Por otra parte, el análisis técnico de la seguridad queda cubierto mediante la valoración del grado de implantación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información.  

Además de temas de gestión y de evaluación de controles en base a entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspecto tales como: 

► Si disponemos de antivirus y cortafuegos.  

► Si nuestra página web es segura.  

► Si la red está correctamente segmentada, que impida por ejemplo que desde Internet sean visibles los equipos de los usuarios o los servidores internos.   

► Si existen controles de acceso físicos a las áreas con información sensible: salas de servidores, despachos, área de Recursos Humanos, etc. 

Estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, comprobamos la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc. El alcance y modalidad de esta auditoría puede variar en función de la estrategia de negocio, el ámbito de nuestra empresa y nuestros antecedentes. Así, una empresa de comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo, cultura en seguridad o los controles de acceso, entre otros. 

Debido a que se trata de un trabajo especializado, es habitual que la organización opte por externalizar el análisis técnico de la seguridad. En estos casos debemos prestar especial atención a la coordinación del equipo externo con el personal propio de nuestra organización, para establecer el tipo de pruebas a realizar y el método de trabajo que se utilizará. Por norma general, debemos requerir que no se lleven a cabo pruebas «agresivas», en cuanto a carga de trabajo de sistemas o redes, que pudieran afectar a la disponibilidad de los servicios TIC.  

Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es fundamental acotar el periodo de realización y que el personal TIC prepare, previamente, procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio. 

Es recomendable que se lleven a cabo auditorías técnicas tanto desde el exterior de la organización como desde el interior. De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un empleado malintencionado, como en el de un atacante externo, por ejemplo un ciberdelincuente. 

Para llevar a cabo el análisis de cumplimiento y situación debemos: Realizar reuniones con el personal de los distintos departamentos de la organización para evaluar el cumplimiento de los controles de seguridad implantados.  

Aunque la mayor parte de los controles corresponden al departamento TIC, también es necesario analizar procesos de otras áreas. Habitualmente se incluyen los departamentos de Personal, Jurídico, Administración, Servicios Generales y, en caso de existir, el departamento de Calidad. 

Para poder desempeñar adecuadamente las tareas de recopilación de información, es vital que la Dirección traslade a cada una de las áreas y sus responsables la importancia del proyecto, los beneficios derivados de su implantación, así como la implicación que se espera de ellos en todas las fases del proyecto. 

Los estándares y normas internacionales en materia de seguridad de la información incluyen requisitos para implantar medidas de control de acceso físico y seguridad medioambiental. Por lo tanto, también será necesario llevar a cabo una inspección in-situ de las instalaciones. 

Registrar todos los problemas y evidencias que vayamos detectando, en relación a los requisitos de seguridad de aplicación y que están prefijados, en documentos que luego podamos contrastar y consultar. Por norma general, es muy útil emplear formularios y listas de verificación (checklists) que incluyen los aspectos a revisar y comprobar. 

Una vez dispongamos de toda la información, debemos analizar los resultados y situar el cumplimiento de cada control en una escala, por ejemplo entre el 0 al 5, según el modelo de madurez, donde 0 es la ausencia total del control, y el 5 la aplicación optimizada del control. 

Por ejemplo, trasladando la escala a las copias de seguridad: el nivel 0 sería la ausencia de copias de seguridad, y el nivel 5 la realización de copias, existencia de procedimientos, pruebas de recuperaciones periódicas, análisis periódico de incidencias, etc.  

Esta escala nos permitirá conocer la evolución en el tiempo del grado de seguridad de la organización. 

Establecer Objetivos 

Por último, debemos establecer cuáles son nuestros objetivos a cumplir en materia de ciberseguridad de la empresa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos. 

Además de la evaluación de la Seguridad de la Información respecto a esta guía de buenas prácticas, para la valoración de los aspectos normativos y legales puede ser necesario tomar como referencia otros estándares o normativas específicos, u otras leyes como el Reglamento General de Protección de Datos (RGPD), detallada en los dosieres de Protección de Información y Cumplimiento Legal. 

 Otros estándares relevantes son el de PCI-DSS si gestionamos datos de tarjetas de crédito; COBIT si queremos optar por guías de buenas prácticas alternativas a la norma ISO 27002 o el Esquema Nacional de Seguridad si trabajamos habitualmente con información de la Administración Pública o les proporcionamos servicios.