Auditoría de TI

El auditor y la ciberseguridad

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool. 

Los riesgos en la seguridad informática a veces no parecen muy importantes para la alta dirección (incluso para algunos auditores). Sin embargo, una vez se materializan sus efectos pueden ser devastadores.

Hace algún tiempo, una pequeña firma de contadores en Georgia, EE. UU., tuvo que asumir un pago cercano a 500,000 USD. El origen del incidente ocurrió cuando un empleado de la empresa hizo clic en un enlace que conducía a un sitio de malware[1]. Luego, el malware descargó automáticamente un programa en los sistemas de la empresa, que luego encriptó todos los datos de sus clientes.

El trabajo de la empresa se detuvo, pues nadie tenía acceso a sus propios archivos. Peor aún, la información confidencial que les confiaban sus clientes estaba ahora en manos de alguien con malas intenciones. Luego de las negociaciones, que iniciaron en unos 700,000 USD a cambio de los datos, el valor se redujo a unos 450,000 USD. El rescate fue pagado, y los hackers le devolvieron a la empresa el acceso a sus archivos.

Otros ejemplos de incidentes de ciberseguridad que han ocurrido en el pasado y que ocuparon espacio en los medios fueron los siguientes:

  • Ciberataque al gobierno de Costa Rica en 2022: Conti es un grupo de ciberdelincuentes que operan un ransomware[2] con el mismo nombre, y suelen atacar a pymes y grandes empresas. Ellos fueron los responsables de un incidente que sumió a Costa Rica en el caos: Conti logró entrar en los servidores del Ministerio de Hacienda costarricense. A mediados de mayo del año pasado otros criminales lograron lo propio en la seguridad social del país. Todo esto provocó que el gobierno declarara el estado de alerta y el FBI ofreciese una recompensa de 10 millones de dólares por el líder de la banda. Mientras duró el ataque, el país se vio obligado a apagar plataformas electrónicas tan cruciales como las que emplean para la recaudación de impuestos.
  • El ataque WannaCry: en 2017, un ransomware llamado WannaCry afectó a más de 200,000 computadoras en 150 países. Este ransomware aprovechó una vulnerabilidad en el sistema operativo Windows y exigía un rescate para liberar los archivos encriptados.
  • El robo de datos de Equifax: en 2017, la compañía crediticia Equifax sufrió un ciberataque en el que se robaron los datos personales de al menos 143 millones de personas, incluyendo sus nombres, direcciones, fechas de nacimiento y números de seguridad social.
  • El hackeo de Sony Pictures: en 2014, Sony Pictures sufrió un ciberataque en el que los piratas informáticos filtraron correos electrónicos, documentos y películas no publicadas. Se cree que el ataque fue realizado por el gobierno de Corea del Norte en respuesta a una película que se burlaba del líder norcoreano Kim Jong-un.
  • El hackeo de Yahoo: en 2013, Yahoo sufrió un hackeo que afectó a todos sus 3 mil millones de cuentas de usuarios. La información personal como nombres, direcciones de correo electrónico, fechas de nacimiento y contraseñas fue comprometida.

Estos incidentes ponen de relieve la creciente amenaza de los ataques cibernéticos a las pequeñas y medianas empresas. Con el aumento del trabajo remoto y las transacciones en línea, las empresas son cada vez más vulnerables a los ciberdelincuentes. Infortunadamente, las pequeñas empresas a menudo son vistas como objetivos fáciles, ya que pueden no tener el mismo nivel de infraestructura de ciberseguridad que las organizaciones más grandes.

Esto ha hecho que la ciberseguridad sea un tema crítico para las empresas debido al aumento constante de los ataques cibernéticos, y la necesidad de cumplir con los requisitos legales y reglamentarios.

En este entorno, los auditores son responsables de revisar los sistemas de seguridad y proporcionar recomendaciones para mejorar la ciberseguridad y proteger la información empresarial sensible. En particular, la auditoría de ciberseguridad implica la revisión de la política de seguridad de una organización, la identificación de vulnerabilidades en la red, el análisis de la protección de los datos confidenciales, la evaluación del cumplimiento de los estándares de seguridad y la revisión de la capacitación y conciencia de seguridad del personal.

Toda vez que la ciberseguridad es un tema crucial para los auditores, a continuación, se presentan algunas medidas de seguridad que, si bien parecen sencillas y por lo mismo en ocasiones se pasan por alto, son bastante útiles y se pueden tomar para proteger la información de las organizaciones y garantizar la seguridad de los sistemas informáticos.

  • Realizar una evaluación de riesgos: antes de comenzar la auditoría, es importante realizar una evaluación de riesgos para identificar las áreas más vulnerables y diseñar un plan de seguridad adecuado.
  • Mantener actualizado el software de seguridad: los auditores deben asegurarse de que los sistemas estén actualizados con la última versión del software de seguridad, incluyendo antivirus, cortafuegos y protección contra malware.
  • Utilizar contraseñas seguras: las contraseñas deben ser seguras y complejas para evitar el acceso no autorizado. Se recomienda el uso de contraseñas diferentes para cada cuenta y cambiarlas regularmente.
  • Utilizar la autenticación de dos factores: la autenticación de dos factores (2FA) proporciona una capa adicional de seguridad al requerir una segunda forma de autenticación para acceder a una cuenta.
  • Realizar copias de seguridad: se deben hacer copias de seguridad regularmente para asegurar que la información crítica se pueda recuperar en caso de un ataque o un error humano.
  • Establecer políticas de seguridad: es importante establecer políticas de seguridad claras y comunicarlas a todos los empleados. Las políticas deben incluir reglas sobre el uso de contraseñas, acceso a información confidencial, instalación de software, entre otros.
  • Capacitación de los empleados: la capacitación de los empleados sobre las mejores prácticas de seguridad es crucial para garantizar que todos entiendan los riesgos y sepan cómo proteger la información de la empresa.
  • Monitoreo constante: los auditores deben monitorear constantemente los sistemas para detectar posibles amenazas y tomar medidas preventivas de manera oportuna.

Estas fueron algunas medidas de seguridad que los auditores deben tener en cuenta en sus observaciones y recomendaciones para proteger la información de las empresas y garantizar la seguridad de los sistemas informáticos.

Finalmente, es importante recordar que la seguridad de la información es un proceso continuo y que se deben implementar medidas de seguridad adecuadas en todas las etapas de la auditoría.

 

[1] El malware es un programa informático cuya principal característica es que se ejecuta sin el conocimiento ni autorización del propietario o usuario del equipo infectado, y realiza funciones en el sistema que son perjudiciales para el usuario y/o para el sistema.

[2] Un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta.

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado