Por: CP Iván Rodriguez. Colaborador de Auditool
El auditor y el riesgo del día cero
Recientemente el Instituto de Auditores Internos en su boletín del mes de abril[1], planteó algunas consideraciones respecto de cómo la pandemia COVID-19 ha obligado al mundo empresarial a buscar soluciones no planeadas en las operaciones, algunas de ellas innovadoras, que a su vez han generado un conjunto único de riesgos, en particular riesgos cibernéticos. El trabajo remoto ha obligado a que se dediquen importantes recursos de TI para los temas asociados a esta situación. Esto hace que las organizaciones puedan estar expuestas a nuevas amenazas y vulnerabilidades cibernéticas y en ese entorno, es posible descuidar el enfoque en las amenazas existentes.
De acuerdo con el boletín del Instituto de Auditores, un riesgo preocupante es el de hazañas de "día cero". Este término describe los ciberataques que aprovechan una debilidad en un software, firmware, configuración o sistema operativo, que es desconocido para un desarrollador y que no tiene corrección conocida o recomendada.
Las debilidades o vulnerabilidades de seguridad suelen ser consecuencias desconocidas o inesperadas que con frecuencia resultan de errores de programación o configuraciones informáticas o de seguridad incorrectas. Acá hay una gran amenaza; de una parte, los ciberdelincuentes pueden aprovechar la vulnerabilidad hasta que una solución esté disponible y de otra, si no se implementa pronto, se convierte en una amenaza a largo plazo.
Actualmente hay una gran tarea para los auditores y es una evaluación del impacto de la pandemia en los recursos, prioridades y enfoque de los recursos de TI. Debe determinarse si los procedimientos actuales de los clientes permiten que los recursos de TI funcionen apropiadamente, estén actualizados y en que manera podrían mitigar diferentes ataques y riesgos.
Algunas preguntas generales para evaluar la vulnerabilidad cibernética durante la crisis COVID-19, adaptadas del boletín del IIA:
- ¿Cómo supervisa la organización los medios de comunicación de confianza y otras fuentes de información con respecto a posibles ataques de día cero? ¿Ha cambiado el proceso para hacer frente a estos riesgos?
- ¿Cómo se asegura la organización de que los parches y actualizaciones necesarias relacionados con la seguridad se implementen de manera oportuna?
- ¿Se ha alterado alguna búsqueda de amenazas (actividades proactivas de defensa cibernética) u otras actividades de monitoreo o análisis debido a cambios en los procesos y el entorno de trabajo de la organización? ¿Cómo se abordan los riesgos resultantes?
- ¿Cómo se garantiza que la organización garantice que las prácticas de gestión de vulnerabilidades se administran correctamente como resultado de los cambios en el entorno de trabajo? ¿Qué actividades específicas de análisis o corrección de vulnerabilidades se han modificado o pospuesto?
- ¿Cómo garantiza la organización que las prácticas de administración de incidentes de TI, incluidos los procedimientos para prevenir, detectar y responder a incidentes, estén al día con las amenazas más recientes? ¿Cómo sigue garantizando que los procesos actuales incluyan las herramientas y servicios necesarios para evaluar, analizar, contener, erradicar y responder a un evento?
- ¿Cómo garantiza la organización que los cambios en la red se soliciten, documenten, aprueben y ejecuten correctamente? Esto incluye específicamente cambios de emergencia o ad hoc realizados para facilitar las operaciones remotas.
- ¿Cómo han cambiado los procesos de aprovisionamiento de acceso físico y lógico de la organización?
- ¿Qué procesos críticos no se pueden realizar ni supervisar en un entorno de trabajo remoto? ¿Cómo se abordan los riesgos resultantes?
- ¿Cómo ha cambiado la respuesta de pandemia la gestión de las relaciones con los proveedores, incluidas las relaciones con los principales proveedores de la nube?
- ¿Qué cambios se han implementado con respecto a la gestión de contratos? Por ejemplo, ¿se han relajado u omitido los requisitos del contrato?
- ¿Ha cambiado el proceso de adquisición como resultado de los cambios en el entorno de trabajo? Específicamente, ¿qué está haciendo la organización para abordar el posible aumento de los sistemas, aplicaciones y servicios adquiridos o implementados por el usuario?
Si bien esta no es una lista exhaustiva, si puede servir de base para las evaluaciones que deben efectuar los auditores, respecto de los nuevos riesgos en las actuales circunstancias.
[1] Ver: https://na.theiia.org/periodicals/PublicDocuments/IIA-Bulletin-Pandemics-Considerations-for-IT-Disruptions.pdf
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia