Iván Rodríguez
La ciberseguridad es una de las mayores preocupaciones de la alta administración de las organizaciones y por supuesto de los auditores. En estos tiempos de pandemia, en que el uso de recursos informáticos se ha incentivado, es conveniente evaluar el tema. No basta con tener herramientas de seguridad y controles en diferentes instancias, si no se hace buen uso de ellas. El factor humano sigue siendo uno de los eslabones más débiles para mantener una estructura de ciberseguridad sólida en una organización. De ahí la necesidad de una capacitación permanente en temas tecnológicos como medida para mitigar los riesgos. Algunos de los hallazgos más frecuentes de los auditores al evaluar el tema de ciberseguridad, son los siguientes:
1. Fallas en la capacitación:
Los temas de tecnología están en constante evolución, por esta razón los auditores deben estar de manera permanente dispuestos a aprender y desaprender. Por su parte, la administración de las organizaciones deben entender que no capacitar al personal no es una medida de reducción de costos, es algo que los perjudica.
2. Debilidades en los controles de acceso lógico:
Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y bases de datos son una de las fallas recurrentes. Así mismo, una inadecuada administración de los usuarios, esto es, a quien conceder permisos o privilegios, que se manifiesta de diferentes maneras: privilegios excesivos otorgados a ciertos usuarios, privilegios no revocados de los usuarios que ya no requieren dicho acceso, uso de permisos genéricos que perjudican la responsabilidad del usuario, el intercambio o alteración de contraseñas, etc. Son algunas de las situaciones que se presentan a menudo.
3. Fallas en la documentación:
En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las políticas y procedimientos para el uso de los recursos tecnológicos o la misma no es clara, está desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a seguir o actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente, muchas organizaciones no efectúan la respectiva capacitación ni actualizan los documentos y manuales cuando hay cambios en la infraestructura tecnológica.
4. Desactualización de aplicativos y programas
Los programas, aplicativos, sistemas operativos, motores de bases de datos entre otros, requieren una actualización regular. Con alguna frecuencia quienes producen los programas envían actualizaciones para mejorar su rendimiento o por motivos de seguridad. Es necesario gestionar los parches para evitar ataques de ransomware, por ejemplo.
5. Inadecuada gestión de los riesgos de terceros:
Muchas organizaciones ignoran el impacto que una violación de un proveedor de servicios externo podría tener sobre las operaciones y los activos. Para ello, además de la implementación de Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones con terceros deben desarrollarse de una manera que garantice que solo accedan a los servicios que necesitan y nada más. Es necesario adelantar labores de monitoreo de las actividades de los proveedores para verificar si los servicios se están prestando según lo acordado y que los proveedores de servicios externos no adelantan acciones que no estén dentro de los límites del acuerdo.
6. Inadecuada gestión de vulnerabilidades
Uno de los principales problemas observados con la gestión de vulnerabilidades está en el alcance; los activos críticos a menudo se pierden porque las organizaciones no conservan un inventario completo de los activos de los sistemas de información. También están los problemas relacionados con los retrasos al implementar las medidas correctivas de las vulnerabilidades identificadas, ya sea debido a las burocracias internas de la organización o a la ausencia de mano de obra calificada. En ocasiones hace falta por parte de la administración, que demuestre un compromiso serio con la efectividad de su programa de gestión de vulnerabilidades
Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también hay una serie de recomendaciones que son habituales y cuya implementación puede ser útil para mitigar los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan:
7. Probar el plan de continuidad del sistema regularmente:
Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y que su organización pueda continuar operando después de una interrupción del negocio. La organización debe considerar la disponibilidad de personal crítico, el equipo necesario para reanudar las operaciones, los métodos necesarios para restaurar los datos y el tiempo que lleva restaurar los servicios. La prueba debe realizarse al menos anualmente. Tanto el plan de continuidad del negocio como el de recuperación ante desastres deben actualizarse para reflejar las lecciones aprendidas del evento de prueba.
8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios para operaciones esenciales
Los firewalls se componen de muchas listas de acceso que permiten que el tráfico fluya dentro y fuera de la red. La lista requerida simplemente debe documentar los puertos y servicios permitidos para comunicarse a través del firewall, qué dispositivos pueden comunicarse y la razón comercial de los puertos. en uso. Si los proveedores tienen acceso a la red privada virtual (VPN), la lista debe indicar los sistemas con los que están aprobados para comunicarse y las direcciones IP permitidas del proveedor
9. Utilizar un cifrado de datos sólido para transmitir información restringida
La mayoría de las organizaciones asumen que la transmisión de datos a través de la red es segura, lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de la organización es la mejor defensa contra la exposición debido a una mala configuración o individuos sin escrúpulos.
10. Analizar en busca de dispositivos de red no confiables o no autorizados
Un dispositivo no confiable es cualquier equipo conectado a la red de la organización que no ha sido autorizado. Dicho dispositivo puede ser un punto de acceso inalámbrico, la computadora portátil personal de un empleado o un interruptor de datos. Hay muchos riesgos asociados con los dispositivos no autorizados, por tanto la protección no autorizada debe bloquear el acceso a la red hasta que el personal de TI haya comprobado el dispositivo y se le haya permitido específicamente conectarse.
No hay que olvidar que tanto en los hallazgos identificados como en las recomendaciones está presente el factor humano. Las personas deben saber las implicaciones y riesgos de realizar ciertas actividades. De ahí la importancia de concientizar y capacitar. La auditoría puede prestar un buen concurso en este tema.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!