Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: CP Iván Rodríguez. Colaborador de Auditool 

Hace pocos meses tuvo lugar un ataque de ciber espionaje en el que se vieron involucradas diferentes compañías y agencias del gobierno de Estados Unidos. Dicho ataque es conocido como Solorigate, en el cual se atacó la plataforma tecnológica de la compañía SolarWinds y afectó a más de 18.000 empresas y entidades en 17 países, entre las que se cuentan Microsoft o agencias como la NASA y la mayoría de las empresas que conforman la lista de Fortune 500.

Solar Winds es una empresa que se originó en 1999 en Oklahoma, EE. UU. y es la fabricante de Orion, un software  usado por unos 33.000 clientes. De acuerdo con la misma compañía, se describe a Orion como una plataforma de administración y monitoreo de la infraestructura, potente y escalable diseñada para simplificar la administración de TI en entornos locales, híbridos y de software como servicio (SaaS) en un solo panel.

Los hackers, mediante sus actos de violación, que tuvieron lugar dentro en las actualizaciones de Orion, pudieron tener acceso a un enorme conjunto de información sensible en numerosas agencias gubernamentales de EE UU y diferentes corporaciones globales. La infracción fue detectada por primera vez por la firma de ciberseguridad FireEye el pasado mes de diciembre de 2020. Aunque se sabe que los hackers accedieron a la información, sus motivos y acciones completas aún no han sido determinados.

El incidente demostró lo crítico que es para las empresas y organizaciones tener una comprensión completa de sus cadenas de suministro y las vulnerabilidades potenciales en cada paso del proceso.

En el panorama de seguridad actual, ya no basta con tener una idea de la postura de ciberseguridad de su propia organización. De hecho, es frecuente que las empresas experimenten eventos de riesgo de proveedor; sin embargo, no siempre tienen suficiente conciencia o el nivel de madurez necesario para mitigar el riesgo.

Esto evidencia que un problema clave con las cadenas de suministro es la falta de supervisión, a lo que se adiciona que actualmente no hay reglas y regulaciones en torno a las cadenas de suministro seguras. Para muchos otros productos, en diferentes jurisdicciones, si algo sale mal, está la posibilidad de retornarlo para que sea ajustado y conseguir un cambio, o incluso conseguir un producto nuevo. Esto no existe para el caso de las cadenas de suministro. Por tal razón, las compañías están expuestas a ser víctimas de empresas que no actúan responsablemente.

Se hace necesario que las propias empresas y organizaciones sean responsables de ser proactivas en la protección y gestión de sus cadenas de suministro. Para ello, los responsables de seguridad de todas las entidades deben estar al tanto de los procesos y protocolos de seguridad en toda su cadena de suministro. Solo se necesita una contraseña débil o que falle un eslabón en la cadena para comprometer a todas las partes.

Los exámenes del incidente de SolarWinds han mostrado que para las empresas y las organizaciones es importante cambiar hacia un enfoque basado en el riesgo y la inteligencia hacia la ciberseguridad, a diferencia de la dependencia de los sistemas de detección de intrusiones empleados con frecuencia en toda la industria.

Tanto el número de ciberataques como el nivel de sofisticación de cada ataque están aumentando y un enfoque basado en el riesgo de ciberseguridad puede ayudar a las organizaciones a mantenerse al día con las amenazas actuales contra ellas. Normalmente, los programas de gestión de vulnerabilidades no abordan realmente el riesgo cibernético. La mayoría de las vulnerabilidades y exposiciones comunes suelen ser graves y para las empresas resulta difícil saber si se están centrando en las correctas. La cuantificación del riesgo cibernético facilita la priorización de los riesgos. En un entorno en que los ciberataques no cesarán pronto o que incluso, aumenten en frecuencia, es beneficioso contar con un proceso que ayude a evaluar cuál de los riesgos son más críticos para una organización al clasificarlos en términos de sus posibles costos e implicaciones operativas.

Infortunadamente, en muchas organizaciones la alta dirección e incluso los auditores tienen arraigada una mentalidad de “lista de verificación" para reducir los riesgos, pero en muchas ocasiones no logra el objetivo principal de un programa de seguridad. Por ello, es conveniente tomar una nueva perspectiva sobre el programa de ciberseguridad y cumplimiento.

Un enfoque basado en riesgos es un método sistemático que identifica, evalúa y prioriza las amenazas a las que se enfrenta una organización. Es un método personalizable que permite a una empresa adaptar un programa de ciberseguridad a las necesidades organizativas específicas y vulnerabilidades operativas.

Para el caso de ciberseguridad, se puede emplear un enfoque basado en riesgo, en fases así:

  • Fase 1: Realizar un análisis de impacto empresarial (BIA)

Un BIA ayuda a identificar, documentar los procesos empresariales críticos y sus dependencias subyacentes, así como a evaluarlos y clasificarlos en función de la criticidad. Los factores técnicos y no técnicos se incluyen como dependencias (por ejemplo, activos, personal, datos, instalaciones y aplicaciones). El BIA revela cómo las operaciones y funciones clave afectarían la continuidad del negocio si fueran obstaculizadas o eliminadas.

  • Fase 2: Realizar una evaluación de riesgos

Una evaluación de riesgos es un proceso cuantitativo y cualitativo que permite identificar las amenazas, vulnerabilidades, requisitos normativos que se aplican a los procesos empresariales y dependencias subyacentes. Se calculan las posibles consecuencias si esas amenazas, se materializan y producirán un valor de salida de riesgo, lo cual permite comprender y ayudar a priorizar los diferentes riesgos a los que se enfrenta la organización. Esta salida es una de las mayores ventajas de este enfoque, produciendo métricas personalizadas basadas en cada organización. Conocer el valor de salida de riesgo permite clasificar vulnerabilidades específicas en un registro de riesgos, lo que simplifica enfocar los recursos estratégicos para mitigar los riesgos que representan la mayor amenaza para la continuidad de su negocio y el cumplimiento normativo.

  • Fase 3: Identificar e implementar los controles necesarios

En esta fase, se asumen los riesgos y se identifican, adaptan, implementan y asignan responsabilidades sobre los controles que mitigarían esos riesgos. Un control es una instrucción basada en la actividad, que proporciona instrucciones sobre cómo mitigar o minimizar los riesgos de seguridad. Existen algunos marcos de control de seguridad cibernética tales como HITRUST CSF, ISO 27001/27002 o COBIT. Estos son controles de seguridad prediseñados para la industria y que se pueden personalizar para su organización.

Identificar e implementar los controles correctos o necesarios, proporciona una estructura, una oportunidad para actualizar o crear políticas y procedimientos que solidifiquen, comuniquen la visión y las prioridades de la organización para su ciberseguridad.

  • Fase 4: Prueba, Validación e Informe

Una vez implementados los controles de seguridad, deben probarse y validarse. Ejemplos de varios tipos de pruebas, los cuales incluyen pruebas de penetración, evaluaciones de riesgos adicionales,  gestión de vulnerabilidades, ejercicios de continuidad del negocio, auditorías internas y evaluaciones de control de cumplimiento. Probar y validar, además de dar confianza en que los controles están funcionando y proporcionan la seguridad necesaria, al evaluarse periódicamente, proporcionan oportunidades para incorporar controles de seguridad recién implementados. A partir de allí es posible obtener el riesgo residual, que se documenta y se agrega a su registro de riesgo para su análisis y priorización futuras.

  • Fase 5: Monitoreo continuo y gobernanza

En esta última fase, el objetivo es hacer un proceso de negocio repetible. Las evaluaciones de riesgos deben realizarse al menos anualmente, y las actividades de reparación deben implementarse, supervisarse e incorporarse al registro de riesgos. Además, deben establecerse mecanismos de presentación de informes para que los empleados internos identifiquen y compartan riesgos potenciales para la organización. A menudo, los gerentes y otros empleados tienen información crítica sobre debilidades o violaciones de cumplimiento que pueden ocultarse al equipo de riesgo.

Un enfoque similar también se aplica a las excepciones y la administración de excepciones. Si los propietarios de procesos no pueden seguir la política, se puede completar una evaluación de riesgos evaluando los posibles daños del incumplimiento. Este proceso conducirá a un proceso de gestión de excepciones coherente y de mayor calidad.

Tomar un enfoque basado en riesgos, en lugar de una mentalidad basada en el cumplimiento primero o lista de verificación, en un programa de ciberseguridad producirá muchos beneficios, incluyendo una puntuación de riesgo personalizada, brechas priorizadas, controles personalizados y un ciclo más fuerte para abordar nuevos riesgos y vulnerabilidades, lo que se constituye en una valiosa herramienta para los auditores.

 

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Bienvenido a Auditool, la Red Mundial de Conocimiento para Auditoría y Control Interno. Le proporcionamos las mejores prácticas para la auditoría basadas en estándares internacionales, capacitación en línea y herramientas de auditoría y control interno. Le ayudamos a mejorar su práctica de trabajo, a ahorrar tiempo y a crear y proteger valor en sus clientes u organización.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.