¡Hola, ciberhéroes! ¿Crees que necesitas un título universitario, algún tipo de certificación o una experiencia técnica loca como hackear para tener una carrera en ciberseguridad? ¡Ya demostré que eso está equivocado! Pero por si acaso eres nuevo en este artículo, vamos a continuar con nuestra serie y hablar sobre el día a día de un auditor de ciberseguridad, segunda parte.
Índice
Bienvenidos de nuevo, ciberhéroes
Si eres nuevo en mi blog, soy César, un experto en ciberseguridad reconocido internacionalmente, y ayudo a profesionales de IT a ascender en sus carreras y obtener trabajos en ciberseguridad que les generen seis cifras. Si quieres unirte a este camino, asegúrate de suscribirte al blog y activar las notificaciones para enterarte cuando publique nuevo contenido para ayudarte a llevar tu carrera al siguiente nivel y ganar seis cifras en ciberseguridad. ¡Empecemos!
El día a día de un auditor de ciberseguridad, parte dos
Antes de continuar, si esta es la primera vez que lees sobre este tema, te recomiendo que vuelvas y leas la primera parte porque sienta las bases para lo que vamos a ver en este artículo. Tomate cinco segundos para hacer la transición… Uno, dos, tres, cuatro, cinco. ¡Bien! Si estás aquí, significa que estás listo para seguir adelante y has visto el video de la semana pasada. Excelente.
La semana pasada hablamos de cómo realizar una evaluación de seguridad. Revisamos algunas configuraciones de seguridad en un firewall de red SonicWALL NSA. Esto es solo el primer paso en el proceso. Primero, debemos observar, es decir, debemos examinar las configuraciones de un sistema y compararlas con un marco de seguridad contra el cual hacemos una auditoría. En el video anterior, utilizamos el PCI DSS versión 3.2.1. Si no estás familiarizado con el PCI DSS, es el estándar de seguridad de datos de tarjetas de crédito que las empresas deben cumplir si almacenan, procesan o transmiten datos de tarjetas de crédito. En este artículo vamos a hablar sobre lo que sucede después de realizar esa evaluación de seguridad, porque eso es solo el primer paso.
El informe de seguridad
Actualmente estoy en mi computadora y esto es el informe de seguridad. Comienza con un resumen ejecutivo y ofrece información sobre la red y lo que observamos. Luego entramos en los descubrimientos reales. Estos descubrimientos son las cosas que observamos y que son negativas en esta situación. Por ejemplo, hemos detectado que no se ha instalado un firewall de red entre Internet y la red interna. Este problema específico viola el requisito 1.2 del PCI DSS, que establece construir una configuración de firewall y enrutador que restrinja las conexiones entre redes no confiables y cualquier componente del entorno de datos del titular de la tarjeta. Les explicamos a la empresa qué encontramos, qué requisito corresponde y luego les decimos cuál es el riesgo. La falta de un firewall de red limita la capacidad de la organización para prevenir, detectar o responder a actividades malintencionadas en línea.
Además, les hacemos una recomendación. En este caso, sugerimos comprar y configurar un firewall de red para separar la red confidencial del cliente de Internet. Y, por supuesto, establecemos una fecha límite para solucionarlo. Esto es lo que haces después de obtener la información. Debes analizar los datos y determinar cuál es el verdadero riesgo considerando que la red no tiene un firewall y está directamente accesible desde Internet. Consideramos que este es un problema urgente, por lo que necesita atención rápida. Le hemos dado una fecha límite del 31 de octubre. Idealmente, querrás trabajar con los equipos internos para encontrar al responsable del sistema y determinar el esfuerzo necesario para solucionar el problema, ya que como auditor de ciberseguridad, no tienes la capacidad de solucionar el problema tú mismo, solo puedes informar sobre ello. Necesitas obtener la fecha límite del dueño del sistema para poder crear tu informe ejecutivo y presentarlo a los ejecutivos, en caso de que alguien no esté cumpliendo con los plazos.
Veamos el segundo hallazgo. La configuración del enrutador está inapropiadamente ajustada, creando una conexión directa entre la red interna y Internet. Eso es un problema. Este problema está relacionado con el requisito 1.3 del PCI DSS, que dice «prohibir el acceso público directo entre Internet y cualquier componente del entorno de datos del titular de la tarjeta». Nuevamente, les explicamos qué es el riesgo y les damos una recomendación y una fecha límite.
Esto es lo que parece cuando realizas una evaluación de seguridad y luego analizas los resultados para generar un informe que muestra el riesgo de los hallazgos descubiertos, así como los requisitos correspondientes del marco de seguridad que estamos auditando y el sistema de calificación interna de riesgo, que puede ser alto, medio, bajo, crítico o urgente. De esta manera, la organización entiende claramente la importancia de los problemas que se descubrieron. Cuando haces esto una y otra vez, se vuelve más fácil, pero también agregas mucho valor, porque la mayoría de las personas que no trabajan en ciberseguridad no se dan cuenta del impacto y el riesgo que realmente representan para la organización. Por lo tanto, es importante realizar estas evaluaciones de seguridad con frecuencia y ser eficientes al documentar los hallazgos y el riesgo. Esta es otra razón por la cual recomiendo seguir el camino de GRC (gobierno, riesgo y cumplimiento) en ciberseguridad, donde puedes desempeñar este tipo de trabajo sin ser técnico, porque hemos descubierto algo que no estaba bien y necesita ser corregido. Y debido a que necesita ser corregido, otros pueden hacerlo gracias al principio de separación de funciones. No puedo realizar la evaluación de seguridad, anotar los hallazgos y luego corregirlos yo mismo. Eso lo debo dejar en manos de los administradores de sistemas, los administradores de red y los administradores de firewall. Y sabes algo gracioso, el auditor generalmente gana mucho más dinero, mucho más dinero. Sin duda, he simplificado mucho lo que esto implica, ya que pensar en tener que revisar más de 200 controles en un solo sistema y descubrir que ninguno cumplía con los requisitos significa que tendrías que redactar una lista interminable de controles. Además, realicé este análisis de riesgo específico en un documento de Word, pero algunas empresas pueden tener un sistema GRC como Archer, donde simplemente haces clic en el marco con el que estás auditando, seleccionas el requisito y luego escribes el riesgo, y el sistema creará el informe y las métricas de seguimiento por ti. Esas son las mejores empresas en las que trabajé. Pero si tu empresa no tiene eso, esta es tu oportunidad de ofrecerte para liderar un proyecto de implementación de un sistema GRC interno y así establecer una forma de rastrear y monitorear los hallazgos de auditorías de seguridad para corregirlos. A los gerentes y líderes les gusta ese tipo de cosas, y lo sé porque lo he hecho antes.
Conclusiones
Así es, ciberhéroes. Ese es el proceso: realizamos la evaluación de seguridad, anotamos nuestros hallazgos y luego generamos un informe que muestra el riesgo de los hallazgos descubiertos, así como los requisitos correspondientes del marco de seguridad que estamos auditando y del sistema de calificación de riesgo interno (alto, medio, bajo, crítico o urgente), para que la empresa comprenda la importancia del problema descubierto. Cuando haces esto una y otra vez, se vuelve más fácil, pero también agregas mucho valor, porque la mayoría de las personas que no trabajan en ciberseguridad no se dan cuenta del impacto y el riesgo que realmente representan para la organización. Por lo tanto, es importante realizar estas evaluaciones de seguridad con frecuencia y ser eficientes al documentar los hallazgos y el riesgo. Esta es otra razón por la cual recomiendo seguir el camino de GRC (gobierno, riesgo y cumplimiento) en ciberseguridad, donde puedes desempeñar este tipo de trabajo sin ser técnico, porque hemos descubierto algo que no estaba bien y necesita ser corregido. Y debido a que necesita ser corregido, otros pueden hacerlo gracias al principio de separación de funciones. No puedo realizar la evaluación de seguridad, anotar los hallazgos y luego corregirlos yo mismo. Eso lo debo dejar en manos de los administradores de sistemas, los administradores de red y los administradores de firewall. Y sabes algo gracioso, el auditor generalmente gana mucho más dinero, mucho más dinero. Sin duda, he simplificado mucho lo que esto implica, ya que pensar en tener que revisar más de 200 controles en un solo sistema y descubrir que ninguno cumplía con los requisitos significa que tendrías que redactar una lista interminable de controles. Además, realicé este análisis de riesgo específico en un documento de Word, pero algunas empresas pueden tener un sistema GRC como Archer, donde simplemente haces clic en el marco con el que estás auditando, seleccionas el requisito y luego escribes el riesgo, y el sistema creará el informe y las métricas de seguimiento por ti. Esas son las mejores empresas en las que trabajé. Pero si tu empresa no tiene eso, esta es tu oportunidad de ofrecerte para liderar un proyecto de implementación de un sistema GRC interno y así establecer una forma de rastrear y monitorear los hallazgos de auditorías de seguridad para corregirlos. A los gerentes y líderes les gusta ese tipo de cosas, y lo sé porque lo he hecho antes.
Tabla resumen
| Hallazgo | Requisito | Riesgo | Recomendación | Fecha límite |
|---|---|---|---|---|
| Falta de firewall de red | PCI DSS 1.2 | Limita la capacidad de la organización para prevenir y detectar actividades maliciosas | Comprar y configurar un firewall de red | 31 de octubre |
| Configuración inapropiada del enrutador | PCI DSS 1.3 | Permite la conexión directa entre Internet y la red interna | Ajustar la configuración del enrutador | 31 de octubre |
Preguntas frecuentes
Aquí tienes algunas preguntas comunes que suelen surgir sobre el trabajo de un auditor de ciberseguridad:
1. ¿Se necesita ser técnico para ser auditor de ciberseguridad?
No es necesario ser un experto técnico para ser auditor de ciberseguridad. Si bien tener conocimientos técnicos es útil, el enfoque principal del trabajo del auditor es evaluar y documentar los riesgos y las violaciones a los estándares de seguridad.
2. ¿Cuál es la diferencia entre un auditor de ciberseguridad interno y uno externo?
El auditor de ciberseguridad interno trabaja directamente para la empresa y se encarga de evaluar la infraestructura y los procesos de seguridad internos. El auditor externo, por otro lado, es contratado por la empresa para realizar una evaluación independiente de su seguridad y verificar el cumplimiento de los estándares.
3. ¿Cuánto gana un auditor de ciberseguridad?
Los salarios de los auditores de ciberseguridad pueden variar según el nivel de experiencia y la ubicación geográfica. Sin embargo, en general, los auditores de ciberseguridad tienden a ganar salarios bastante altos debido a la naturaleza especializada y la demanda de sus habilidades.
4. ¿Cuáles son las calificaciones necesarias para convertirse en auditor de ciberseguridad?
No hay un conjunto específico de calificaciones necesarias para convertirse en auditor de ciberseguridad, pero es útil tener una formación en ciberseguridad, conocimientos sobre estándares y marcos de seguridad, y experiencia en evaluaciones de riesgo y auditorías. También existen certificaciones específicas en ciberseguridad que pueden ser beneficiosas, como CISSP, CISA y CISM.
5. ¿Cuál es el futuro de la auditoría de ciberseguridad?
Con el aumento constante de las amenazas cibernéticas y la creciente importancia de la seguridad de la información, se espera que la demanda de auditores de ciberseguridad siga creciendo en el futuro. A medida que las regulaciones y los estándares de seguridad se vuelven más estrictos, las empresas necesitan profesionales capacitados para evaluar y garantizar su cumplimiento.
¡Esto es todo, ciberhéroes! Espero que esta segunda parte sobre la vida de un auditor de ciberseguridad haya sido interesante y educativa para ti. Si tienes alguna pregunta o hay algún tema específico que te gustaría que tratáramos en futuros artículos, déjame un comentario. Si encontraste valor en este artículo, asegúrate de darle un «me gusta» y suscribirte al blog para no perderte futuros contenidos. ¡Nos vemos en el próximo artículo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!