Saltar al contenido

Auditoría Interna y Ciberseguridad

OCH Blog ciberseguridad

Este contenido es producido por OCH Group, Independent Member de GGI en Colombia.

La auditoría interna enfrenta desafíos significativos en la era digital, especialmente en ciberseguridad, dada la constante inversión tecnológica de algunas compañías y la falta de gestión en riesgos cibernéticos. Revisar a fondo la ciberseguridad se vuelve crucial en un entorno expuesto a amenazas como Ransomware y Phishing. El rol del Auditor Interno va más allá de la revisión independiente, requiriendo un profundo entendimiento de los riesgos emergentes asociados con los ataques cibernéticos. Una guía elaborada por Asobancaria, propone medidas clave: entender la organización, analizar y segmentar riesgos, abordar ciberincidentes en etapas, entre otras. En el presente blog se explicarán algunas prácticas a tener en cuenta frente a este riesgo.

Autor: Felipe Lopera Bohórquez / Semisenior Riesgos & Tecnología

 

La Auditoría Interna enfrenta desafíos significativos en la era digital, especialmente en relación con la ciberseguridad, exacerbada por las inversiones constantes en tecnología por parte de algunas compañías para digitalizar sus procesos. Revisar a fondo la ciberseguridad es crucial en un entorno cada vez más expuesto a ciberamenazas estratégicas y a gran escala, como el Ransomware, el Phishing, la ingeniería social, los ataques a la cadena de suministro, etc. Las empresas necesitan fortalecer sus defensas mediante auditorías de ciberseguridad que les permitan identificar y gestionar riesgos potenciales antes de que se materialicen en violaciones de datos, mala reputación y pérdidas económicas.

Bajo este panorama se recoge un documento denominado “Guía de buenas prácticas para auditar la Ciberseguridad”, el cual fue elaborado por Asobancaria (Asociación Bancaria y de Entidades Financieras de Colombia) en junio del 2022, el cual recopila lineamientos que apoyan a las áreas de auditoría interna frente a los riesgos cibernéticos, considerando la ciberseguridad como un paradigma que transforma la seguridad convencional. Es por esto que la guía propone lo siguiente:

  1. Entendimiento de la organización: Es crucial conocer la organización para definir una estrategia de ciberseguridad adecuada. Esto implica identificar objetivos que podrían ser vulnerables a ataques y establecer áreas prioritarias de revisión.
  2. Análisis y segmentación del riesgo: Se deben evaluar diferentes riesgos cibernéticos, como disponibilidad de TIC, seguridad de datos y externalización de servicios. Este análisis debe mapear interacciones entre sistemas y clasificar activos de información.
  3. Aproximación por etapas: Se propone dividir los ciberincidentes en tres fases: entrada, movimientos laterales y ataque. La Auditoría Interna debe abordar estas fases de manera progresiva para evidenciar riesgos significativos de ciberseguridad.
  4. Manifiesto de pruebas: Se deben establecer tipos de pruebas considerando el perfil de riesgo de la organización. Las pruebas deben realizarse con precaución para no interrumpir operaciones críticas.
  5. Acuerdo con el blue team: Se propone un esquema de trabajo Red Team vs Blue Team, donde el equipo de auditoría represente al Red Team y el área de seguridad actúe como Blue Team. Se deben acordar las pruebas permitidas y la comunicación entre ambos equipos.
  6. Árbol de decisión de pruebas: Se sugiere un diseño de pruebas en forma de árbol de decisión, considerando diversos escenarios de falla. Es importante tener en cuenta que la seguridad perimetral puede no ser efectiva en entornos cibernéticos.
  7. Determinación de acciones: Se deben definir acciones ante cada posible escenario, priorizando la seguridad de la organización. Se debe establecer un equilibrio entre la explotación de vulnerabilidades y la seguridad operativa.
  8. Pruebas de concepto: Se proponen ejemplos de pruebas para evaluar diferentes escenarios de vulnerabilidad, como fuga de información y hacking de cuentas.
  9. Pruebas de entrada: Se detallan diversas técnicas de ingeniería social y de acceso a redes para simular ataques.
  10. Pruebas de movimientos laterales: Se describen pruebas para controlar sistemas y realizar reconocimientos en la red interna.
  11. Pruebas de ataque: Se plantean pruebas para acceder a información estratégica, afectar la plataforma bancaria y plantear escenarios de daño a la entidad.
  12. Ejecución iterativa: Se recomienda un enfoque iterativo en la ejecución de pruebas, permitiendo ajustes según avances y nuevos hallazgos.
  13. Reporting: El informe de auditoría debe contener hallazgos claros y concretos, evitando términos técnicos complicados. Se debe destacar el potencial impacto económico o reputacional de los hallazgos.

La auditoría, como tercera línea de defensa, necesita transformar sus procesos y capacidades para garantizar un control interno efectivo en ciberseguridad, alineando sus programas con estándares internacionales como NIST, COBIT 5 e ISO. Esto aseguraría una adecuada gestión del riesgo cibernético y permitiría a las organizaciones no solo identificar eventos de ciberseguridad, sino también reaccionar de manera efectiva y resiliente ante ciberataques, una creciente preocupación para las empresas y especialmente para las entidades financieras. Además, el rol del Auditor Interno va más allá de la revisión independiente de las líneas de defensa, requiriendo un entendimiento profundo del perfil de riesgo de la organización en el contexto de las nuevas tecnologías y los riesgos emergentes asociados con la sofisticación de los ataques cibernéticos.

 

Fuente:

¿Necesitas este servicio o nuestra asesoría?

Si este tema es de tu interés, requieres este servicio o nuestra asesoría, contacta al experto. Llámanos en Medellín al 6042666474, escríbenos vía e-mail a info@ochgroup.co o vía Whatsapp al 3012085777.

Etiquetas

Compartir este Post en:

Si este tema es de tu interés, requieres este servicio o nuestra asesoría, contacta al experto. Llámanos en Medellín al 6042666474 o vía Whatsapp al 3012085777.