Per què passar una auditoria de compliment no significa estar segurs

Hi ha una conversa que es repeteix gairebé cada vegada que entrem en una empresa nova. El responsable d’IT ensenya amb orgull el certificat ISO 27001 penjat a la paret o l’informe favorable de l’últim ENS. Després pregunta quin sentit té revisar res més si ja està tot en ordre.

La resposta curta és que aquest paper no diu el que la majoria pensa que diu.

El que mira una auditoria de compliment

Una auditoria de compliment comprova que l’empresa té els controls documentats i aplicats segons un marc concret. ISO 27001, ENS, NIS2, PCI DSS, SOC 2. Cadascun té la seva llista de requisits i la seva forma de revisar-los, però tots comparteixen una mateixa idea de fons, que és verificar que existeixen processos, polítiques i registres.

L’auditor de compliment us demanarà la política de gestió d’accessos, revisarà una mostra d’altes i baixes d’usuaris, comprovarà que hi ha un inventari d’actius actualitzat, mirarà els logs durant un període raonable i signarà un informe dient que tot això està implantat de manera coherent.

El que aquest auditor no farà és intentar entrar.

El que mira una auditoria ofensiva

Quan fem un pentest, o una auditoria de seguretat ofensiva, el que provem és just això. Intentem entrar. Amb permís, amb un abast acordat i amb un equip expert, però entrem com entraria qualsevol que tingués interès a fer-ho sense permís.

Ens és igual que tingueu la política de contrasenyes més estricta del sector si a la pràctica trobem un usuari de servei amb la contrasenya posada dins una descripció d’Active Directory. Ens és igual que la documentació digui que l’accés VPN està endurit si hi ha un compte sense segon factor configurat fa tres anys per una urgència i ningú no l’ha tornat a tocar.

El compliment mesura intenció. L’auditoria ofensiva mesura realitat.

Per què passa això tan sovint

Les empreses que combinen els dos tipus de revisió són l’excepció, no la norma. La majoria fa l’auditoria que els exigeix un client, una assegurança o un regulador. Aquí es tanca el capítol. L’equip de seguretat respira tranquil durant dotze mesos i la direcció guarda l’informe en un calaix.

El que passa en aquest any és invisible des de la documentació. Apareixen serveis nous sense passar per l’inventari, es contracten SaaS que ningú no revisa, queden accessos oberts d’empleats que ja no hi són, algú copia una base de dades a un disc compartit per fer una migració i la deixa allà. Res d’això trenca el compliment perquè el compliment no es mira cada dia. Però tot això és exactament el que un atacant troba quan arriba.

El que veiem a la pràctica

Hem auditat empreses amb ISO 27001 vigent on un usuari sense privilegis podia llegir les contrasenyes dels administradors en text pla dins d’un script de manteniment.

Hem vist entorns amb marcs de compliment implantats on el domini d’Active Directory queia en menys de dues hores des d’una posició no privilegiada, explotant una mala configuració heretada d’anys enrere.

Hem trobat còpies de seguretat perfectament documentades segons la política, emmagatzemades en una ruta de xarxa accessible per a qualsevol empleat del domini.

Cap d’aquestes troballes trencava el compliment. Totes trencaven l’empresa si algú amb males intencions hi hagués arribat abans que nosaltres.

Com es complementen els dos enfocaments

No estem dient que el compliment sobri. És necessari i en molts casos obligatori. Aporta una disciplina de govern que poques empreses tenen sense un marc que les obligui a aplicar-la.

El que estem dient és que el compliment respon a una pregunta diferent de la que moltes empreses creuen que està responent. Us diu si teniu les mesures previstes per la norma. No us diu si aquestes mesures resisteixen quan algú les posa a prova.

Una auditoria ofensiva respon just a aquesta segona pregunta. Va darrere dels buits que existeixen entre la política i la realitat, els serveis que van aparèixer després de l’última revisió, les configuracions per defecte que ningú no va ajustar, els comptes que es van quedar creats per error.

Quan els dos enfocaments es fan al mateix any, sobre el mateix perímetre, surten coses que cap dels dos per separat no hauria vist.

Tres preguntes abans de donar-vos per segurs

Si teniu una auditoria de compliment prevista o passada recentment, abans d’arxivar l’informe convé plantejar tres preguntes a la reunió interna.

La primera és si algú ha intentat entrar de debò als sistemes crítics l’últim any. No simulat en un full de càlcul, no en una taula de treball. Entrar.

La segona és si el resultat d’aquesta prova s’ha traduït en correccions concretes i verificades, o s’ha quedat en un PDF.

La tercera és si la resposta a les dues anteriors és no, què impediria que aquesta visita ocorregués abans que la faci algú que no avisa.

Aquesta és la diferència entre tenir un informe i estar segurs.

---

Si voleu que posem a prova la seguretat real de la vostra organització, escriviu-nos a [email protected] i plantegem un abast ajustat al vostre context.