El checklist que fem servir nosaltres abans de qualsevol auditoria de seguretat

Una auditoria de seguretat sense context de negoci produeix un informe de vulnerabilitats ordenades per severitat tècnica, sense cap priorització per impacte real. El resultat és un document que ningú llegeix completament i que genera més ansietat que acció. Abans de qualsevol auditoria tècnica, fem un procés de preparació que determina què buscar, on buscar i com interpretar el que trobem.

El valor d'una auditoria no està en la llista de vulnerabilitats: està en saber quines d'aquestes vulnerabilitats afecten els sistemes que més importen per al negoci, amb quina probabilitat s'han d'explotar en el teu context real i quin impacte tindria un incident en cadascuna d'elles. Sense aquest context, una troballa crítica en un sistema obsolet que ningú fa servir és menys urgent que una de mitja en el sistema de facturació.

• Quins són els tres processos de negoci que no poden aturar-se sota cap circumstància?
• Quines dades gestiona l'empresa que tenen major sensibilitat regulatòria?
• Hi ha hagut incidents de seguretat en els últims 24 mesos, encara que siguin menors?
• Quin és el perfil d'amenaça més probable per a aquest sector i mida d'empresa?
• Hi ha projectes de canvi tecnològic en curs o previstos que afectin el perímetre de seguretat?
• Quins són els requisits regulatoris aplicables (GDPR, NIS2, ENS, PCI, sectorial)?

• Llista completa de sistemes actius amb propietari, funció i criticitat per al negoci
• Mapa de fluxos de dades: quina dada va de quin sistema a quin i per quin canal
• Sistemes exposats a internet: quins tenen superfície pública i des de quan
• Aplicacions SaaS en ús: quantes, qui les gestiona i quines dades contenen
• Dispositius en xarxa: inventari d'endpoints, incloent dispositius mòbils i equips de teletreball
• Sistemes legacy: quins sistemes tenen suport actiu i quins estan fora del cicle d'actualitzacions
• Integracions entre sistemes: què connecta amb què i si aquestes connexions estan documentades

• Existeix un directori centralitzat d'identitats o els accessos són per sistema?
• Hi ha un procés documentat d'alta i baixa d'usuaris en incorporar o sortir personal?
• Quins sistemes tenen MFA activat i quins no?
• Existeixen comptes de servei o accessos d'aplicació que no estan lligats a persones identificades?
• S'han revisat els privilegis administratius en els últims 6 mesos?
• Hi ha accessos de tercers actius que haurien d'estar tancats?

• Existeix un registre d'incidències IT dels últims 12 mesos?
• Hi va haver algun incident relacionat amb accés no autoritzat o pèrdua de dades?
• S'executen proves de restauració des de còpia de seguretat amb freqüència documentada?
• Hi ha un pla de resposta a incidents formal, encara que sigui bàsic?
• Quin proveïdor o persona interna seria el primer punt de contacte davant d'un incident greu?

Aquest procés de preparació porta entre 2 i 4 hores de treball conjunt amb el client. És la inversió més rendible del projecte: permet que les troballes tècniques es tradueixin directament en un pla d'acció prioritzat per impacte de negoci.