Auditoria basica TI: Auditando el internet de las cosas

Recientemente tuve el honor de ser entrevistado por ISACA acerca de mi función como auditor de TI cuando comenzaron a planificar la actualización de las áreas de práctica de trabajo de la certificación Certified Information Systems Auditor (CISA) en el 2019. Al final de la entrevista, estuve algo sorprendido cuando me preguntaron qué tipo de personas se sienten atraídas por la auditoría de TI. Cuando dudé, yo pregunté si eran “introvertidos y tecnológicos”. Ahora, no puedo hablar por todos los auditores de TI, pero supongo que yo soy así.

Ciertamente, disfruto de la tecnología en todas sus figuras y formas, incluida la ciencia ficción. Soy especialmente fanático de “Star Trek”, mi favorita es “Star Trek: The Next Generation”. Sin embargo, como auditor de TI, ¿alguna vez te encuentras viendo un episodio y te preguntas: “¿Quién lo audita?” En serio, por ejemplo, cuando el Capitán Picard¹ le pide al replicador² una bebida caliente “Earl Grey”, caliente, ¿Qué significa “caliente”? ¿Qué tan caliente es “caliente”? ¿Alguien valida que es realmente “Earl Grey”?

Por supuesto, la verdadera razón por la que disfruto de “Star Trek” es que es un adivino de la tecnología. Ciertamente, el comunicador de insignia, el “tricorder”,³ las sondas, los sensores y el replicador predijeron el Internet de las cosas (IoT).⁴ Lo que me devuelve a mi pregunta original: ¿Cómo auditamos estos elementos?

Debo admitir que nunca audité ninguna de las tecnologías IoT. Soy un auditor experimentado, así que, si tuviera que auditarlos, realizaría cualquier investigación necesaria y haría un trabajo razonable. Sin embargo, la Norma de Auditoría y Aseguramiento de ISACA 1006, Competencia,⁵ requiere que yo tenga las habilidades y la competencia adecuadas, y un conocimiento adecuado de la materia.

¿Entonces, qué podemos hacer? Otro de los Estándares de Aseguramiento y Auditoría de ISACA 1206, que utiliza el trabajo de otros expertos, requiere que los profesionales de auditoría y aseguramiento de SI consideren usar el trabajo de otros expertos para el compromiso, según corresponda.⁶ En EuroCacs 2018, en Edimburgo, Escocia, asistí a una sesión “Auditando el IoT” por R. V. Raghu. Raghu tiene experiencia con estas tecnologías, así que me acerqué a él. Nuestros pensamientos combinados están enmarcados bajo los encabezados del ahora familiar documento de ISACA sobre la creación de programas de auditoría.⁷

Determinar el objetivo (tema) de auditoría

Lo primero que hay que establecer es tema de auditoría. Esto es más fácil decirlo que hacerlo ya que IoT no tiene una definición universalmente aceptada.⁸ ISACA ha definido IoT como cualquier persona o cosa que lleve software integrado que permita la interacción con otros objetos animados o inanimados a través de redes, incluida Internet. La interacción implica compartir y procesar información para influir en la toma de decisiones y/o acciones con o sin intervención humana.⁹ Ejemplos de aplicaciones comerciales o de negocios de (IoT), incluyen:¹⁰

• Electrodomésticos industriales
• Dispositivos para la profesión médica
• Dispositivos para la agricultura
• Dispositivos y características para la industria del automóvil

La clave es considerar todos los dispositivos de IoT en uso en su empresa y determinar los objetivos de auditoría. Debe responder a la pregunta clave: ¿qué está auditando?

Definir el objetivo de la auditoría

Una vez que hayamos decidido lo que estamos auditando, necesitamos establecer el objetivo de la auditoría. ¿Por qué lo estamos auditando? Desde la perspectiva de un auditor, es aconsejable adoptar una visión basada en el riesgo ver (figura 1) y definir los objetivos en consecuencia.

El riesgo técnico puede definirse adicionalmente como:¹¹

• Actualizaciones de software y parches. El tiempo para que se lance un parche puede ser más largo que el ciclo típico para dispositivos que no son IoT.
• Vida útil del hardware. Los dispositivos IoT tienen su propio ciclo de vida, a menudo con obsolescencia incorporada. Los componentes como las baterías no reemplazables en los dispositivos de IoT requieren procesos de planificación del ciclo de vida y de administración de activos específicos de IoT.
• Las ID de usuario y las contraseñas para controlar el acceso no existen o están duramente codificadas.
• Los dispositivos IoT pueden ser pirateados rápidamente, pero tardan días o semanas en rectificarse. Las consecuencias más amplias siguen siendo desconocidas porque es difícil saber lo que se ha visto, modificado o robado.
• Los ciberdelincuentes pueden plantar puertas traseras para futuros ataques automatizados en o desde dispositivos IoT; los ataques típicos incluyen ataques de cuello de botella del tipo de denegación de servicio distribuido (DDoS).
• Los piratas informáticos pueden usar dispositivos IoT como punto de entrada a las redes de una empresa.
• Los sistemas inteligentes de calefacción, ventilación y aire acondicionado (HVAC) y los medidores de energía pueden destruir la infraestructura crítica al bloquear y manipular los controles.

Establecer el alcance de la auditoría

Cuando los objetivos de la auditoría se hayan definido, el proceso de determinación del alcance debe identificar los dispositivos IoT actuales que deben ser auditados. En otras palabras, ¿cuáles son los límites de la auditoría? Es más fácil decirlo que hacerlo, ya que los dispositivos no son solo los sensores que incluyen el soporte de la infraestructura tales como los métodos de conectividad y recopilación de datos, la nube u otros medios de almacenamiento y los algoritmos utilizados para procesar los datos.

Realizar la planificación previa a la auditoría

Ahora que se han identificado los escenarios de riesgo, se deben evaluar para determinar su importancia. La realización de una evaluación de riesgos es fundamental para establecer el alcance final de una auditoría basada en riesgos.¹² Las consideraciones de aseguramiento para el IoT incluyen:¹³

• ¿Cómo se utilizará el dispositivo desde una perspectiva de negocios? ¿Qué procesos de negocios son compatibles y qué valor de negocio se espera que se genere?
• ¿Cuál es el entorno de amenaza para el dispositivo? ¿Qué amenazas se anticipan y cómo se mitigarán?
• ¿Quién tendrá acceso al dispositivo y cómo se establecerán y comprobarán sus identidades?
• ¿Cuál es el proceso para actualizar el dispositivo en caso de un ataque o vulnerabilidad publicado?
• ¿Quién es responsable de monitorear los nuevos ataques o vulnerabilidades relacionadas con el dispositivo? ¿Cómo realizarán ese seguimiento?
• ¿Se han evaluado todos los escenarios de riesgo y se han comparado con el valor de negocio previsto?
• ¿Qué información personal recopila, almacena o procesa los dispositivos y sistemas de IoT?
• ¿Las personas sobre las que se aplica la información personal saben que se está recopilando y utilizando su información? ¿Han dado su consentimiento a tales usos y recopilación?
• ¿Con quién se compartirán/divulgarán los datos?

Finalmente, el auditado debe ser entrevistado para preguntar sobre actividades o áreas de preocupación que deben incluirse en el alcance del compromiso de auditoría.

Determine los procedimientos de auditoría y los pasos para la recopilación de datos

En esta etapa del proceso de auditoría, el equipo de auditoría debe tener suficiente información para identificar y seleccionar el enfoque o la estrategia de la auditoría y comenzar a desarrollar el programa de auditoría.¹⁴ Sin embargo, los pasos de prueba deben ser definidos.

Es importante reiterar que IoT no tiene una definición aceptada universalmente; por lo tanto, no existen estándares universalmente aceptados de calidad, seguridad o durabilidad.¹⁵ Del mismo modo, no hay programas de auditoría/aseguramiento universalmente aceptados.

Por lo tanto, se propone revisar los distintos aspectos de IoT considerando (figura 2):

• Controles de línea base generales—Controles mínimos que deben aplicarse a todos los aspectos de la tecnología.
• Controles relacionados con los datos—Como los controles que se aplican a los datos que forman una parte clave de IoT.
• Controles relacionados con el análisis y el aprendizaje—Se aplican para garantizar que el análisis sea ético y permita un uso confiable de los datos y que los resultados del análisis puedan aplicarse a la toma de decisiones de negocios.
• Alineación de procesos y negocios—Aspectos relacionados que aseguran que la implementación de IoT esté alineada con las necesidades de negocios y que los beneficios de negocios se entreguen según sea necesario.

Las fuentes aplicables de aseguramiento para cada uno de los mencionados anteriormente se definen en la figura 3. Algunas de ellas se relacionan directamente con la IoT, mientras que otras son más genéricas y deben aplicarse a los componentes relevantes de IoT.

Conclusión

IoT no es ciencia ficción y está aquí para quedarse y puede aportar un gran valor de negocio. Desafortunadamente, como suele ser el caso con la tecnología, se ha desarrollado antes de muchos de los controles deseados, incluyendo las fuentes de aseguramiento. Por lo tanto, es aconsejable adoptar un modelo de auditoría genérico y seleccionar los controles aplicables de la documentación disponible. En nuestras empresas, depende de cada uno de nosotros “hacerlo as픳⁵

Notas finales

¹ Star Trek Database, Picard, Jean-Luc, www.startrek.com/database_article/picard-jean-luc
² Star Trek Database, Replicator, www.startrek.com/database_article/replicator
³ Raidió Teilifís Éireann, “Star Trek-Type Medical Tricorder a Step Closer,” 7 June 2018, https://www.rte.ie/news/2018/0607/968778-tricorder/
⁴ ISACA, Assessing IoT, USA, 2017
⁵ ITAF, Information Systems Audit and Assurance Framework, USA, 2014, p. 18
⁶ Ibid., p. 33
⁷ ISACA, Information Systems Auditing: Tools and Techniques, Creating Audit Programs, USA, 2016
⁸ ISACA, Assessing IoT Upsides, Downsides and Why We Should Care About Them, USA, 2017
¹⁰ Ibid.
¹¹ Ibid.
¹² ISACA, Audit Plan Activities: Step-By-Step, USA, 2016
¹³ ISACA, Internet of Things: Risk and Value Considerations, USA, 2015
¹⁴ Op cit, Audit Plan Activities: Step-By-Step
¹⁵ Op cit, Assessing IoT Upsides, Downsides and Why We Should Care About Them
¹⁶ The Open Web Application Security Project (OWASP), IoT Security Guidance, https://www.owasp.org/index.php/IoT_Security_Guidance
¹⁷ GSM Association, IoT Security Assessment, https://www.gsma.com/iot/iot-security-assessment/
¹⁸ Cloud Security Alliance, Future Proofing the Connected World, https://cloudsecurityalliance.org/download/future-proofing-the-connected-world/
¹⁹ Information Assurance Support Environment, STIGs Master List (A-Z), https://iase.disa.mil/stigs/Pages/a-z.aspx
²⁰ Center for Internet Security, CIS Benchmarks, https://www.cisecurity.org/cis-benchmarks/
²¹ Op cit OWASP
²² Op cit Cloud Security Alliance
²³ ISACA, COBIT 5: Enabling Information, USA, 2013
²⁴ ISACA, HIPAA Audit/Assurance Program, USA, 2017
²⁵ ISACA, ISACA Privacy Principles, Governance and Management Program Guide, USA, 2016
²⁶ Cooke, I.; “Auditing Data Privacy,” ISACA Journal, vol. 3, 2018, https://www.isaca.org/resources/isaca-journal/issues
²⁷ ISACA, General Data Protection Regulation (GDPR) Readiness, Assessment and Compliance, https://www.isaca.org/search#q=gdpr
²⁸ Op cit OWASP
²⁹ Op cit Cloud Security Alliance
³⁰ Op cit ISACA Privacy Principles, Governance and Management Program Guide
³¹ Op cit Cooke
³² Op cit ISACA General Data Protection Regulation (GDPR) Readiness, Assessment and Compliance
³³ GitHub, Bias Testing for Generalized Machine Learning Applications, https://github.com/pymetrics/audit-ai
³⁴ ISACA, COBIT 5, USA, 2012
³⁵ “Make it so” is the phrase Star Trek’s Captain Picard uses when he wants an order implemented.