Hoy vuelvo con una entrada más en la serie de posts sobre drones. En el post anterior realicé un análisis de los riesgos que conlleva el uso de los drones en diferentes situaciones. En esta ocasión, completaré dicho análisis mediante la definición de los controles necesarios para mitigar cada uno de los riesgos identificados. Por otro lado, destacaré el rol del auditor en el contexto de los drones.
Los controles son un elemento clave en el mundo de la auditoría. Son el conjunto de procedimientos que tienen como objetivo reducir la probabilidad de ocurrencia de un determinado riesgo, o minimizar la severidad del daño que dicho riesgo pueda causar (concretamente los dos criterios utilizados en el post anterior para establecer el nivel de importancia de cada riesgo). Generalmente, estos procedimientos o controles suelen estar basados en estándares y marcos de trabajo internacionales que se consideran buenas prácticas y que aseguran que todos los aspectos relevantes que deben incluir los controles han sido considerados. A continuación muestro la lista de riesgos identificados en el post anterior (agrupados en riesgos intencionados y riesgos no intencionados), acompañados de los controles específicos que deberían realizarse para mitigar cada uno de los riesgos:
Riesgos intencionados
Riesgo | Nivel de riesgo | Controles |
Atentado terrorista | Alto |
|
Espionaje | Medio |
|
Violación de privacidad | Alto |
|
Robo de datos | Alto |
|
Riesgos no intencionados
Riesgo | Nivel de riesgo | Controles |
Colisiones contra aeronaves | Alto |
|
Colisiones contra estructuras terrestres | Medio |
|
Colisiones contra personas | Alto |
|
Colisiones contra aves | Alto |
|
Interferencias | Medio |
|
Actividad crítica fallida | Alto |
|
Al tiempo en que nuevas tecnologías entran en el mercado, los auditores se ven obligados a expandir sus conocimientos y adaptarse a estas innovaciones. El caso de los drones no es una excepción. Los drones son una tecnología muy reciente (al menos en el contexto comercial), por lo que en ocasiones no implementan las medidas de seguridad adecuadas, dejando vulnerabilidades que pueden comprometer seriamente a las organizaciones o instituciones que hacen uso de estos aparatos. Es ahí donde entra en juego el papel del auditor, como es el caso de la auditoría que recientemente se ha realizado al Departamento de Seguridad Nacional de los Estados Unidos por causa del uso de drones para patrullar la frontera entre México y Estados Unidos. El informe resultante de dicha auditoría declara que los sistemas de información utilizados por la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos para la compartición de datos recogidos por los drones, presentan riesgos de seguridad de la información, tanto por orígenes internos como externos. El informe detalla que las causas de dicho riesgo son la falta de monitorización de los sistemas, falta de gestión de incidentes, falta de personal suficiente, desactualización de sistemas operativos e incluso políticas de seguridad inefectivas, ya que se registraron más de 20 accesos de dispositivos extraíbles no autorizados en los sistemas[3].
Con casos como este podemos concluir que cada vez es más importante el rol de la auditoría en las nuevas tecnologías, como pueden ser los drones, que son capaces de almacenar información comprometida, por lo que es indispensable efectuar los controles necesarios.
Referencias:
[1] Gis&Beers, <<Legislación internacional sobre drones>>, 25 de junio de 2017, acceso el 25 de noviembre de 2018, http://www.gisandbeers.com/legislacion-internacional-drones/
[2] Aerial Insights, <<Normativa sobre drones en España>>, octubre de 2018, acceso el 25 de noviembre de 2018, http://www.aerial-insights.co/blog/normativa-drones-espana/
[3] Sean Lyngaas, <<DHS drone data left vulnerable, audit finds>>, Cyberscoop, 25 de septiembre de 2018, acceso el 25 de noviembre de 2018, https://www.cyberscoop.com/dhs-drone-data-left-vulnerable-audit-finds/
jon.iturmendi
Latest posts by jon.iturmendi (see all)
- El valor añadido de los datos en el mundo organizacional - 10 enero, 2019
- “Quien observa termina por ver.” - 31 diciembre, 2018
- Legislación de drones: ¿Limitación o medida de seguridad? - 29 noviembre, 2018
Excelente, Jon. Muy bien, muy completo.