Por: CP Iván Rodríguez. Colaborador de Auditool
Hace unos meses, se presentó un informe[1] con los resultados de una auditoría de desempeño realizada por la Oficina del Auditor General de Canadá, en la que se evaluó si el gobierno federal de Canadá dispone de herramientas adecuadas y coordinadas para proteger sus redes y sistemas frente a ciberataques. El análisis de la auditoría muestra que el gobierno canadiense dispone de herramientas y servicios de ciberseguridad, pero existen brechas importantes en monitoreo, coordinación y uso uniforme de estas herramientas, lo que puede afectar la capacidad de responder eficazmente a ataques cibernéticos. Dentro de los aspectos positivos, están los siguientes:
Existe una estrategia nacional de ciberseguridad
En mayo de 2024 se lanzó la Government of Canada Enterprise Cyber Security Strategy, considerada sólida y bien estructurada. Sus objetivos principales incluyen:
• Identificar y gestionar riesgos cibernéticos.
• Fortalecer la prevención frente a ataques.
• Aumentar la resiliencia del gobierno.
• Desarrollar talento especializado en ciberseguridad.
Existen servicios avanzados de ciberseguridad
El gobierno desarrolló herramientas importantes para proteger sus redes, como sensores de defensa cibernética (que permiten detectar eventos sospechosos, incidentes y ataques cibernéticos)
• Sensores de red (desde 2010)
• Sensores en dispositivos o endpoints (desde 2012)
• Sensores en la nube (desde 2019)
Sin embargo, algunas de las debilidades o fallas advertidas fueron:
Uso inconsistente de los servicios de ciberseguridad
No todas las entidades federales utilizan estos servicios. Existen 204 organizaciones federales, de la cuales solo 85 están obligadas a usar los servicios de ciberseguridad y las otras 119 organizaciones pueden decidir voluntariamente usarlos. Entre estas últimas: el 80% no usan el servicio seguro de internet del gobierno y un 36% no usan sensores de ciberdefensa. Esto crea brechas en la defensa global del sistema gubernamental.
Hay problemas en monitoreo y detección de amenazas
Existía un proyecto para mejorar el monitoreo, llamado Security Information and Event Management (SIEM). Sin embargo, hubo retrasos del proyecto, problemas de presupuesto y el proyecto suspendido en 2024 por falta de financiamiento, lo cual limita la capacidad del gobierno para identificar ataques rápidamente.
Falta de inventarios completos de activos tecnológicos
Las entidades responsables no tenían un inventario actualizado de todos los dispositivos y sistemas del gobierno. Esto implica que algunos equipos pueden no estar protegidos, no se conocen todas las vulnerabilidades y es difícil aplicar parches de seguridad.
El auditor concluyó que si bien el gobierno tiene capacidades importantes de ciberseguridad, aún existen deficiencias estructurales que deben resolverse.
Ahora bien, si se analiza el informe desde la óptica del marco COSO, se aprecia lo siguiente:
Entorno de control (Control Environment)
Debilidades: No todas las organizaciones federales están obligadas a usar los servicios de ciberseguridad, lo que genera protección fragmentada, diferentes niveles de seguridad y debilidad en el cumplimiento de controles. Esto indica debilidad en la disciplina organizacional y en la aplicación uniforme de políticas de control.
Evaluación de riesgos (Risk Assessment)
Debilidades: El informe identifica fallas en la identificación completa de riesgos debido a inventarios incompletos de activos tecnológicos y falta de visibilidad sobre todos los dispositivos del gobierno.
Actividades de control (Control Activities)
Debilidades: Se detectaron varios problemas de control. Tales como el uso inconsistente de controles, puesto que muchas organizaciones no utilizan los servicios de seguridad disponibles. También hay retrasos en herramientas clave pues el sistema de monitoreo SIEM fue suspendido por problemas de financiamiento. Así mismo hay un inventario incompleto de activos
Información y comunicación
Debilidades críticas detectadas: El informe señala que durante un ataque cibernético tomó 7 días compartir información crítica entre entidades. Esto permitió que el atacante mantuviera acceso a sistemas durante más tiempo.
Monitoreo (Monitoring Activities)
Debilidades: Los retrasos en proyectos de seguridad muestran problemas en el seguimiento operativo, tales como proyectos tecnológicos prolongados, presupuestos modificados e implementación lenta de mejoras.
Aplicando el marco COSO puede decirse, con base en el informe examinado, que el gobierno de Canadá cuenta con un marco institucional sólido y controles tecnológicos avanzados, pero el sistema de control interno presenta debilidades en integración organizacional, gestión de activos tecnológicos, comunicación durante incidentes e implementación uniforme de controles. El sistema puede calificarse como maduro pero con brechas operativas que afectan su eficacia global frente a ciberataques.
Este es un ejemplo de cómo el auditor puede enfocar su análisis y resultados con base en el marco COSO, de manera que se obtenga un informe que facilite un posterior seguimiento y permita presentar los hallazgos de una manera estructurada y alineada con buenas prácticas de control.
[1] Ver: Cyber Security of Government Networks and Systems
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario