Skip to main content

Zibersegurtasun auditoriak

Zer da?

Zibersegurtasun auditoria enpresa baten sistema informatikoen azterketa metodikoa eta planifikatua da, eta helburu hauek ditu: enpresan dauden babes neurriak ebaluatzea, ahultasunak edo balizko segurtasun-gabeziak aurkitzea, eta aztertutako informazio sistemen babesa areagotzeko landu beharreko zereginak identifikatzea.

Zer onura dakartza zibersegurtasuneko auditoria batek?

Gaur egungo teknologiak abantaila ugari eskaintzen dizkigun aldi berean, erakunde baten baliabideen esposizioari dagokionez ere arazoak dakartza; horregatik, informazioaren segurtasunari eta pribatutasunari buruzko mehatxuak nabarmen handitu dira azken urteotan. Hori dela eta, zibersegurtasun auditoretzak ez dira enpresa handien jarduera esklusiboa, eta, hori gauzatzeko behar diren baliabideen, enpresaren ezaugarrien, tamainaren eta babestu beharreko sistemen konfigurazioaren arabera, edozein erakunderi aplikatu behar zaio.

Auditoria baten bidez, enpresa edo erakunde baten sistemen segurtasun egoera jakin daiteke aldiro-aldiro, teknologia azpiegituraren diagnostiko orokor baten bidez, eta, horri esker, entitatea zer ureztatzeren eraginpean dagoen jakin daiteke.

Kanpoko agente maltzur batek erakunde batean sartzeko izan ditzakeen ahultasunak ezagutu gabe, ezin da zuzenketa neurririk hartu negozioa babesteko. Gainera, aldizkako auditoria horien bidez enpresa bat zibersegurtasun gertakari baten biktima izatea saihesten bada, marka irudia indartuta aterako da.

Auditoria motak

Auditoria motetan sartu aurretik, gaur egungo esparruak eta metodologiak aipatu behar dira. ISO/IEC 27000 arauan jasotako arauen familiaren barruan ISO 27001 dago, gaur egun mundu mailako enpresetan informazioaren segurtasunerako jardunbide egokiak bermatzeko erreferente nagusia. Hura osatzeko, ISO 27002 araua dago. Lehenengoak zibersegurtasunaren arloko kontrolak ezartzeari dagokionez uzten duen hutsunea betetzen du arau horrek, eta ziberkrimenari modu eraginkorrean aurre egitea du helburu.

Auditoria-txosten on bat lortzeko, ISO 27014 arauan ezarritako printzipioei erantzun behar die, zeinak informazioaren segurtasuna gobernatzeko sei printzipio hauei erantzun beharko dien:

  1. Enpresa osoan informazioaren segurtasuna ezartzea.
  2. Arriskuan oinarritutako ikuspegia jarraitzea.
  3. Inbertsio erabakien zuzendaritza ezartzea.
  4. Kanpoko eta barruko baldintzak betetzen direla berrestea.
  5. Segurtasun giro positiboa sustatzea.
  6. Errendimendua agerian uztea, negozioaren emaitzei dagokienez.

Bestalde, ISO 19011 arauak auditoria ororen faseak ezartzen ditu: planifikatzea, egitea, egiaztatzea, jardutea. Horien programak eta horiek egiteko modua. Era berean, adierazi du auditoria horiek ematen dituzten ebidentziek eta informazio bilketak egiaztagarria den informazio garrantzitsua izan behar dutela, betiere erregistratuta eta eskuragarri dagoen informazioan oinarrituta.

Azken arau hori oinarri hartuta, honako auditoretza-mota hauek ezar ditzakegu:

  • Egiten duenaren arabera:
    • Barrukoak: Erakundearen beraren langileek egiten dituzte, enpresaren helburuak lortzeko eta enpresaren baliabideak babesteko segurtasuna emateko.
    • Kanpokoak: Erakundetik kanpoko langile independenteek egiten dituzte, normalean kanpoko enpresa espezializatu batek, beste batek azpikontratatuta. Ohikoenak izaten dira.
    • Ziurtapen-auditoriak, aldi berean honela banatzen direnak:
  • Hasierakoa: ISO ziurtagiri bat lortzeko.
  • Jarraipenekoa: Erakunde batek arau baten baldintzak betetzen dituela egiaztatzeko erabiltzen dira.
  • Berritzekoak: Denbora luzea igaro ondoren, enpresa edo erakunde batek arau bat betetzen jarraitzen duela egiaztatzeko erabiltzen da.
  • Ohiz kanpokoa: Aurreko auditoretzetako edozeinetan hautemandako ez-betetzeak zuzendu direla egiaztatzeko erabiltzen da.
  • Auditoretzaren xedearen arabera
  • Legezkoak: Erakunde batek zenbait lege-arau betetzen dituen jakiteko.
  • Produktua edo zerbitzua: Konpainiako produktuek arauak betetzen dituzten jakiteko erabiltzen dira.
  • Prozesukoa: Konpainia baten prozesuak ebaluatzea, araua betetzen duten jakiteko.
  • Kudeaketa-sistemakoak: Egiaztatu araua betetzen den kudeaketa-sistemei dagokienez.
  • Erabilitako metodologiaren arabera:
    • Betetzekoa: Araudia betetzen dela edo segurtasun-estandar jakin bati egokitzen zaiola egiaztatzeko auditoretzak.
    • Teknikak: Segurtasun teknikoko auditoriak, sistema informatikoak, horien urrakortasunak eta gabeziak helburu dituztenak.
  • Helburuen arabera, auditoria teknikoak honako hauek izan daitezke:
    • Forentsea: Helburua segurtasun-gertakari baten adierazle eta informazio guztiak biltzea da, jatorria, irismena eta aplikatu beharreko euste- eta errotik kentzeko neurriak zehaztu ahal izateko.
    • Web aplikazioak: Erasotzaileek ustiatu ditzaketen kalteberatasun edo segurtasun-arrakalak bilatzen dira.
    • Hacking etikoa edo intrusio-testa: Erakunde baten perimetroko segurtasun-neurriak ikuskatu nahi dira, erasotzaile potentzial batek erabil ditzakeen ahultasunak edo sarrera-bektoreak aurkitzeko.
    • Sarbide fisikoaren kontrola: Erakunde baten segurtasun-neurri fisikoak aztertzen dira (kamerak, ateak irekitzeko mekanismoak).
    • Sarea: Sare korporatiboa kudeatzen duten gailuak ikuskatzen dira eta horien segurtasuna egiaztatzen da (segurtasun-neurri perimetralak, sare pribatu birtualak, Wifi sareen segurtasuna...).

Azkenik, gehitu behar dugu erakunde publiko eta pribatuek garatutako zibersegurtasun-esparru espezifiko desberdinak daudela, eta auditoreak horiek ezagutu eta aplikatu behar dituela auditoriak egiteko garaian. Adibide gisa jar ditzakegu OWASP (web-aplikatiboen ikuskaritzetara bideratua), PCI DSS (ordainketa-txartelak erabiltzen dituzten erakundeetara bideratuak) edo araudia betetzen dutenak (segurtasun-eskema nazionala),…

Auditoria behar bezala egiteko lan-metodologia

Zibersegurtasun auditoria metodikoa eta ordenatua egiteko eta balio emaitzak emateko, oinarrizko puntu batzuk edo garapen-urrats batzuk hartu behar dira kontuan:

  1. Segurtasun auditoretzaren irismena eta helburuak definitzea
  2. Ikuskatu beharreko ingurunearen hasierako azterlana
  3. Auditoretza egiteko baliabideak ezartzea
  4. Lan-plan eta programa bat egitea
  5. Auditoria finkatutako planaren arabera egitea.
  6. Emaitzak biltzea eta azken txostena idaztea.

Non jaso aholkularitza edo kontratatu Zibersegurtasuneko auditoria bat egiteko?

BCSCk "Euskadiko Zibersegurtasunaren Liburu Zuria" jarri du enpresen eskura. Dokumentu horrek gure tokiko ekosistema osoaren ikuspegia jasotzen du, berrikuntza-, ikerketa- eta ekintzailetza-ikuspegi desberdinekin, eta mota horretako zerbitzuak eskaintzen dituzten zibersegurtasun-hornitzaileen katalogoa jasotzen du, horiek eskatu nahi dituzten erakundeek erabakiak hartzea errazten duen erreferentzia-puntu bat izan dezaten.

Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpen edo bat-bateko gisa balio du, eta zerrenda bizia da, aldizka berrikusia eta eguneratua, sortzen diren zerbitzuak eta aukerak etengabe eboluzionatzen eta digitalizatzen ari direlako.

BCSC Liburu Zuria

Partekatu

Linkedin partekatu