Auditoría básica de SI: Auditando dispositivos móviles

Para cuando este artículo sea publicado, habrán pasado unos 20 meses desde que la Oficina Federal de Investigaciones (FBI), de los Estados Unidos, desbloqueó el iPhone del pistolero de San Bernardino, California, quien mató a 14 personas.¹ El requerimiento del FBI para que Apple creara un nuevo software que permitiera desbloquear el dispositivo móvil, tuvo fuertes opiniones sobre la encriptación y las puertas traseras,² las que aún no se han resuelto. Tengo simpatía por todos los involucrados pero, como técnico, creo firmemente que no deberían ser desarrolladas puertas traseras. Esta convicción se ha visto reforzada por los recientes ataques WannaCry³ y Petya,⁴ los que se desarrollaron utilizando el exploit filtrado por los Shadow Brokers, EternalBlue, el que se cree fue desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA).

Aunque esto es un tema crítico, no es el enfoque de esta columna, ni es algo que nosotros, como auditores de TI, podemos influenciar diariamente. Sin embargo, un aspecto de este caso que recibió poca, o ninguna cobertura, fue el hecho de que el Condado de San Bernardino poseía un software de administración de dispositivos móviles (MDM) que no estaba instalado en el dispositivo.⁵ Esto habría permitido a su departamento de TI desbloquear remotamente el teléfono y, en mi opinión, salvar la reputación de la organización en cuestión. Este es un riesgo que los auditores de TI sí podrían y deberían influenciar. Entonces, ¿cómo pueden los profesionales auditar los dispositivos móviles para ayudar a mitigar este y otros escenarios de riesgo?

En una columna anterior⁶ abogué por el uso de un documento de ISACA sobre la creación de programas de auditoría.⁷ Este proceso puede ser aplicado para crear un programa de auditoría para dispositivos móviles de una organización.

Determinar el objeto de la auditoria

Lo primero que se debe establecer es el objeto de la auditoría. ¿Qué significa un dispositivo móvil para la empresa? Si existen distintos tipos de dispositivos móviles en uso, probablemente deberían estar registrados como elementos separados del universo de auditoría. ISACA clasificó los dispositivos móviles (figura 1) en un documento oficial el 2012,⁸ mientras que en un documento técnico anterior⁹ se enumeraron los tipos de dispositivos móviles:

• Teléfonos móviles con todas las funciones, similares al computador personal o teléfonos inteligentes
• Computadoras portátiles y netbooks
• Computadoras tablets
• Asistente digital portátil (PDA)
• Dispositivos portátiles Universal Serial Bus (USB) para almacenamiento (tales como memorias USB y dispositivos MP3)
• Conectividad (tales como Wi-Fi, Bluetooth y tarjetas de módem HSDPA/UMTS/EDGE/GPRS)
• Cámara digital
• Identificación por radiofrecuencia (RFID) y dispositivos móvil de RFID (M-RFID) para almacenamiento de datos, identificación y gestión de activos
• Dispositivos habilitados con infrarrojos (IrDA) tales como impresoras y tarjetas inteligentes

En el 2017 sin duda los portables, incluidos los relojes inteligentes, pueden ser agregados a esa lista. La clave es usar la guía para considerar los dispositivos móviles en uso dentro de una empresa y determinar el (los) sujeto (s) de la auditoría. Es necesario responder a la pregunta clave: ¿qué se está auditando?

Determinar el objetivo de la auditoria

Una vez que se ha determinado qué está siendo auditando, es necesario establecer el objetivo de la auditoría. ¿Por qué esto está siendo auditado? Desde la perspectiva del auditor, es aconsejable adoptar una visión basada en el riesgo y definir los objetivos en consecuencia.¹⁰

• Identificar el riesgo asociado a los dispositivos (figura 2).
• Definir objetivos para cada categoría o tipo de dispositivo seleccionado; consultar el valor de la información y el riesgo de la información. Esta es la clave.
• Para cubrir un alcance razonable, centrarse en un número limitado de objetivos de auditoría.

Cabe señalar que, aunque el documento técnico de ISACA Asegurando los Dispositivos Móviles consideró la vulnerabilidad de la empresa que no administra el dispositivo, no consideró un escenario como en el Condado de San Bernardino. ¿La lección? Tómese algún tiempo considerando los escenarios de riesgos emergentes.

Los objetivos de auditoría deberían también corresponderse con los objetivos de seguridad y protección definidos por la empresa (figura 3).¹¹

Establecer el alcance de la auditoria

Cuando los objetivos de la auditoría han sido definidos, el proceso de determinación del alcance debe identificar los dispositivos móviles reales que necesitan ser auditados. En otras palabras, ¿cuáles son los límites de la auditoría? Esto podría incluir los dispositivos de un país, región o división específica; los dispositivos que son usados para un propósito específico; o los dispositivos que contienen datos especialmente sensibles. De nuevo, esto debería estar basado en el riesgo. Además, considere si deben ser incluidos los dispositivos de propiedad personal (traer tu propio dispositivo [BYOD]).

Realizar una planificación previa de la auditoria

Ahora que el riesgo ha sido identificado (figura 2), debe ser evaluado para determinar su importancia. Para establecer el alcance final de una auditoría basada en el riesgo, es fundamental conducir una evaluación de riesgos.¹² Cuanto más significativo sea el riesgo, mayor es la necesidad de aseguramiento. Las consideraciones de seguridad para los dispositivos móviles incluyen:¹³

• Política—¿Existe una política de seguridad para los dispositivos móviles? ¿Incluye reglas para un manejo físico y lógico apropiado? La empresa debe tener una política que aborde el uso de dispositivos móviles y especifique el tipo de información y los tipos de dispositivos y servicios de información a los que se puede acceder a través de estos dispositivos.
• Actualización de antivirus—Los auditores deben verificar que la empresa actualice el software antivirus para dispositivos móviles para evitar la perpetuación del malware.
• Cifrado—Los auditores deben verificar que los datos etiquetados como sensibles están asegurados adecuadamente mientras están en tránsito o en pausa.
• Transmisión segura—Los auditores deben determinar si los usuarios de los dispositivos móviles se están conectando a la red de la empresa a través de una conexión segura. VPN, IP Security (IPsec) o Secure Sockets Layer (SSL) pueden ofrecer algunos niveles de aseguramiento.
• Administración de dispositivos—Los auditores deben determinar si existe un proceso de administración de activos para rastrear los dispositivos móviles. Este programa de gestión de activos debe también detallar los procedimientos para pérdida o robo de los dispositivos, así como también procedimientos para los empleados que han sido despedidos o que han renunciado a la empresa.
• Control de acceso—Los auditores deben verificar que la sincronización de datos de los dispositivos móviles no esté configurada para acceder a archivos compartidos o unidades de red que contienen datos que están prohibidos por la política para el uso del móvil.
• Capacitación y sensibilización—El auditor debe verificar que la empresa tenga implementado un programa de concientización que aborde la importancia de asegurar física y lógicamente los dispositivos móviles. La capacitación también debe dejar en claro el tipo de información que puede y no puede ser almacenado en dichos dispositivos.
• Riesgo—Los dispositivos móviles tienen la capacidad de almacenar grandes cantidades de datos y presentan un alto riesgo de pérdida y fuga de datos. Como tal, las políticas de dispositivos móviles deberían ser creadas y aplicadas para garantizar que los activos de información no estén expuestos.

TEl uso de cualquier dispositivo móvil abarca varias relaciones y obligaciones legales que deben ser consideradas cuando se auditan o revisan dispositivos. En escenarios parcializados completos de BYOD, pueden surgir obligaciones legales adicionales por el hecho de que partes del dispositivo móvil (y la información) son considerados más allá del control de la empresa.¹⁴ Además, cuando el dispositivo es utilizado para fines privados—aun cuando sea una pequeña medida—inevitablemente surgirán materias de protección de datos personales y privacidad. En la mayoría de las jurisdicciones, la privacidad está protegida por ley y por regulaciones adicionales.¹⁵ Si existe alguna duda, es prudente buscar asesoramiento legal en la jurisdicción correspondiente.

Finalmente, el auditado debe ser entrevistado para preguntarle sobre actividades o áreas de interés que deberían ser incluidas en el alcance del trabajo. Una vez que el objeto, objetivo y alcance sean definidos, el equipo de auditoría puede identificar los recursos necesarios para realizar el trabajo de auditoría.¹⁶

Determinar los procedimientos de auditoría y los pasos para la recopilación de datos

En esta etapa del proceso de auditoría, el equipo de auditoría debería tener suficiente información para identificar y seleccionar el enfoque o estrategia de auditoría y comenzar a desarrollar el programa de auditoría.¹⁷ Existe suficiente información para decidir qué documentos se espera ver, qué leyes y regulaciones aplican, los criterios y a quién va a entrevistar el equipo de auditoría. Sin embargo, se necesita definir las pruebas que se harán.

En agosto de 2017, ISACA lanzó una versión actualizada de su Programa de Auditoria/Aseguramiento de Computación Móvil,¹⁸ que define las pruebas para los dispositivos móviles. Algunos lectores pueden haber pensado: “¿Por qué no solo declaró esto al comienzo de este artículo?” Me refiero a esos lectores de la primera columna de este autor.¹⁹ Los programas de auditoría deben ser considerados un punto de partida y ser ajustados en función de los riesgos y criterios que son relevantes para la organización auditada. De lo contrario, pueden resultar en un enfoque de lista de verificación, pudiendo llevar al auditor a recomendar controles que no son aplicables a la organización. Esto, a su vez, puede dañar la reputación del auditor con el auditado y, en última instancia, con la alta dirección.²⁰ Merece la pena dedicar tiempo considerando el riesgo y la consiguiente necesidad de aseguramiento (figura 4).

Los principales pasos de las pruebas en el programa de auditoría, incluyen los controles de las contraseñas y la configuración de la solución MDM seleccionada (si existe una). Las Guías de Implementación sobre Técnicas de Seguridad de Sistemas de Información (STIG), del Departamento de Defensa de los EE.UU (DoD),²¹ proporcionan una excelente orientación en estos y otros aspectos relacionados con la portabilidad.

Conclusión

Como los usos, capacidades de almacenamiento, potencia y proliferación de los dispositivos móviles ha aumentado, también aumenta el riesgo que representa para una empresa. Como principal defensor de la gestión de este riesgo, ISACA ha producido varios informes técnicos en esta área. Vale la pena consultar cada uno de estos documentos para desarrollar un programa de auditoría/aseguramiento que se adapte a la empresa. De lo contrario, puede resultar en un enfoque de lista de verificación, el cual puede conducir a una falla en la mitigación del riesgo clave y emergente.

Notas finales

¹ Burgess, M.; “FBI Unlocks Shooter’s iPhone Without Apple’s Help,” Wired, 29 March 2016, www.wired.co.uk/article/apple-fbi-unlock-iphone-5c-court-order-dropped
² Elmer-DeWitt, P.; “Apple vs. FBI: What the Polls Are Saying—Updated,” Fortune, 23 February 2016, http://fortune.com/2016/02/23/apple-fbi-poll-pew/
³ Symantec Security Response, “What You Need to Know About the WannaCry Ransomware,” 12 May 2017, https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
⁴ Symantec Security Response, “Petya Ransomware Outbreak: Here’s What You Need to Know,” 27 June 2017, https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
⁵ Finkel, J.; “Exclusive: Common Mobile Software Could Have Opened San Bernardino Shooter’s iPhone,” Reuters, 19 February 2016, www.reuters.com/article/us-apple-encryption-software-exclusive-idUSKCN0VS2QK
⁶ Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, www.isaca.org/resources/isaca-journal/issues
⁷ ISACA, “Information Systems Auditing: Tools and Techniques, Creating Audit Programs,” USA, 2016
⁸ ISACA, Securing Mobile Devices, USA, 2012
⁹ ISACA, Securing Mobile Devices, USA, 2010
¹⁰ Op cit, ISACA, 2012, p. 89
¹¹ Ibid.
¹² ISACA, Audit Plan Activities: Step-By-Step, USA, 2016
¹³ Op cit, ISACA, 2010, p. 9
¹⁴ Ibid., p. 91
¹⁵ Ibid., p. 94
¹⁶ Op cit, ISACA, 2016
¹⁷ Ibid.
¹⁸ ISACA, Mobile Computing Audit/Assurance Program, USA, 2017
¹⁹ Op cit, Cooke
²⁰ Ibid.
²¹ Department of Defense, Security Technical Implementation Guides (STIGs), USA, http://iase.disa.mil/stigs/mobility/Pages/index.aspx