OBJETIVO
Realizar una auditoría de vulnerabilidades en la plataforma de TI con el fin de identificar las brechas de seguridad que podrían ser explotados por ciber-ataques externos o internos.

DESCRIPCIÓN DEL SERVICIO
La plataforma tecnológica utilizada por una organización está formada por muchos componentes que van desde servidores y firewalls hasta bases de datos y aplicaciones. Hoy en día, todos estos componentes pueden convertirse en blanco de ataques cibernéticos si la Gestión de TI no ha tenido el debido cuidado de configurar correctamente todos los equipos. Para ayudar en esa tarea, muchas fuentes han emanado recomendaciones sobre las mejores prácticas para asegurar que cada componente está configurado en la forma más segura. Aún más importante, existen mecanismos automatizados para identificar el nivel de cumplimiento obtenido en la configuración del equipo que permita la posibilidad de llevar a cabo auditorías para garantizar configuraciones correctas estén bien implementadas, asegurando que no existan riesgos de seguridad de la información. La automatización es lograda a través de un software especial, llamado genéricamente “un escáner” que se conecta a los equipos para realizar la evaluación. El análisis de vulnerabilidades puede asumir dos escenarios:
1. El departamento de TI no ha definido un conjunto de configuraciones que se consideren seguras para la organización. En este caso, se pueden aplicar las mejores prácticas para comprobar el nivel de cumplimiento de los estándares de la industria tales como el NIST (Instituto Nacional de Estándares y Tecnología) o CIS (Centro de Seguridad de Internet). Además, el software de prueba también considera, de forma predeterminada, la información de la CVE (Common Vulnerabilities y exposición) Bases de datos, donde se enumeran las vulnerabilidades que han sido reportados y de las que incluso se puede llegar a conocer un mecanismo de explotación (la manera de tomar ventaja de la vulnerabilidad).

2. El departamento de TI ha definido por completo una serie de normas a seguir en la configuración de todos los componentes. En este caso, se pueden crear archivos de auditoría específicos para la organización para evaluar el nivel de cumplimiento de la norma interna. Incluso en este caso, el análisis basado en las normas generales de la industria también se utiliza con el fin de identificar áreas en las que el estándar interno necesita mejorar.

PASOS A SEGUIR
Para llevar a cabo una auditoría de vulnerabilidades de TI los siguientes pasos deben ser ejecutados:
1. Definir el alcance de la auditoría. El alcance debe ser establecidos en términos de los equipos que deben evaluarse. De acuerdo con las prioridades de la empresa posibles alcances podrían limitarse a los equipos de seguridad de red, tales como los firewalls; servidores críticos, como los que hospedan bases de datos o incluso una red completa en la que las operaciones comerciales importantes tienen lugar. El alcance de la evaluación debe describirse con una lista de direcciones IP específicas para incluir en la auditoría.
2. Planificar y programar la auditoría. Con base en el alcance y con la coordinación cuidadosa con el departamento de TI, se define el mejor momento y manera de realizar la auditoría. La auditoría automatizada en búsqueda de vulnerabilidades puede tener un impacto de rendimiento de los equipos, por lo que se recomiendan realizarla en momentos de baja carga de trabajo o planificarla con una actividad de búsqueda muy baja. Aunque esto toma más tiempo, permite no impactar las operaciones regulares de TI. Además, detalles con respecto a una excelente conectividad IP al equipo que está siendo auditado deben ser evaluados con el fin de garantizar que no existan factores que puedan alterar los resultados del análisis.
3. Auditar todos los equipos definidos en el alcance. Este paso se realiza con la ayuda de software especializado, que se conecta con el equipo y determina el estado de las configuraciones críticas. Dependiendo de la marca y modelos, algunos equipos permiten el análisis de los archivos de configuración, en cuyo caso, los archivos de configuración se extraen de los equipos y se analizan externamente.
4. Análisis. En este paso, toda la información recopilada se analiza para encontrar dos cosas:
a. Las vulnerabilidades específicas que afectan a la plataforma de TI, que son ordenadas por orden de riesgo con el fin de proponer soluciones para repararlas.
b. La identificación de las acciones recomendadas para mejorar la postura de seguridad global de la organización. Normalmente aquí, la causa raíz de los errores de configuración es atacado para evitar desviaciones futuras.
5. Informe de auditoría de vulnerabilidades. Un informe de auditoría se completa con los resultados del análisis de las vulnerabilidades de TI para permitir una definición adecuada de la forma de resolverlas, responsables y tiempos para completar los planes de acción para cada hallazgo. Esto permitirá definir un adecuado seguimiento.
6. Seguimiento. Después de algún tiempo, determinado por el departamento de TI al momento de hacer el informe de auditoría de vulnerabilidades, se revisan los equipos de nuevo para evaluar los avances en la solución de vulnerabilidades. En este momento se emite un reporte del estado de las vulnerabilidades.

SERVICIO ORIENTADO A
Gerentes de TI, Oficiales de Seguridad Informática, Gerentes de Infraestructura de TI, Gerentes Generales y Auditores Internos que quieran asegurar que la postura de seguridad de su empresa es razonable y sólida.

CARACTERÍSTICAS DEL SERVICIO
El servicio se realiza utilizando software de análisis de vulnerabilidades de clase mundial (como Nessus Vulnerability Scanner, Nipper Studio, Wireshark y similares), así como con la referencia de estándares internacionales ampliamente utilizados como los de ISO, NIST (Instituto Nacional de Estándares y Tecnología) y CIS (Centro de Seguridad de Internet). Estas características permiten a los departamentos de TI de las organizaciones clientes contar con una asesoría de primer nivel, con evidencia sustentable y medible del progreso que realizan en mejorar su postura de seguridad. Este servicio es de especial interés para empresas que aún no cuentan con una función de Seguridad de la Información implementada, permitiéndoles iniciar la medición del nivel de vulnerabilidad existente.