Identificarse


0
Comparte:

Ratio: 4 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio desactivado
 

 

Por: CP Iván Rodríguez. Colaborador de Auditool 

El marco de ciberseguridad del NIST

El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology por sus siglas en inglés) y que hace parte del Departamento de Comercio de EE. UU. Ha diseñado un Marco de Ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. En dicho Marco de Ciberseguridad se destacan estas cinco áreas: identificación protección, detección, respuesta y recuperación. Se presentan algunas líneas de acción por áreas, que el auditor debe conocer para evaluar o recomendar:

1. IDENTIFICACIÓN     

  • Es necesario identificar los procesos y activos críticos de la empresa. Conocer cuáles son las actividades de la empresa que necesariamente deben continuar para ser viables.
  • Los flujos de información de documentos deben determinarse. Es importante no solo comprender qué tipo de información recopila y utiliza la empresa, sino también comprender dónde se encuentran y como fluyen los datos, especialmente cuando se mantienen contratos con socios externos.
  • Debe mantenerse actualizado el inventario de hardware y software. Deben conocerse sus características, ya que con frecuencia son los puntos de entrada de programas y aplicativos maliciosos. Este inventario no tiene por qué ser complejo, podría ser tan simple como una hoja de cálculo.
  • Es conveniente establecer políticas y procedimientos para la ciberseguridad que incluyan roles y responsabilidades. Deben describir claramente las expectativas sobre cómo las actividades de ciberseguridad protegerán la información y sistemas y cómo soportan los procesos empresariales críticos. Las políticas de ciberseguridad deben integrarse con otras consideraciones de riesgo empresarial (por ejemplo, financieras, reputacionales, etc).
  • Deben identificarse amenazas, vulnerabilidades y riesgos para los activos. Hay que asegurarse de que se establezcan y administren procesos de gestión de riesgos para garantizar que se identifiquen, evalúen y administren las amenazas internas y externas, lo cual debe documentarse debidamente en registros de riesgos.

2. PROTECCIÓN

  • Es conveniente administrar el acceso a los activos y la información. La compañía debe crear cuentas únicas para cada empleado y asegurarse de que los usuarios solo tengan acceso a la información, las computadoras y las aplicaciones que necesitan para sus trabajos. Hay que administrar y rastrear estrictamente el acceso físico a los dispositivos.
  • Deben protegerse los datos confidenciales. Hay que asegurarse de que estos datos estén protegidos por cifrado bien sea mientras se almacenan en las computadoras como cuando están almacenados o transmitidos a otras partes. Hay que eliminar y/o destruir datos de forma segura cuando ya no sean necesarios para fines de cumplimiento.
  • Realizar copias de seguridad periódicas es útil. Una buena práctica es mantener un conjunto de datos de copia de seguridad frecuente fuera de línea para protegerlo contra el ransomware.
  • Hay que proteger los dispositivos de forma segura. Se podrían instalar firewalls basados en host[1] y otras protecciones, como productos de seguridad para endpoints[2].
  • Deben administrarse las vulnerabilidades de los dispositivos. Hay que actualizar regularmente tanto el sistema operativo como las aplicaciones que están instaladas en sus computadoras y otros dispositivos para protegerlos de los ataques.
  • Hay que capacitar a los usuarios de manera regular para asegurarse que conocen las políticas y procedimientos de ciberseguridad empresarial y sus roles y responsabilidades específicas como condición de empleo.
  • Deben implementarse políticas formales para la eliminación segura de archivos electrónicos y dispositivos en desuso.

3. DETECCIÓN

  • Es importante desarrollar y probar procesos y procedimientos para detectar acciones no autorizadas en las redes y en el entorno físico, incluida la actividad del personal.
  • Hay que mantener y supervisar los registros que permitan identificar anomalías en las computadoras y aplicaciones de la empresa, tales como cambios en los sistemas o cuentas, así como el inicio de canales de comunicación.
  • Conocer los flujos de datos esperados para la empresa hace que sea más probable notar cuándo lo inesperado sucede. Los flujos de datos inesperados pueden incluir información del cliente que se exporta desde una base de datos interna y sale de la red.
  • Debe comprenderse el impacto de los eventos de ciberseguridad. Hay que trabajar rápida y exhaustivamente para comprender la amplitud y profundidad del impacto. Así como comunicar información sobre el evento con las partes interesadas apropiadas.
  • Hay que monitorear las computadoras para controlar si se detecta acceso de personal no autorizado a las computadoras, dispositivos (soportes de almacenamiento de datos de tipo USB) y software. Debe revisarse la red para controlar si se detectan usuarios o conexiones no autorizados.

4. RESPUESTA

  • Los planes de respuesta deben probarse para asegurarse de que cada persona conozca sus responsabilidades en su ejecución. Cuanto mejor preparada esté la organización, más efectiva será la respuesta. Así mismo hay que asegurarse que los planes de respuesta estén actualizados. El plan debe permitir mantener en funcionamiento las operaciones del negocio.
  • Coordinar con las partes interesadas internas y externas es útil. Hay que asegurarse que los planes de respuesta y las actualizaciones incluyan a todas las partes interesadas clave y proveedores de servicios externos. Pueden contribuir a mejoras en la planificación y ejecución.

5. RECUPERACIÓN

  • Hay que comunicarse con las partes interesadas internas y externas luego de la ocurrencia de un evento. Parte de la recuperación depende de una comunicación efectiva.
  • Hay que asegurarse que los planes de recuperación estén actualizados. La ejecución de pruebas mejorará la conciencia de los empleados y socios y destacará las áreas de mejora. Asegúrese de actualizar los planes de recuperación con las lecciones aprendidas.
  • Deben gestionarse las relaciones públicas y la reputación de la empresa, para que al ejecutarse un plan de recuperación, el intercambio de información sea preciso, completo y oportuno, y no reaccionario.
  • Deben repararse y restaurar los equipos y las partes de su red que resultaron afectados.

Este conjunto de acciones y otras medidas complementarias, deben evaluarse e implementarse en lo pertinente, para gestionar mejor los riesgos y fortalecer el sistema de control inerno.

 

[1] Un firewall basado en host es una pieza de software de firewall que se ejecuta en una computadora o dispositivo individual conectado a una red. Los firewalls son programas de software o dispositivos de hardware que filtran y examinan la información que viene a través de su conexión a Internet.

[2] Un EndPoint es un dispositivo informático remoto que se comunica con una red a la que está conectado. Los ejemplos de incluyen: ordenadores de escritorio, computadores portátiles, tabletas, etc.

 

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia

 


Regístrese para que pueda comentar este documento

Auditool.org

Bienvenido a Auditool, la Red Mundial de Conocimiento para Auditoría y Control Interno. Le proporcionamos las mejores prácticas para la auditoría basadas en estándares internacionales, capacitación en línea y herramientas de auditoría y control interno. Le ayudamos a mejorar su práctica de trabajo, a ahorrar tiempo y a crear y proteger valor en sus clientes u organización.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.