Auditoría de Seguridad
Una auditoría de seguridad consiste en un análisis sistemático de una aplicación, sistema o base de datos para evaluar qué tan sólida y segura es. En el contexto de las cadenas de bloques, las auditorías de seguridad consisten en una revisión por pares de un contrato inteligente o un código de cadena de bloques para identificar posibles errores o fallas.
Considerando la definición tradicional, una auditoría de seguridad investiga los procesos de acuerdo con una pauta predeterminada o en relación con un estándar; como los Criterios Comunes para la Evaluación de la Seguridad de TI. Muchas empresas realizan auditorías de seguridad como una forma de garantizar que sus sistemas sean lo suficientemente fuertes contra posibles fugas, intrusiones o ciberataques.
Aparte de eso, las auditorías de seguridad son muy importantes para determinar el cumplimiento normativo porque dejan en claro cómo una empresa o institución maneja y protege los datos confidenciales. Las auditorías también pueden examinar el acceso físico a las instalaciones y sistemas de información de la empresa; así como las estrategias preventivas implementadas contra posibles ataques.
Las auditorías de seguridad pueden considerarse uno de los tres tipos principales de métodos de diagnóstico de seguridad; junto con las evaluaciones de vulnerabilidad y las pruebas de penetración. Sin embargo, las auditorías de seguridad completas a menudo incluyen pruebas de penetración y evaluaciones de vulnerabilidad; por lo que la definición del término puede cambiar según el contexto.
Resumen
Como se mencionó, una auditoría de seguridad generalmente evalúa la seguridad de un sistema de información en relación con una lista de criterios. Por el contrario, una evaluación de la vulnerabilidad se basa en un análisis extenso de todo el sistema para identificar eventualmente las lagunas de seguridad.
En otras palabras, las auditorías de seguridad son más específicas, se enfocan en un nicho particular y las evaluaciones de vulnerabilidad son más generalistas. Por último, tenemos pruebas de penetración, que consisten en ataques simulados como una forma de probar tanto las debilidades como las fortalezas de un sistema. En algunos casos, los piratas informáticos de sombrero blanco son contratados solo para realizar estos ciberataques autorizados. Algunas empresas también ofrecen recompensas a través de los programas Bug Bounty.
Idealmente, las auditorías de seguridad deberían realizarse al menos una vez al año, para asegurar que los mecanismos de defensa estén actualizados contra las amenazas más recientes.
