Artículo de blog

Perfil del/a autor/a

Recopilación de pruebas de auditoría: una guía para los equipos de las empresas

Un hombre de pie en una carretera digital que se encamina hacia un viaje hacia el cumplimiento de las normas Dmarc

Resumen de las pruebas de auditoría:

  • La configuración no constituye una prueba de auditoría; los auditores exigen un seguimiento documentado y un inventario de dominios con control de versiones.
  • Los entornos con varios dominios y los entornos delegados necesitan pruebas centralizadas, no comprobaciones por dominio.
  • Sin documentar p=none Las políticas y los dominios sin propietario son hallazgos de la auditoría

Los equipos de seguridad pueden implementar SPF DKIM. Sin embargo, son pocos los que pueden demostrar ante un auditor que dichos protocolos se supervisan en todos y cada uno de los dominios que posee la organización.

Esa laguna es el punto débil más habitual en los programas de autenticación del correo electrónico empresarial. La configuración no equivale al cumplimiento normativo. Un registro DNS publicado hace dos años no indica en absoluto si sigue siendo correcto, si incluye a todos los remitentes autorizados o si alguien lo revisó el trimestre pasado.

Esta guía está dirigida a los responsables de cumplimiento normativo, los responsables de riesgos y los equipos de operaciones de TI encargados de elaborar pruebas de auditoría que resistan un examen minucioso.

El verificador de dominios gratuito de Sendmarc muestra en cuestión de segundos el estado actual de autenticación de cualquier dominio. Es una forma práctica de establecer un punto de partida antes de desarrollar un proceso completo de recopilación de pruebas.

Si corres riesgo de suplantación de identidad, uno de nuestros expertos se pondrá en contacto para ayudarte.

La falta de pruebas de auditoría: por qué la configuración por sí sola no es suficiente

La mayoría de los programas de autenticación de correo electrónico llegan a un estado funcional y se detienen ahí. Se publican SPF . DKIM se renuevan cuando alguien se acuerda. Se configura una DMARC con p=quarantine o p=reject. El equipo pasa a otra cosa.

El problema sale a la luz en el momento de la auditoría. Un auditor que revise los controles de seguridad del correo electrónico podría solicitar:

  • Un inventario actualizado de todos los dominios y su estado de autenticación
  • Pruebas de que las políticas se aplican, y no solo
  • Registros que muestran la actividad de supervisión en curso
  • Pruebas de que se detectan los remitentes no autorizados y se toman medidas al respecto

Ninguno de estos elementos existe de forma automática. Requieren una recopilación y un mantenimiento deliberados. Una empresa puede contar con una configuración de autenticación técnicamente sólida y, aun así, no superar una auditoría  simplemente porque no dispone de pruebas.

Esta es la brecha en las pruebas de auditoría. Cerrarla es un problema operativo y de gobernanza, no técnico.

Cómo es realmente la evidencia de auditoría

Antes de crear un flujo de trabajo para la recopilación de pruebas de auditoría, define qué debe incluir cada uno de ellos.

Inventario de configuración

Un inventario de configuración constituye la base de las pruebas de auditoría. En él se documenta el estado actual de autenticación de cada dominio desde el que la empresa envía correos electrónicos.

A efectos de auditoría, esto debería incluir:

  • Nombre de dominio
  • SPF (valor actual, fecha de la última modificación, remitentes autorizados)
  • DKIM en uso (por dominio, por sistema de envío)
  • Política DMARC (p= valor, rua= y ruf= direcciones)
  • Titular de la política (departamento o equipo)
  • Última fecha de revisión

Es necesario llevar un control de versiones de este inventario de dominios. Una instantánea de hoy tiene un valor de auditoría limitado, a menos que demuestre una situación coherente a lo largo del tiempo.

Documentación sobre cambios en las políticas

Cualquier cambio en un SPF , DKIM o DMARC debe documentarse: qué se ha modificado, cuándo, quién lo ha autorizado y por qué. Esto es especialmente importante al pasar de p=none a p=quarantine a p=reject. La progresión en la aplicación de las medidas debe ser deliberada y por etapas, y cada paso debe ir acompañado de una aprobación documentada.

Registros de supervisión

Los informesDMARC muestran, por reporte , qué fuentes enviaron mensajes que afirmaban proceder de tu dominio y si dichas fuentes superaron o no DKIM SPF DKIM . Estos informes contienen datos estructurados sobre cada fuente de envío, no solo .

En cuanto a las pruebas de auditoría, los equipos necesitan:

  • Informes agregados archivados correspondientes a un período de revisión definido
  • Un registro de cómo se revisaron los informes, quién los revisó y qué medidas se adoptaron a raíz de ello
  • Vías de escalación documentadas para los fallos de autenticación que superen un umbral definido

El hecho de que reporte DMARC reporte sin leer en un buzón de correo no equivale a una supervisión. Los auditores suelen preguntar si se han tomado medidas al respecto, y no solo si se han recibido los informes.

Escenarios de dominios multitenant y delegados

Las grandes empresas rara vez gestionan un único dominio. Las filiales, las empresas adquiridas y las marcas regionales cuentan cada una con su propia cartera de dominios. En los modelos delegados, cada división puede gestionar su autenticación de forma independiente.

Esto plantea dos problemas relacionados con las pruebas de auditoría.

  1. Fragmentación de la visibilidad. Cuando cada dominio se gestiona por separado, no existe una visión global que refleje el estado de la autenticación de la empresa. No es posible responder con un único reporte a una solicitud sobre el estado de la autenticación del correo electrónico en todos los dominios.
  2. Ambigüedad en la titularidad. Cuando se autentifica un dominio pero no se designa a ningún equipo como responsable de su mantenimiento, se produce una deficiencia en la gobernanza. Los auditores consideran que la falta de documentación sobre la titularidad constituye un fallo de control, incluso cuando la configuración técnica es correcta.

En multicuenta , el requisito de acreditación se amplía a demostrar que todos los dominios incluidos en el ámbito de aplicación —incluidos los dominios adquiridos recientemente y aquellos bajo gestión delegada— están sujetos a un proceso coherente de supervisión y revisión. Mantener DMARC en todos los dominios requiere una visión centralizada. Las comprobaciones puntuales de dominios individuales no son suficientes.

Creación del flujo de trabajo

Paso 1: Inventario de dominios y situación de referencia

Empieza por elaborar una lista completa de todos los dominios que posee la empresa, independientemente de si envían correo electrónico o no. Los dominios que no envían correo electrónico también deben tener un DMARC con un p=reject para evitar la suplantación de identidad. Las lagunas en el inventario de dominios que no envían correo electrónico constituyen hallazgos de auditoría.

En cuanto a los dominios emisores, documenta el inventario completo de remitentes: todas las plataformas de terceros, herramientas SaaS, CRM y sistemas de gestión de incidencias que envían mensajes en nombre del dominio.

Paso 2: Revisión de políticas y documentación

Para cada dominio, documenta la DMARC actual y su justificación. Un dominio en p=none debe tener una razón documentada, como una corrección en curso, un problema conocido de reenvío que se esté investigando o un sistema heredado a la espera de ser dado de baja. Los casos en p=none se interpretan como inacción ante un auditor y se tratan como incidencias de auditoría.

Paso 3: Seguimiento de la cadencia y revisiones

Establecer una periodicidad formal de seguimiento: quién revisa los informes agregados, con qué frecuencia y qué aspectos abarca dicha revisión. Una periodicidad mensual resulta práctica para la mayoría de los entornos empresariales. Los ámbitos de alto riesgo requieren una revisión semanal.

Cada ciclo de revisión debe dar lugar a un documento que refleje lo siguiente: un breve resumen de lo que se ha revisado, si han aparecido remitentes nuevos o no autorizados y qué medidas se han tomado, en su caso. No es necesario que sea un documento muy detallado.

Paso 4: Comprobaciones de verificación entre dominios

Programa una verificación periódica de todo el inventario de dominios para confirmar que los registros DNS coinciden con la configuración documentada. Los registros se desvían. Se añaden remitentes sin actualizar SPF. DKIM se renuevan, pero los selectores antiguos permanecen activos. La discrepancia entre lo que está documentado y lo que realmente se publica en el DNS constituye el objeto de las conclusiones de la auditoría.

Paso 5: Documentación para las partes interesadas sin conocimientos técnicos

La labor del equipo de cumplimiento normativo no consiste solo recopilar pruebas de auditoría, sino en plasmarlas en documentación que puedan examinar el consejo de administración, el comité de auditoría o un organismo regulador externo.

Esto significa que:

  1. reporte resumido sobre el estado de la autenticación reporte toda la cartera de dominios
  2. Una ruta de escalación documentada para los fallos de autenticación

Cómo puede ayudarte Sendmarc

Mantener las pruebas de auditoría en decenas o cientos de dominios requiere un tiempo del que carecen los equipos de seguridad y de TI, ya de por sí sobrecargados.

Sendmarc ofrece una visión centralizada del estado de la autenticación en toda una cartera completa de dominios, que se actualiza continuamente. SPF , DKIM y el nivel DMARC se pueden consultar en una única interfaz.

Los equipos de cumplimiento normativo y de TI que deseen evaluar el estado actual de la autenticación antes de un ciclo de auditoría deben empezar por el inventario de dominios. Utiliza la plataforma Sendmarc para conocer la situación actual de tu cartera de dominios.