dirección de la organización para tomar las decisiones oportunas para la mejora de este.

Volver