Auditoría básica de SI: Preparación para la auditoría de nuevos riesgos, Parte 1

Este es el primero de dos artículos intentando algo imprudente: predecir el riesgo futuro que surge de los sistemas de información y de la tecnología. Estas páginas es una invitación a los lectores a discutir y sugerir cosas que falten, supuestos incorrectos y cómo el rol de los auditores puede cambiar como resultado.

Existen dos dichos muy apropiados: "Mira hacia el futuro, porque allí es donde pasarás el resto de tu vida"¹ y, "El problema con el futuro es que normalmente llega antes de que estemos preparados para ello”.² Ambos dichos aplican a organizaciones que son tomadas por sorpresa antes de que incluso puedan considerar la emisión de una política y, también aplican a cualquier persona (incluyendo a los auditores).

Las tecnologías innovadoras tienen consecuencias no esperadas que se hacen evidentes después de haber sido adoptadas. Las auditorías antiguas eran como conducir un auto mirando el espejo retrovisor: concentrado en hechos pasados, buscando errores y recomendando mejoras. Ahora existen las auditorías basadas en riesgo, las cuales dependen de la aceptación de que el riesgo está en el futuro y, el enfoque más efectivo es la colaboración de aquellos que identifican y evalúan el riesgo. Mediante la apertura de un diálogo con la función de riesgo, con los custodios de los datos, los encargados de las operaciones de los sistemas de información/tecnología de la información (SI/TI) y creando conciencia en la alta dirección, fortalecemos el rol de consultoría en la función de auditoria interna. En este contexto, la responsabilidad por el seguimiento y la mitigación de los riesgos emergentes, sigue siendo de los auditados. También es necesario aceptar que los atacantes son inteligentes, trabajadores y posiblemente más motivados que los mismos defensores. Los atacantes tienen menos desafíos que enfrentar tales como trivialidades administrativas, justificación de gastos, política organizacional y la falta de interés de la alta dirección.

Por otro lado, las herramientas de ataque siguen siendo más sofisticadas y los activos de datos más valiosos y críticos. Uno de estos factores hace pensar que el riesgo futuro hoy sea más importante que nunca.

Dominios evolutivos de los SI/TI y su riesgo potencial: Lo "que se Sabe que se Sabe”

Los auditores no son responsables de la gestión o evaluación del riesgo, pero es importante que muestren interés en aquellos acontecimientos que pueden cambiar la exposición al riesgo en la organización. Se invita a los lectores a sugerir nuevos elementos a esta lista—incluye los ítems bosquejados en la figura 1.

Desafíos de la Auditoría de Gobernanza
Los miembros del directorio y los altos directivos (que conforman la llamada C-suite) tienen una amplia gama de responsabilidades, grandes demandas sobre su tiempo y atención e, inevitablemente, un conocimiento limitado de muchas disciplinas corporativas. Probablemente lo que menos conozcan sea sobre SI/TI.

Los gerentes de sistemas (CIOs) rara vez forman parte de la C-suite y, cuando las cosas funcionan, la función de SI/TI se vuelve invisible. Esto es hasta la hora de asignar el presupuesto, momento en el cual se plantea el tema de "¿por qué estamos gastando tanto en esto?". Dado que la información es intangible, sigue siendo un desafío cuantificar el retorno de la inversión (ROI) de los SI/TI.

Esto es lamentable porque tanto la estrategia (y lo que la apoya) como las políticas³ necesitan la participación informada y el compromiso del nivel ejecutivo. Esto puede conducir a dos resultados negativos posibles:

1. Las políticas⁴ no se emitan antes de que la falta de ellas cree una situación irreversible (como sucedió en muchas organizaciones con los medios de comunicación social, al permitir que sus trabajadores trajeran al trabajo su propio dispositivo [bring your own device—BYOD]).
2. Cuando se emiten políticas, ellas no se entiendan ni se cumplan en las actividades del día a día.

Los SI/TI están omnipresentes en cualquier organización y pueden crear una ilusión de intuitividad y simplicidad, que en ningún caso es verdadera. El director ejecutivo de auditoría (CAE), los auditores de SI/TI y el comité de auditoría están bien posicionados para transmitir estos mensajes a los líderes de la organización y poder abordarlos a nivel estratégico.

El Desafío de la Auditoría en el Mundo Móvil
El desarrollo de las tecnologías móviles ha sido más rápida de lo que se esperaba; incluso algunos proveedores fueron tomados por sorpresa (teniendo que salirse del negocio). La realidad ahora es que los teléfonos inteligentes, los phablets y tablets están desplazando rápidamente el fácil entorno de control de las computadoras personales en red, introduciendo así nuevos riesgos a la organización.

A los auditores les debería preocupar los dispositivos de propiedad individual que se utilizan para acceder a los datos corporativos porque, como mínimo, puede ocurrir lo siguiente:

• Nadie es responsable de la seguridad de esos dispositivos—ni los diseñadores ni fabricantes de chips, ni los diseñadores de sistemas operativos o los diseñadores de aplicaciones (apps), ni los operadores de redes, proveedores de servicios de Internet u otros
• Los dueños de los dispositivos móviles pueden aprender fácilmente cómo eliminar las restricciones puestas por sus proveedores, "liberación" en los dispositivos iOS y "enrutamiento" en los dispositivos Android. Esta es una forma de escalamiento de privilegios, es decir, un método para obtener acceso a recursos que normalmente están protegidos por una aplicación o un usuario. Esto deja el dispositivo abierto a ataques cibernéticos y a fuga de información sensible.
• Las contramedidas contra la pérdida o el robo de un dispositivo que accede a datos corporativos sensibles o a malware se dividen en dos categorías: aumentar la conciencia de las buenas prácticas para proteger sus dispositivos y los datos que ellos contienen (una buena higiene)⁵ entre los propietarios/usuarios y utilizar productos tales como detección y protección antimalware. Hasta qué punto estas son implementadas, puede ser cuestionable.
• Debido a la dependencia de tales dispositivos, los auditores deben discutir con el nivel ejecutivo si estos dispositivos móviles deben ser incluidos en los planes de desastres y continuidad de negocio. Sin embargo, en la actualidad, raramente éste es el caso.
• La legislación sobre derechos individuales en materia de privacidad puede no permitir que una organización monitoree o audite tales dispositivos, dejando a la organización expuesta a riesgos desconocidos.

Entre los desarrollos de alto impacto a ser esperados en el mundo móvil, está una tienda de aplicaciones empresariales que proporciona software certificado, visualización de datos, análisis predictivo y realidad aumentada; de hecho, estas ofertas ya están en el horizonte. ¿Es posible predecir lo que vendrá después de esto?

Servicios de Externalización y la Nube
Mientras que la externalización u outsourcing lleva ya muchos años y que es bien entendida, el crecimiento del uso de la nube ha sido más rápido de lo que muchos esperábamos, y los datos han migrado⁶ a este ambiente antes de que los dueños de datos pudieran considerar debidamente las implicaciones de hacerlo. Dado que la responsabilidad operacional se ha transferido a un tercero, esto puede crear la reacción "ojos que no ven, corazón que no siente".

Las corporaciones de negocios almacenan información personal y confidencial en la nube. Sin embargo, sus acuerdos contractuales pueden no tener una provisión adecuada para la auditoría de cómo el proveedor de servicios protege esta información contra el acceso no autorizado de terceros y de su propio personal.

La forma para evaluar este riesgo individual y cómo hacerlo (si es que es posible) debe ser discutida con el proveedor de servicios, y la discusión necesita reflejar la criticidad y la sensibilidad de los datos en cuestión. Este riesgo podría cambiar rápidamente si se produce una consolidación del mercado de proveedores de servicios en la nube que involucre fusiones, adquisiciones y enajenaciones.

Estos problemas se suman a la ya larga lista de cosas que los auditores deben considerar incluir en su estrategia y planes de auditoría relacionados con la nube.

Software
Este tema es tan grande que podría servir para un libro. Lo siguiente proporciona sólo una vista de alto nivel:

• Computación de usuario final (EUC)—Esto incluye a las planillas de cálculo, bases de datos personales y aplicaciones pequeñas. Nadie sabe exactamente qué hay "allá afuera", indocumentado, no probado y posiblemente de calidad cuestionable. Esto no impide que estos archivos se utilicen para apoyar decisiones comerciales críticas.
• Aplicaciones para dispositivos móviles—Aplicaciones que son fáciles de comprar, descargar e instalar, pero también pueden introducir programas maliciosos integrados. Además, los proveedores de los dispositivos añaden aplicaciones que el comprador no puede eliminar. Los usuarios que hacen fuga a sus dispositivos crean un riesgo adicional. Todas estas cosas son difíciles de auditar y presentan un riesgo desconocido.
• Componente sacado del estante (COTS)—El software de paquete y/o personalizado, tales como los planificación de recursos empresariales (ERP) y los gestión de relaciones con el cliente (CRM) no serán discutidos en este artículo, porque ellos existen desde hace mucho tiempo y, por lo tanto, han sido ampliamente auditados.

El software personalizado⁷ tiene necesidades de auditoría específicas las que incluyen controles integrados (por ejemplo, controles de acceso, privilegios, segregación de tareas) y código tóxico de las puertas traseras, bombas lógicas u otras características que los programadores pueden explotar a voluntad. Los auditores están muy conscientes de estos problemas.

Las técnicas de programación tales como las arquitecturas orientadas al servicio y los software emergentes—de arquitectura definida, no pueden ser auditados sin tener un conocimiento sustancial de lo que implican—otro desafío más para los auditores.

Conclusiones Parciales

En esta columna se discute el aspecto "fácil" de un nuevo riesgo. Por ahora, deberíamos haber reconocido estos aspectos y haber comenzado a auditar aquellas áreas para las cuales existen directrices (ciertamente no muchas). La parte 2 de esta serie se centrará en temas más especulativos.

¹ George Burns, 1896-1996, US comedian, actor and producer
² Arnold H. Glasow, 1905-1998, US businessman
³ Lyra, M. R.; J. C. F. Simoes; “Checking the Maturity of Security Policies for Information and Communication,” ISACA Journal, vol. 2, 2015, www.isaca.org/resources/isaca-journal/issues
⁴ IBM MaaS360, “Bring Your Own Device—Ten Commandments,” www2.maas360.com/services/maas360-ten_commandments_of_byod_bring-your-own-device.php
⁵ Gelbstein, E.; “Imperfect Technologies and Digital Hygiene: Staying Secure in Cyberspace,” ISACA Journal, vol. 5, 2014, www.isaca.org/resources/isaca-journal/issues
⁶ Gelbstein, E.; V. Polic; “Data Owners’ Responsibilities When Migrating to the Cloud,” ISACA Journal, vol. 6, 2014, www.isaca.org/resources/isaca-journal/issues
⁷ A three-part IS Audit Basics Column, “Large Software Projects,” will cover this topic and are to be published in upcoming issues of the ISACA Journal