Cómo prepararse para una auditoría IT

Si andas involucrado en algún proyecto tipo Outsourcing, seguramente tarde o temprano tendrás que afrontar una auditoría IT. Cómo prepararse una auditoría IT es algo fundamental en estos casos para poder pasarla de manera satisfactoria y sin sobresaltos. En este post te cuento las líneas generales más importantes para afrontar con éxito una auditoria de sistemas de información.
Cuando estamos trabajando dentro de un proyecto de Outsourcing en el cual hay un contrato firmado entre un cliente y un proveedor de servicios, en algún momento se realizará una revisión o auditoría, ya sea interna o externa. Esta auditoría normalmente suele tener mucha visibilidad a nivel empresarial y en ella se suelen involucrar muchos actores, de ahí la relevancia de la misma.

Francisco Javier Miluy
Francisco Javier MiluySecurity Project Manager en Viewnext

Vamos a empezar a explicaros algunos detalles que deben tenerse en cuenta para afrontar de la mejor manera posible una auditoría IT:

  1. Identifica cuáles son las responsabilidades del proveedor en el contrato firmado con el cliente: se ha de tener claro cuáles son las responsabilidades por cada uno de los servicios y procesos contratados.
  2. Ten claro qué personas o roles van a ser los focal en el Audit por cada uno de los procesos.
  3. Prepara la logística de cara a gestionar de manera eficiente la información solicitada por los auditores. En la fase de solicitud de información y de testing online puede involucrarse varias áreas tanto técnica como de gestión. Usa un repositorio común para almacenar la información y un canal de comunicación conocido por todas las partes.
  4. Si es posible antes de la auditoría realiza una evaluación interna de qué áreas están compliance y aquellas otras que no, de cara a escribir un plan de acción y tener un control de lo que se sabe que se tiene que mejorar. En muchos casos es necesario involucrar al cliente para que ayude a resolver esos gaps.
  5. “Todos somos uno”: esto quiere decir que, aunque sean varias áreas las que son evaluadas, al final todas forman parte del mismo proyecto y no se debe eludir responsabilidades y “culpabilizar” a otras áreas de los errores cometidos.
  6. Al final del Audit es recomendable recoger en un documento todas aquellas solicitudes de los revisores y aquellos errores encontrados para que le sirva de ayuda a otro proyecto y se aprenda de dichos errores.
  7. Es muy recomendable realizar un simulacro de auditoría antes del comienzo en base a experiencia previa para revisar fallos y alertar qué se debe y no se debe hacer.

¿Qué suelen preguntar en una auditoría?

Inventario

Este debe recoger los elementos de configuración (CIs) en el alcance del contrato y se deben tener en cuenta aspectos básicos como la versión del software, el estado de dichos CIs, si el CI tiene información personal, si se han de lanzar procesos de seguridad sobre esos CIs como chequeo de seguridad, revalidación de usuarios, escaneo de vulnerabilidades, gestión de parches, conocer si hay software fuera de soporte, qué equipo lo administra, tener una guía de securización para cada Software. Se recomienda realizar un proceso de revalidación periódico de dicho inventario.

Gestión de seguridad

Se debe tener un documento de seguridad acordado con el cliente en el que se reflejen los roles y responsabilidades por servicio/proceso y las guías de securización que apliquen a cada producto.

Ten siempre acordado con el cliente qué seguridad se ha de aplicar a cada producto y una vez acordado crea un plan de implementación para implantar dichos acuerdos.

En los casos en los que se detecte una debilidad en materia de seguridad que se salga de lo acordado se ha documentar un riesgo con el cliente indicándole qué implica tener ese riesgo en los sistemas.

Otros aspectos básicos que revisan siempre son la caducidad de contraseña de los usuarios (todos los usuarios personales deben tener expiración), el que se haya cambiado la contraseña de usuarios por defecto de un producto y la longitud de las contraseñas.

Presta especial atención a la retención de los logs de auditoría de los sistemas, ya que es un punto que se chequea en base a lo que se haya acordado.

Chequeo de la seguridad (como control secundario)

Se debe chequear que lo acordado e implementado en cuanto a settings de seguridad se mantiene en los sistemas para que no haya desviaciones y en el caso de haberlas, se han de gestionar con el cliente para revisar si se pueden corregir o bien tratar como excepción. Esto se debe hacer periódicamente.

Gestión de usuarios

  • Siempre que se solicite un alta de usuario con privilegios de administración se ha de obtener la aprobación del manager del usuario y del propietario del privilegio, además de indicar una justificación de necesidad válida.
  • Todos los usuarios deben revalidarse periódicamente (para ello cada usuario debe tener un responsable) y además no te olvides de hacerlo en todo el software que el proveedor administre. Ten presente que los usuarios compartidos dentro de una organización deben almacenarse en un repositorio que permita tener una trazabilidad para saber quién los está usando y que se cambie la contraseña después de cada uso.

Gestión de riesgos e issues

Siempre que haya procesos o tareas que no se vayan a realizar en tiempo y/o forma muestra un control de dichos defectos mediante un plan de acción para corregirlo y si ese incumplimiento es debido al cliente comunícale mediante una carta el riesgo asociado indicando el alcance exacto de lo que aplica. Ten presente que cualquier incumplimiento o desviación a lo acordado lo debes tener bien gestionado mediante actas, comunicación de riesgos, plan de proyecto para su regularización y comunicarlo al cliente cuando proceda.

Gestión de Parches

Ten acordado con el cliente un calendario de parcheado junto con la frecuencia en la que se va a parchear y gestiona con éste cualquier desviación a lo acordado, es decir, si por ejemplo se ha decidido aplicar mensualmente parches en Windows asegúrate que se realiza y no es así, comunícaselo al cliente indicando el riesgo asociado. Gestiona la implantación de un parche mediante la herramienta de gestión de cambios donde se incluya el identificador del parche a aplicar y siempre con la autorización previa del cliente.

Backup

Debes tener un plan de backup acordado con el cliente donde se recoja los dispositivos sobre los que se va a hacer backup. Tan importante es hacer el backup como documentarlo.

Disaster Recovery o Pruebas de recuperación ante desastres

Acuerda con el cliente también un plan tanto general como de detalle para realizar pruebas periódicas y una vez ejecutado obtén un report con el resultado y acciones a corregir.

Construcción (alta) y decomisionado (baja) de elementos de configuración (CI)

Recoge en un documento qué actores intervienen en este proceso y cuál es la responsabilidad de cada uno de ellos indicando también el flujo del proceso. Se han de realizar una serie de controles en cada alta y baja de CI para asegurar su correcta realización (verifica que está bastionado, parcheado, con antivirus, alta en inventario…). Certifica que se hace para todo software, ya sea sistema operativo, middleware, elemento de red o almacenamiento.

Otros puntos a tener en cuenta:

  • Ten firmado con el cliente los acuerdos de nivel de servicio (SLAs)
  • Los procedimientos acordados con el cliente deben subirse en estado “aprobado” a un repositorio común y revisarse periódicamente
  • Si hay otros proveedores en el proyecto ten un documento de acuerdo con éstos y asegúrate que todos sigan las mismas políticas acordadas con el cliente.
  • Ten en cuenta si hay que aplicar alguna medida o control especial donde haya información personal o sensible.

Y con este último punto terminamos este post sobre cómo afrontar una auditoría IT. Espero que si te encuentras alguna vez en esta situación, esta información te sea de utilidad para poder abordarla con éxito.

2021-06-16T10:32:02+02:0016 junio, 2021|

¡Compártelo en tus redes sociales!

Ir a Arriba