Excequiel Matamala.
¿Por qué es clave para las empresas contar con servicios de auditoría de seguridad?
Al igual que un control médico preventivo, las auditorías de seguridad son una práctica muy “saludable” para pesquisar o descubrir tempranamente posibles vulnerabilidades y anticipar medidas ante potenciales problemas de seguridad.
Es un paso crucial y de mucha utilidad para el resguardo de la información crí- tica del negocio o la protección de datos sensibles de la empresa y sus clientes.
¿Cuáles son los principales beneficios asociados?
Existen muchos beneficios: desde evitar o minimizar consecuencias indeseadas para el negocio, derivadas de una brecha de seguridad, hasta asegurar la continuidad operacional, además de salvaguardar la reputación y la confianza de clientes y otros stakeholders de la empresa.
¿Qué aspectos se deben tener en cuenta a la hora de implementar una auditoría?
Un aspecto esencial es la intervención de un tercero externo en el proceso. Esto facilita visualizar posibles “puntos ciegos” que internamente se podrían pasar por alto y obtener una radiografía más fiel de la realidad. Contar con un análisis independiente, junto a la implementación de medidas de mitigación, dan una base más sólida para sustentar un modelo de prevención y cumplimiento.
También es importante que se establezca como un proceso o actividad perió- dica y permanente del negocio, a modo de plan de seguimiento o controles de seguridad con foco en la verificación de los activos tecnológicos estratégicos y los posibles cambios o alteraciones que estos puedan haber sufrido desde la última comprobación.
¿Es recomendable implementar un esquema de mejora continua?
Indudablemente. Un enfoque de este tipo debe considerar el escenario evolutivo de las amenazas y considerar las mejores prácticas, de tal forma que la seguridad esté estrechamente ligada al negocio, buscando mantener una apropiada posición de seguridad de la información para la empresa.
¿Existen metodologías y estándares claves que deben estar presentes en estos servicios?
Una buena guía o referencia en este tema puede encontrarse en los enfoques proporcionados por la Metodología Abierta de Evaluación de Seguridad (OSSTMM), el Estándar de Ejecución de Pruebas de Intrusión (PTES), la guía técnica NIST SP – 800-115 o los marcos de referencia ISSAF (Information System Security Assessment Framework) y OWASP (Open Web Application Security Project), entre otros.
En función del foco, alcance y naturaleza del proyecto de cada empresa, es posible usar alguna de estas aproximaciones metodológicas o bien sus principales lineamientos.
¿Qué características se deben considerar al escoger un proveedor?
Afortunadamente, hoy en el país existe una variada oferta en este plano, desde intrusiones del tipo pentesting o hacking ético hasta servicios gestionados con controles y monitoreo de seguridad, pasando por una amplia oferta de servicios y tecnología de punta. El Centro de Ciberseguridad de la ACTI, cuenta con proveedores con mucha especialización y experiencia a disposición de las empresas, los que son atributos esenciales en este sentido para que puedan escoger la mejor alternativa de acuerdo a sus necesidades.
¿Cuáles son los servicios más comunes que hoy requieren las empresas en auditorías de seguridad?
Principalmente, requieren análisis de seguridad estándar y ataques o intrusiones controlados de carácter técnico a sus sistemas, así como tecnología de control, prevención y detección, pero es posible que muy poco aún sobre ataques más sofisticados de ingeniería social a sus colaboradores y ejecutivos. Acá es muy importante entender que la educación de las personas en ciberseguridad es un factor crítico para las empresas y que buena parte de los problemas se origina a partir de este tipo de esquemas, por alguien que hizo clic donde no debía o porque fue víctima de un engaño más elaborado.
¿Destaca algún servicio nuevo que se esté convirtiendo en tendencia?
La automatización de controles bajo un enfoque de auditoría continua, o el monitoreo y análisis en tiempo real, tanto de aplicaciones como del comportamiento de los usuarios, para prevenir y detectar ataques internos y externos, o el uso de técnicas de Machine Learning, entre otras, son algunas de las tendencias que se podrían destacar.
En otro plano, es muy probable que este 2020 se promulgue en el país la nueva Ley de Protección de Datos Personales, que elevará las exigencias de nuestro marco legal a la altura de estándares como los del Reglamento General de Protección de Datos europeo (GDPR), a partir de lo cual cobrará mucha importancia que los esfuerzos de auditoría y seguridad operen en armonía con el cumplimiento de las nuevas exigencias legales.
Además de presidir el Centro de Ciberseguridad de ACTI, Excequiel Matamala es también VP Alianza Chilena de Ciberseguridad y Director de Optaris.