Auditoría de TI

Por: CP Iván Rodríguez. Colaborador de Auditool.

Una de las preocupaciones de la alta dirección de las organizaciones es la ciberseguridad, pues no existe una manera única de abordar los riesgos informáticos y, en ese sentido, tampoco existe un plan estándar que garantice la seguridad frente a las diferentes amenazas. A esto se suma el cambio en las fuentes de riesgo y el descubrimiento de vulnerabilidades asociadas.

De otra parte, en la medida en que se incorporan a las redes nuevos equipos, archivos y sistemas, es más difícil mantener el control. Cada vez hay más puntos de acceso, más personas que interactúan y, por tanto, más vulnerabilidades y riesgos. De ahí la importancia que tiene para la alta dirección, incluida la auditoría, conocer y evaluar el riesgo de ciberseguridad de la organización.

Recientemente, en el portal web de la asociación ISACA (Information Systems Audit and Control Association), se publicó un artículo que plantea las siguientes preguntas que traduzco y adapto a continuación:

Capacitación

• ¿Se lleva a cabo en la organización una capacitación sólida y frecuente de concientización sobre ciberseguridad para usuarios finales?
• ¿Existen procedimientos debidamente divulgados a todos los empleados sobre cómo almacenar contraseñas de forma segura?
• ¿Se llevan a cabo campañas periódicas para prevenir el phishing, el smishing y el vishing?
• ¿Al interior de la organización hay un entendimiento del riesgo asociado con la ciberseguridad, métodos y procedimientos usados por los actores de amenazas y cómo se debe informar cualquier actividad sospechosa para una mayor investigación?

Control de acceso

• ¿Se adoptan medidas como cambiar o deshabilitar las cuentas predeterminadas de los proveedores de servicios?
• ¿Se mantienen habilitados exclusivamente los servicios, protocolos y funciones necesarios?
• ¿Se eliminan o deshabilitan las funcionalidades innecesarias en programas o aplicativos?
• Cuando un empleado se retira, ¿todas las cuentas asociadas al empleado se desactivan o eliminan inmediatamente al finalizar el empleo?
• ¿Se configuran tiempos de inactividad de la pantalla y se requiere autenticación para el desbloqueo?

Gestión de eventos

• ¿Los dispositivos empleados en la organización generan registros?
• ¿Se almacenan todos los registros durante un período de tiempo mayor a un año?
• ¿Todos los registros se revisan de manera frecuente (si es el caso diariamente) por alguien interno y/o externo?
• De presentarse algún incidente, ¿se adelanta un proceso de análisis e investigación robusto (interno o en conjunto con terceros)?

Arquitectura de seguridad

• ¿Solo les entrega a los empleados, los recursos y el acceso necesarios para realizar sus funciones laborales?
• ¿Se cuenta con un proceso de autenticación robusto para todas las conexiones fuera de la red?
• ¿Existen los debidos controles y registros para que los usuarios de la red interna accedan a la infraestructura y los datos clave dentro de esta?
• ¿Se administran apropiadamente todas las credenciales, de manera que se permita realizar rápidamente un restablecimiento de contraseña para cada cuenta en la red?
• ¿Se revisa periódicamente el directorio activo (Active Directory) para asegurarse de que está configurado y protegido correctamente?
• ¿Se cuenta con firewalls robustos y apropiados para la protección de la red y de la información?

Criptografía

• ¿Están definidos e implementados los procedimientos apropiados para proteger las claves criptográficas que se utilizan para resguardar los datos almacenados y así evitar la divulgación y el uso indebido?
• ¿Se almacenan las claves criptográficas en la menor cantidad posible de ubicaciones y cuentan con al menos dos custodias?
• ¿Se utiliza el cifrado de disco completo en los casos en que se considera necesario?
• ¿Existen procesos de cifrado fuerte para ciertos accesos e información importante?

Ensayos y pruebas

• ¿Se realiza, al menos, una prueba de penetración al año ejecutada por un tercero?
• ¿Se realizan análisis de vulnerabilidades de rutina y se corrigen todas las vulnerabilidades detectadas en plazos breves?
• ¿Se ejecuta un escaneo rutinario de la infraestructura orientada a internet en busca de vulnerabilidades?
• ¿Se realiza un informe periódico de análisis de impacto en el negocio?
• ¿Se realiza un informe periódico de análisis de riesgos con el apoyo de expertos?

Políticas

• ¿La organización cuenta con una política de seguridad empresarial que se actualice regularmente y que abarque los diferentes procesos empresariales?
• ¿Se cuenta con una política formal de control de cambios?

Las respuestas a estas preguntas contribuyen a determinar si se han tomado las medidas que tienden a reducir los riesgos asociados con la ciberseguridad. Ahora, si bien las anteriores preguntas, así como las respuestas obtenidas pueden dar un primer panorama del estado del riesgo de ciberseguridad de una organización, no se constituyen en una lista exhaustiva, pero son un punto de partida al respecto. Los auditores deben profundizar sus evaluaciones en función de la naturaleza y características propias de la organización.

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.