Blockchain Controls

Download PDF

Sin duda alguna, este post me ha resultado el más complicado. No tengo claro si es debido a la incertidumbre que rodea al blockchain, respecto a la auditoría, o a que se debe. Pero la verdad es que me ha costado recabar información que realmente pudiese usar para la gestión de controles sobre los posibles riesgos del blockchain.

He intentado orientar este post, tal y como hemos planteado en clase la control de riesgos. Por ello voy a empezar destacando la ISO/TC 307. En septiembre de 2016, la International Standard Organization (ISO) seleccionó Standards Australia para encabezar un comité técnico para desarrollar estándares para la tecnología blockchain.  Siendo, Standards Australia, una organización independiente y sin ánimo de lucro reconocida por el gobierno australiano. El comité, mencionado previamente, está formado por organizaciones de 35 países, incluidos España, Francia, el Reino Unido y los Estados Unidos, entre otros. Además, se han realizado esfuerzos para establecer alianzas entre los distintos organismos reguladores para compartir lecciones y mejores prácticas. La siguiente imagen enumera algunas de las asociaciones gubernamentales transfronterizas sobre blockchain y tecnología financiera que se han anunciado hasta la fecha. [1]

Selección_015

Esta ISO surgió de la necesidad de encontrar una solución equilibrada al desajuste que empezó a general el blockchain. Desajuste que al comienzo se centraba en el sector económico, debido a las criptomonedas, pero que se puede extrapolar a cualquier sector. Debido a que blockchain tiene el potencial de transformar varias industrias y debido a que la tecnología está evolucionando rápidamente, la participación de los reguladores financieros era crucial. Los reguladores debían encontrar formas apropiadas de interactuar con las industrias financieras y tecnológicas, equilibrando entre regular demasiado poco y así introducir riesgos en el sistema financiero, y regular demasiado y por lo tanto sofocar la innovación.

Entrando un poco más en detalle sobre qué países participan en la mencionada ISO/TC 307, a continuación se muestra una imagen del mapa del mundo. En ella se visualizan de color azur, aquellos que participan en la ISO/TC. Y, de color naranja los miembros observadores. [2]

Selección_017

Aunque actualmente la ISO/T 307 es el principal estándar acorde al blockchain. Según el informe publicado por Standars Australia en marzo de 2017, tras la realización de una encuesta a gran escala sobre blockchain y lo referente al tema presente. En la siguiente imagen podemos observar que los encuestados identificaron una serie de normas australianas e internacionales actuales que podrían utilizarse para apoyar el rol de las tecnologías blockchain, además de la mencionada previamente. [3]

Selección_016

En conclusión, como ya he comentado al comienzo del post me ha costado una barbaridad reunir información técnica, en cuanto a auditoría se refiere, sobre este tema. Me hubiese gustado enseñar una tabla al igual que mostré en el anterior post sobre los riesgos. Una tabla que retratase los posibles controles que se plantean actualmente sobre el blockchain, con fin de mostrar una especie de hoja de ruta a seguir para encarar los riesgos que destacaba en dicho post. Sin embargo, no ha sido posible. En el informe en el que me he basado para este post principalmente, se detalla una hoja de ruta centrada en apoyar el desarrollo de un punto de vista sobre asuntos relevantes para el desarrollo de los estándares internacionales de Blockchain a través de ISO / TC 307. Con la intención de proporcionar una plataforma para las discusiones en la primera reunión internacional.

Referencias:

[1]: CTS Blockchain Policy Whitepaper (consultado el 20 noviembre 2017), https://ctsp.berkeley.edu/files/2017/08/CTSP-Blockchain-Policy-Whitepaper.pdf

[2]: www.iso.org (consultado el 20 noviembre 2017), https://www.iso.org/committee/6266604.html?view=participation

[3]:  Standar Ausralia (marzo de 2017), http://www.standards.org.au/OurOrganisation/News/Documents/Roadmap_for_Blockchain_Standards_report.pdf

 

Blockchain Risks

Download PDF

   Como hemos aprendido en los dos anteriores posts, blockchain reduce tremendamente la posibilidad de que surjan errores. Además, los registros no pueden ser  modificados por nadie una vez que se han añadido. Debido a que cada transacción se registra y se verifica, la integridad de los registros está garantizada. Por ello, mucha gente del sector IT plantea el hecho de que auditar sistemas basados en blockchain va a ser innecesario. Pero ¿es eso cierto?

Sin duda alguna es totalmente falso.En este post voy a resaltar los principales riesgos que se deben tener en cuenta cara a la auditoría de un sistema con tecnología blockchain. Tal y como hace referencia Deloitte en uno de sus artículos sobre blockchain y sus riesgos, el blockchain se puede dividir en dos tipos: “permissionless and permissioned chains”, esto es, cadenas sin permiso y autorizadas.[1] Blockchain sin permiso permite que  cualquiera sin ningún tipo de verificación participe en la red de transacciones. Sin embargo, las autorizadas están formadas por responsable o responsables que evalúan la participación de una persona u entidad en el entorno blockchain.

La mayoría de los riesgos que hoy en día se plantean no van asociados al tipo de blockchain del que se use. Ya que, es cierto que un riesgo está directamente relacionado con la integridad de los eslabones que componen la cadena blockchain, pero los grandes riesgos que realmente asustan a los expertos son independientes a ello. Después de informarme bien, y leer y releer una enorme cantidad de artículos en lo que refiere a este tema, me gustaría destacar una tabla publicada por ISACA que recopila de manera muy visual los posibles riesgos del blockchain y su relevancia. [2]

 

ISACA Blockchain Risks

Como se puede observar, categorizan los riesgos según su impacto y su probabilidad. Siendo de color verde los riesgos de menos importancia y difuminándose a color rojo los que aumentan su relevancia. En ISACA entienden por críticos, los siguientes riesgos:

  • Plataform Vulnerabilities:

La integridad del blockchain está determinada por la plataforma de software sobre la cual se ejecuta. Si la plataforma se considera poco fiable, ello afecta al blockchain.

  • Targeted Malware:

La infraestructura que admite el blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. Ningún software está exento de ataques, y hay que tenerlo en cuenta.

  • Change control:

Abuso del privilegio de administración y cambio no autorizado en la infraestructura.

 

Además de estos tres posibles riesgos que ISACA destaca como los riesgos con mayor grado de  impacto/probabilidad, me gustaría destacar desde mi punto de vista los principales riesgos weak-chainen cuanto a seguridad se refiere: el acceso o control de acceso, la robustez del cifrado y la seguridad individual de cada nodo. Respecto a la seguridad de cada nodo, hay un dicho que me viene a la cabeza: “una cadena es tan débil, como el eslabón más débil de esta”. En este caso ocurre lo mismo, por ello es imprescindible disponer de planes de contingencia adecuados. A su vez, es cierto que el blockchain se caracteriza por estar cifrado, pero es de destacar que existen infinidad de algoritmos de cifrado. Y, no todos poseen el mismo nivel de seguridad.

En conclusión, puesto que estamos tratando una tecnología emergente, la mayoría de información y opiniones respecto a sus posibles riesgos son meras suposiciones. Suposiciones que se basan en experiencias pasadas, experiencias que se basan en casos  similares. Lo que nadie duda, es que esta tecnología ha venido para quedarse. Sin embargo, hasta que no se quede y se estandarice, no se podrá hacer una lista cerrada de los riesgos que implica. Lo que está claro es que a poca gente le gustan los cambios, y es porque con los cambios surgen riesgos que hasta el momento no se planteaban. El blockchain implica cambios y por lo tanto, implica nuevos riesgos. En lo que auditoría respecta, cualquier gran empresa o profesional que se quiera centrar en auditar esta nueva tecnología debe estar al tanto de los cambios que implica dicha tecnología, tanto de los casos que triunfen como de los que fracasen, y aprender de ellos. Deben ir perfeccionando la técnica de auditar según se vaya perfeccionando la tecnología.


Referencias:

[1]: Blockchain risk management (Prakash Santhana and Abhishek Biswas, 2017),https://www2.deloitte.com/content/dam/Deloitte/us/Documents/financial-services/us-fsi-blockchain-risk-management.pdf

[2]: Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf

 

La influencia del Blockchain en la auditoría

Download PDF

En el anterior post, definía blockchain como: blockchain o cadena de bloques es un libro digital incorruptible de transacciones económicas que pueden programarse para registrar no sólo transacciones financieras sino prácticamente todo aquello que tenga valor.

Y, a su vez, recalcaba que es el avance tecnológico del siglo actual. Esto implica que va a suponer cambios en la forma en la que funcionará la tecnología y, por lo tanto, las empresas e instituciones se van a tener que adaptar a dicho cambio.

 

Antes de decir cómo cambiará esta tecnología la manera de auditar o como podría cambiarla, me parece interesante mencionar qué cambios son los que está produciendo. Ya que, al fin y al cabo, auditar consiste en inspeccionar-verificar-aportar posibles mejoras… Y ¿Cuando cambia la forma de auditar algo? Cuando lo que se quiera auditar haya cambiado. Por ello, ¿Qué está cambiando o cambiará el blockchain?

 

Blockchain es una nueva tecnología que está revolucionando el modo en que realizamos transacciones. Es por esto que todo proceso en el que se requiera una transacción va a cambiar. Dicho con otras palabras, tiene el potencial de cambiar el modo en que compramos, vendemos, interactuamos con gobiernos y verificamos la autenticidad de cualquier cosa. Y como todo se entiende mejor con ejemplos, os cuento cinco ejemplos de servicios con blockchain que a día de hoy ya son una realidad:

  • Compra/venta de acciones
  • Contratos inteligentes:

“contratos que tienen la capacidad de cumplirse de forma automática una vez que las partes han acordado los términos.” (para interesados, en la noticia de la referencia se explica a conciencia y de forma sencilla de entender) [1]

  • Almacenamiento en la Nube
  • Gestión de identidades:

invisible

A parte de las gestión de identidades de las personas ‘como nosotros’, personas con DNI, número de la afiliación de la seguridad social, del carné de conducir… El blockchain da soporte a la gestión de identidad de las personas ‘invisibles’. Siendo estos principalmente de regiones subdesarrolladas, se puede definir como pobres/desplazados/refugiados que existen pero que no poseen una identidad. [2]

  • Pagos Transfronterizos:

529250-paper-airplane-made-out-of-money-with-clouds-in-the-background

No es noticia que transferir dinero de una persona de un país a otro, sobre todo si ese país receptor está subdesarrollado, tiene una comisión desorbitada. Pues gracias al blockchain esta comisión es prácticamente nula, tanto para las personas ‘como nosotros’ como para las ‘invisibles’.

El blockchain mejora la calidad y el precio de todo lo referente a transacciones, esto nos afectará a todas las personas y, sobre todo, a esa proporción de personas que hasta ahora ha tenido siempre las cosas más difíciles. Un claro ejemplo de lo mencionado anteriormente es BanQu, un banco con la siguiente misión: Conectar a los “invisibles” a la economía global mediante una identidad digital. En el siguiente vídeo lo explican, y se venden, muy bien.

Pero el blockchain no solo mejora la calidad y el precio de las transacciones cara a las personas, también cara a las empresas e instituciones. Y es por ello que cambiará la forma de auditar.

Veamos ejemplos y casos en los que empresas y gobiernos han empezado a mover ficha sobre esta tecnología, lo que implica que los auditores tendrán que estar activos al respecto.

[A1, B1, A2, B2, A3, B3, A4 y B4]

Estos son unos pocos ejemplos de todos los ámbitos en los que el blockchain esta influyendo. Desde el sector de las redes sociales, la música, automovilístico, médicos…. hasta gobiernos para mejorar los servicios de sus compatriotas. Y la verdad es que el hecho de que se utilice el blockchain facilita la tarea de los auditores. Obviamente, los auditores necesitan aprender sobre esta tecnología, pero al guardar toda y cada una de las transacciones realizadas, la muestra que posee el auditor para la implementación de la auditoría es completa y totalmente verídica e integra. Eso sí, al mismo tiempo que un auditor se apoya y se beneficia del blockchain y sus características para realizar su trabajo, a su vez será necesario que dicho auditor verifique que la tecnología se encuentra implementada, desarrollada e integrada de una forma adecuada. Esto es, que audite el blockchain. Ese es uno de los principales retos ante los que se encuentran los auditores hoy en día. Ya que la tecnología blockchain es muy novedosa y pocas personas la conocen a fondo.


Referencias:

[1]: https://criptonoticias.com/informacion/que-son-los-contratos-inteligentes/#axzz4vwaMlwEy

[2]:https://criptonoticias.com/aplicaciones/panorama-desarrollo-gestion-identidades-blockchain/#axzz4vwaMlwEy

Referencias de las noticias de la fotos:

A | B

A1: https://criptonoticias.com/colecciones/steemit-red-social-descentralizada-gracias-blockchain/#axzz4w2T71irb

B1:  https://criptonoticias.com/colecciones/blockchain-industria-musical-independencia-artistas-ganancias-fanaticos/#axzz4w2T71irb

A2: https://criptonoticias.com/colecciones/dubai-ciudad-blockchain-emiratos-arabes/

B2: https://criptonoticias.com/colecciones/dubai-ciudad-blockchain-emiratos-arabes/#axzz4w2T71irb

A3: https://criptonoticias.com/colecciones/automoviles-blockchain-combinacion-futuro/#axzz4w2SD0D3Z

B3: https://criptonoticias.com/colecciones/iota-red-micropagos-internet-cosas/#axzz4w2T71irb

A4: https://criptonoticias.com/colecciones/impacto-blockchain-nuevos-formatos-industria-editorial-creacion-contenido-escrito/#axzz4w2Uwh04b

B4: https://criptonoticias.com/colecciones/optimizacion-servicios-medicos-posible-blockchain/#axzz4w2T71irb

Presentando el blockchain

Download PDF

Cada década, aproximadamente, surge un avance tecnológico que destaca sobre los demás. En los 80s surgieron los primeros pcs, en los 90s se creo HTTP y HTML… Y, sin duda alguna, el avance de la actual década es el blockchain.  Es por ello que he optado por hacer mis cinco posts sobre este tema.

Soy consciente de que todo lo relacionado con el blockchain es algo novedoso y que habrá una gran cantidad de lectores que no sepan qué es. Por ello en este primer post trataré de explicar qué es blockchain, qué lo hace tan espectacular y por qué considero que es el avance de esta década.

 

Estoy seguro de que todos los que habéis oído hablar de blockchain, lo relacionais con el bitcoin. Y es normal, ya que se trata del sistema de codificación de la información que está por detrás de la criptomoneda y que es el pilar de toda su estructura. Pero es importante saber que el blockchain es más que solo la base del bitcoin. Y yo voy a intentar que en los cinco posts vayan orientados hacia la auditoria, hacia como puede afectar o como habría que actuar en caso de que nuestra empresa TYXemplease esta tecnología. Esto es, voy a intentar dejar al margen todo lo referente a las criptomonedas y me voy a intentar centrar en el blockchain. Desde mi punto de vista la mejor definición de blockchain es la siguiente:

“The blockchain is an incorruptible digital ledger of economic transactions that can be programmed to record not just financial transactions but virtually everything of value.” [1]

Traducido al castellano, blockchain o cadena de bloques es un libro digital incorruptible de transacciones económicas que pueden programarse para registrar no sólo transacciones financieras sino prácticamente todo aquello que tenga valor.

Para que se entienda mejor, voy a explicar cómo funciona. Blockchain es como el libro de asientos de contabilidad de una empresa en donde se registran todas las entradas y salidas de de dinero o, en nuestro caso, de acontecimientos digitales. Es una tecnología que permite la transferencia de datos digitales de una manera completamente segura. La seguridad está asegurada debido a que para realizar la transferencia no es necesario un intermediario centralizado que identifique y valide la información. Es más, se trata de un sistema distribuido en múltiples nodos independientes entre sí que registran y verifican sin necesidad de que haya confianza entre ellos. Esto es lo que realmente lo hace tan útil.

 

sistema distribuido Vs sistema institucional

 

Una vez introducida la información no puede ser borrada, solo se podrán añadir nuevos registros, y no será legitimada a menos que la mayoría de los nodos se pongan de acuerdo para hacerlo. Cara a la auditoria, ello implica que se dispone de un registro de todas las transacciones realizadas en el pasado. Totalmente fiable y eternamente disponible.

Por si no queda claro qué es y como funciona el blockchain, os dejo este breve vídeo de IBM que explica de en 3 minutos que es blockchain de forma muy sencilla.

Resumiendo sus características, ISACA destaca estas cuatro:

  1. Automática
  2. Inmutable
  3. Perpetua
  4. Global

Una de las razones por las que ISACA defiende que es la tecnología del siglo es porque ellos defienden que en el siglo XIX la confianza de los negocios era local, en el siglo XX la confianza ha sido institucional y, que hoy en día, en el siglo XXI la confianza es y será distribuida. [2]

 

Y ahora que sabemos qué es, cómo funciona y el respaldo que tiene por parte de grandes empresas a que va a ser una tecnología triunfadora sí o sí. Me hace preguntarme, ¿Cómo afectará esto a la auditoria tal y como la conocemos hoy en día? Y la verdad es que la respuesta a esta pregunta tiene tanta miga que tengo pensado dedicarle un post entero solo para responderla.

Al igual que abordaré, en los próximos posts, tanto los riesgos que implicaría su uso en nuestra empresa TYX como las posibles soluciones a dichos riesgos. Así como, intentaré exponer un caso práctico, ya sea poniendo como ejemplo a la empresa Storj o el proyecto ripple o cualquiera caso similar que me parezca apropiado. Contando cómo hacen uso del blockchain y cómo facilita o dificulta el trabajo a un auditor.

 


 

Referencias:

[1]: Don y Alex Tapscott, Blockchain Revolution (2016)

[2]:  Antonio Requena Aguilar, << ¿Cambiará Blockchain las reglas del juego?>> publicado por ISACA el 8 Junio de 2017.