Qué es BYOD y su cercana relación con el Mundo Móvil

by 1 Comment

Download PDF

Buscando información sobre el mundo móvil, encontré una presentación de ISACA (“La información se mueve”) relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

[Read more…]

Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

by 1 Comment

Download PDF

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1]. [Read more…]

Controles en la propiedad intelectual

by Leave a Comment

Download PDF

 

En el post anterior hable sobre los riesgos relacionados con la propiedad intelectual, concretamente sobre las fuentes de las que pueden surgir estos riesgos. El objetivo de este post es comentar los controles que un auditor tendría que implementar para tratar los diferentes tipos de riesgos.

Como mencionamos en el post anterior los riesgos pueden proceder de varias fuentes diferentes que suelen ser internas o externas a la organización. En función de esto aplicaremos unos controles u otros.

Entre los riesgos externos encontramos como más importantes (mayor probabilidad de que ocurran y mayor impacto para la empresa) los relacionados con temas de robo de información como puede ocurrir a través de ataques cibernéticos. Para tratar estos riesgos se recomienda usar los controles del estándar ISO 27002 [1] que se encarga de temas relacionados con la protección de datos. Algunos que podemos implementar son:

  • 10.1 Controles criptográficos: asegurar el uso apropiado y efectivo para proteger la confidencialidad, autenticación y integridad de la información.
  • 11.2.4 Mantenimiento de los equipos: asegurarse de que los equipos tienen todas las ultimas actualizaciones para evitar brechas de seguridad.
  • 12.2.1 Controles contra el código malicioso:  implementar controles para la detección, prevención y recuperación ante afectaciones de malware.
  • 13.1 Gestión de la seguridad en las redes:  implantar estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones).
  • 13.2.1 Políticas y procedimientos de intercambio de información: Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la información que viaja a través del uso de todo tipo de instalaciones de comunicación.
  • 15.1 Seguridad de la información en las relaciones con suministradores: se debe controlar el acceso de terceros a los sistemas de información de la organización.

Otro conjunto de riesgos bastante importante son los que pueden provenir de dentro de la organización. Los riesgos más comunes aquí se producen simplemente por descuido y debido a la poca educación de los propios empleados en materia de seguridad. En este caso podemos implementar los siguientes controles del ISO 27002 [1]:

 

  • 7.1.1 Investigación de antecedentes: asegurarse al contratar que la persona contratada no es un posible espía de otra organización como el caso Ferrari comentado en el post anterior. [2]
  • 7.2.2 Concienciación, educación y capacitación en seguridad de la información: es importante presentar a los trabajadores una guía de buenas prácticas que deben lleven a cabo para asegurarnos la protección de la información.
  • 9.1 Requisitos de negocio para el control de accesos: establecer políticas de acceso a la información para evitar que nadie que no deba acceda a información confidencial.
  • 11.1.2 Controles físicos de entrada: evitar que personas no autorizadas accedan a lugares de acceso restringido.
  • 11.2.9 Política de puesta de trabajo despejado y bloqueo de pantalla: evita que personas sin acceso autorizado puedan visualizar en el ordenador información confidencial cuando el responsable del ordenador no está en su puesto de trabajo.
  • 12.3 Copias de seguridad: asegurar de tener siempre disponibles copias de la información en caso de que alguien borre de forma voluntaria o por accidente información.
  • 12.6.2 Restricciones en la instalación del software: evitar que los usuarios puedan instalar software malintencionado con el que puedan robar información.
  • 13.2.4 Acuerdos de confidencialidad y secreto: firmar acuerdos de confidencialidad con los empleados para evitar que puedan divulgar en el futuro información confidencial. En caso de hacerlo se podría denunciar.

Por último siempre es importante actuar de acuerdo a lo que la ley establece. En caso de empresas internacionales será necesario cumplir con la ley vigente en cada uno de los países en los que se opera, que en temas de propiedad intelectual suele variar de unos a otros. En caso de que el país está englobado dentro de una organización superior como puede ser la UE también será necesario tener en cuenta su legislación. Para este caso se pueden implementar los siguientes controles del punto 18.1 que se encarga de cumplir con los requisitos legales:

 

  • 18.1.1 Identificación de la legislación aplicable: se deberá estar al corriente de todos los cambios que se pudieran producir en la legislación.
  • 18.1.2 Derechos de propiedad intelectual (DPI): se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.
  • 18.1.5 Regulación de los controles criptográficos.

Referencias:

[1]http://www.iso27000.es/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

Caso práctico de Auditoría en el mundo del Cloud

by 1 Comment

Download PDF

How-to-safeguard-your-business-against-future-audits-846x564Como ya adelanté en el anterior post, este cuarto post lo centraré en exclusiva en analizar un caso práctico de auditoría aplicado al mundo del Cloud Computing [1]. Si que me gustaría destacar, que a pesar de que la resolución del caso es correcta, ISACA ha realizado una serie de cambios importantes en las últimas versiones de COBIT, la quinta en particular. Por lo tanto, este post ha sido elaborado con la información que ISACA ha publicado con fin divulgativo pero es necesario acceder a los manuales más recientes si se desea elaborar una auditoría de sistemas alojados en la nube completa y elaborada mediante los estándares más recientes. [Read more…]

Controles y auditoría de los dispositivos médicos

by 1 Comment

Download PDF

En el artículo anterior indicamos los riesgos que se producen con los dispositivos médicos.  ¿Cómo podríamos prever estos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará los diferentes controles de auditoría que se deberán hacer.

Los controles de auditoría, en nuestro caso de los dispositivos médicos, son procesos interdisciplinarios que permiten hacer una investigación, consulta, verificación, comprobación y generación de evidencia sobre su calidad y el funcionamiento correcto de ellos.

post4

En la entrega previa, me enfoqué en los riesgos en general de los dispositivos médicos, en cambio, en esta nueva entrega me enfocaré más en los controles de auditoría respecto a los riesgos tecnológicos de los dispositivos médicos.

En la siguiente tabla, se mostrará algunos dispositivos médicos que he elegido entre otros, con sus riesgos y controles de auditoría.

 

Dispositivo médico: Implantes.

Riesgos:

El mayor riesgo de fracaso del implante dental la constituye un diseño inadecuado de la prótesis.

En cuanto a los inconvenientes postoperatorios pueden ser los siguientes: infecciones, sensaciones de anestesia, daños o sensibilidad en otros dientes, vasos sanguíneos, nervios, encía o labios.

En el proceso de osteointegración puede haber fallos también[1] :

  • Enfermedades previas del paciente que no se han tratado debidamente antes de la colocación.
  • Hábitos del paciente que no se han tenido en cuenta a la hora de implantar el implante.
  • Baja calidad de los materiales utilizados
  • Errores de especialista.

Controles:

Los riesgos se pueden evitar siempre y cuando se tienen en cuenta aspectos de tratamiento como:

  • Correcta planificación pre-quirurgica.
  • Utilizar una adecuada técnica quirúrgica.
  • Seguimiento pos-quirurgico.
  • Respetar el tiempo de osteointegración.
  • Realizar el diseño apropiado de la supraestructura.
  • Estudio y la correcta distribución de las cargas oclusales.

Dispositivo médico: Marcapasos

Riesgos:

  • Hacer una punción en una vena que pasa por encima del pulmón dando lugar a la entrada de aire externo.
  • Riesgos de infecciones.
  • Riesgo de lesiones en el musculo cardiaco que puedan ocasionar un sangrado del propio corazón.

Controles:

  • Hacer revisiones cardiológicas para confirmar el buen funcionamiento del dispositivo.
  • Valorar las posibles interferencias en el funcionamiento del sistema de estimulación provocadas por fármacos o por distintas técnicas.
  • Valorar el estado de la batería y los cables.
  • Valorar la eficacia de la captura de la estimulación auricular/ventricular [2] .

Dispositivo médico: Bombas de insulina

Riesgos:

  • En caso de suspensión del suministro de insulina puede aumentar rápidamente la glucemia y el riesgo de desarrollar cetoacidosis.
  • Bajada de glucosa en sangre o hipoglucemia.
  • Aumento de peso.

Controles:

  • Dosificación más sencilla: calcular las necesidades de insulina puede ser una tarea compleja en la que hay que tener en cuenta múltiples aspectos [3].

Dispositivos médico: Sistemas de ultrasonido

Riesgos:

  • Debido a la exposición por contacto directo.
  • Debido a la exposición indirecta por vía aérea.

Controles:

Para prevenir una exposición a ultrasonidos transmitidos por contacto:

  • Posibilitar en la medida de lo posible la automatización del proceso.
  • Utilización de los equipos por personal cualificado.
  • Colocación de señalización conveniente de las zonas donde existan equipos emisores de ultrasonidos.
  • Colocación de tapas a los equipos cuando no sea necesario su funcionamiento.

Para prevenir exposición por vía aérea:

  • Efectuar normas de trabajo.
  • Colocar encerramientos parciales o totales, pantallas o absorbedores para reducir los ultrasonidos.
  • Alejamiento del foto productor.
  • Reducción del tiempo de exposición [4] .

 

Por otro lado, en el ámbito de la medicina y dispositivos médicos, también existe el rol de auditor. El perfil ideal del auditor  podría ser el siguiente:

  • Conocimiento práctico de los sistemas de calidad relativos a los productos sanitarios (marcado CE, ISO 13485:2003 e ISO 9001:2008.
  • Experiencia demostrada en auditorías (internas o externas).
  • Tener título de médico Especialista en: medicina Interna, medicina Intensiva, Cirugía, ginecología, Pediatría y otras especialidades.
  • Profesional médico dedicado a la labor docente en las áreas médicas.
  • Desarrollar buenas relaciones inter-personales de los empleados y profesionales a fin de favorecer un óptimo trabajo en equipo.

Asimismo, el auditor de dispositivos médicos estará involucrado en lo siguiente [5] :

  • Planificación y realización de auditorías (ISO, IVD, MDD, FDA, MRA, Marcado CE) de los dispositivos médicos activos del cliente, instalaciones y sistemas de gestión de calidad (QMS).
  • Ensayos de productos sanitarios activos de acuerdo con las normas eléctricas pertinentes.
  • Revisión y aprobación de expedientes técnicos y de diseño, notificaciones de cambios significativos y otra documentación técnica.

Por último, hasta el momento, a lo largo de los diferentes posts, he hablado sobre el contexto de los dispositivos médicos, que relevancia tienen en la industria, los riesgos que abarcan y en este mismo post, los controles de auditoría. Bien, para finalizar esta serie, me gustaría hablar sobre las innovaciones , volúmenes de negocio y tendencias futuras en el siguiente post que vendrá pronto.

Continuará…

 

Referencias:

[1] Riesgos de los implantes. Acceso el 26 de noviembre del 2018.

https://iomm.es/implantes-dentales/riesgos/

[2] Marcapasos, ¿ cuáles son sus beneficios y riesgos? Acceso el 26 de noviembre del 2018.

https://saberdesalud.com/marcapasos/#Que_riesgos_tiene_la_implantacion_de_un_marcapasos

[3] Bombas de insulina. Acceso el 26 de noviembre del 2018.

http://www.clinidiabet.com/es/infodiabetes/bombas/33.htm

[4] Sistemas de ultrasonidos. Acceso el 26 de noviembre del 2018.

http://www.ibgm.med.uva.es/addon/files/fck/RFMOULTRAS.pdf

[5] Medical Devices Auditor Job. Acceso el 26 de noviembre del 2018.

https://ckscience.co.uk/medical-devices-auditor-job-active-devices-field-based/

Controles y auditoría de las redes sociales

by 1 Comment

Download PDF

¡Buenos días/tardes/noches a tod@s una vez más!

Como ya recogimos en la pasada publicación, clasificabamos los riesgos del uso de las redes sociales en estas categorías: relacionados con quién las gestiona, con la comunicación, con los costes, con la reputación y los riesgos humanos. Ahora, una vez los hemos identificado, tenemos que pasar a la siguiente fase y recoger controles potenciales para ellos y la identificación de la mejor forma para cada uno de ellos.

Comenzaremos hablando de los riesgos reputacionales y de imagen y de cómo es la forma adecuada de controlarlos, para más adelante auditarlos. En este caso, la importancia de dicha auditoría no residirá en buscar qué es lo que se ha hecho, sino en por qué se han llevado a cabo los procesos, políticas y planes comprobando que se cubren las oportunidades que se puedan detectar y los riesgos potenciales, y sobre todo, que se actúa de manera adecuada.

 

Recogiendo los riesgos relacionados con la gestión, los que van relacionados a la comunicación y los de los costes vamos a recogerlos en un mismo sector al que llamaremos “riesgos estratégicos”. Hay que tener claro que los riesgos estratégicos surgirán cuando utilicemos de forma ineficiente (haciendo que las actividades de las redes sociales no vayan de la mano de los objetivos de la organización), lo que tendrá consecuencias económicas directamente relacionadas. Entonces, para evitarlos habrá que recoger una serie de directrices. Estas son esas directrices (y algunas herramientas para poder definirlas): [Read more…]

Controles y auditoría en el mundo de los drones

by 1 Comment

Download PDF

Hoy vuelvo con una entrada más en la serie de posts sobre drones. En el post anterior realicé un análisis de los riesgos que conlleva el uso de los drones en diferentes situaciones. En esta ocasión, completaré dicho análisis mediante la definición de los controles necesarios para mitigar cada uno de los riesgos identificados. Por otro lado, destacaré el rol del auditor en el contexto de los drones.

Los controles son un elemento clave en el mundo de la auditoría. Son el conjunto de procedimientos que tienen como objetivo reducir la probabilidad de ocurrencia de un determinado riesgo, o minimizar la severidad del daño que dicho riesgo pueda causar (concretamente los dos criterios utilizados en el post anterior para establecer el nivel de importancia de cada riesgo). Generalmente, estos procedimientos o controles suelen estar basados en estándares y marcos de trabajo internacionales que se consideran buenas prácticas y que aseguran que todos los aspectos relevantes que deben incluir los controles han sido considerados. A continuación muestro la lista de riesgos identificados en el post anterior (agrupados en riesgos intencionados y riesgos no intencionados), acompañados de los controles específicos que deberían realizarse para mitigar cada uno de los riesgos: [Read more…]

Insider threats: Audit controls

by 1 Comment

Download PDF

 

Para este cuarto post me centraré en explicar un framework metodológico elaborado por la consultora EY para crear un plan exitoso para la gestión y control de las amenazas internas en las organizaciones. [1]

https://www.social-engineer.org/framework/general-discussion/categories-social-engineers/disgruntled-employees/

https://www.social-engineer.org/framework/general-discussion/categories-social-engineers/disgruntled-employees/

Como ya hemos podido ver en los posts anteriores, las empresas se están concienciando del peligro que corren frente a este tipo de amenaza, que riesgos asociados conlleva y cuáles son las tendencias actuales en este campo.

Debido a esta importancia que ha alcanzado situándose como una de las primeras preocupaciones de las organizaciones, es normal que hayan surgido diversos frameworks para elaborar una plan o estrategia con el que hacerle frente a esta amenaza. Como he dicho, me centraré en el desarrollado por EY, pero he de mencionar algunos otros que me parecen también muy acertados. [Read more…]

Los distintos controles de auditoría para los pagos móviles

by 1 Comment

Download PDF

Una vez vistos los múltiples riesgos existentes en los pagos móviles, debemos concienciar a todos sus usuarios a prevenirlos de manera que no se lleven las manos a la cabeza, por lo tanto, en la presente entrada describiremos los diferentes controles de auditoría que se deberán realizar para hacer un correcto uso de esta tecnología y correr los menores riesgos posibles.

La primera tarea que debe realizarse es definir los principales segmentos de riesgo de las aplicaciones de pagos móviles, de esta manera, será más fácil establecer un control más ordenado y en buenas condiciones. Tal y como aporta ISACA y se muestra en la imagen adjuntada en la parte inferior del presente párrafo, los 4 segmentos de riesgos básicos son las redes móviles, dispositivos móviles, servicios web y bases de datos, por lo que, a continuación, se incluirá una tabla en la que se detallan los controles clave para garantizar y fortalecer la seguridad en las apps móviles.

auditoria

Área Tema que controlar Controles Riesgo mitigado
Dispositivos móviles Almacenamiento de datos Cifrado de dicha información mediante estándares como 128, 192 o 256. Pérdida de datos
Dispositivos móviles Transmisión de datos Aplicar la encriptación de datos, así como diferentes protocolos de seguridad como HTTPS, TLS, FTPS. Pérdida de datos
Dispositivos móviles Ingeniería inversa

del código de la aplicación

 Uso de protecciones binarias. Pérdida de datos, acceso no autorizado
Dispositivos móviles Acceso a la aplicación y

seguridad

 Uso de gestor de aplicaciones MAM que gestione el acceso y despliegue de la app. Algunos ejemplos son MobileIron o

Airwatch

 Acceso no autorizado y fraude
Redes móviles Conectividad inalámbrica Transmisión de datos mediante protocolos criptográficos seguros como SSL o TLS.

 

 Pérdida y revelación de datos
Redes móviles Secuestro de sesión Las conexiones de las a través de TLS son a través de HTTPS en lugar de HTTP, de esta manera, nos aseguramos de conectarnos a una URL. Acceso no autorizado, pérdida de datos y revelación de estos
Redes móviles Suplantación de identidad Uso de protocolos de comunicación segura TLS, Secure Shell

(SSH) y HTTPS.

 Acceso no autorizado y pérdida de datos
Servicios Web Parche de operaciones para la

administración

 Uso de procesos para el

despliegue e identificación de parches del sistema.

 Pérdida de datos y acceso no autorizado
Servicios Web Gestión de acceso Roles correspondientemente definidos y cada uno con los accesos específicos. Pérdida de datos y acceso no autorizado
Servicios Web Ataque de fuerza bruta Evitar DoS y emplear técnica CAPTCHA de manera que se pueda obtener una clara distinción entre

humanos y computadoras.

 

 Fraude y acceso no autorizado
Bases de datos Acceso privilegiado Limitar acceso a la base de datos y llevar un exhaustivo control de las contraseñas del sistema. Fraude y acceso no autorizado
Bases de datos Inyección SQL Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración. Fraude y acceso no autorizado
Bases de datos Validación de la entrada de la app Uso de diferentes controles de lógica para una correcta protección

 

 Fraude y acceso no autorizado
Bases de datos Servicios de aplicaciones de BBDD Uso obligatorio de conexiones SSL, uso de HTTPS para el logeo de la app y un servidor de BBDD correctamente probado. Fraude y acceso no autorizado

Tal y como habéis visto en la figura situada en la parte superior, el auditor debe ser quien establezca las diferentes áreas a controlar en caso de posibles riesgos. Asimismo, para cada una de esas áreas, será importante señalar los riesgos evitados gracias al uso de éstos [1].

Por otro lado, en la entrada anterior prometí completar una de sus figuras relacionadas con otros muchos posibles riesgos referentes a las apps móviles para el pago, por ello, en la parte inferior se describen sus planes de contingencia correspondientes:

Tipo de objetivo perseguido Amenazas Riesgos Controles a realizar
Usuario Intercepción del tráfico Robo de identidad Uso de TPM y encriptación

 
Usuario Intercepción de datos de autenticación Robo de parámetros de autenticación, divulgación de información confidencial Autenticación de ambos usuarios (PIN) y firma digital verificado por tercera parte

 
Usuario Enmascaramiento del usuario Transacciones fraudulentas Autenticación de dos factores

 
Usuario Configuración y complejidad de configuración Reducción en la adopción de la tecnología Interfaz de usuario simplificada
Usuario Infección del dispositivo móvil Divulgación de datos y violación de la privacidad Control de usuario de las características de geolocalización,

privacidad criptográficamente apoyada.

 
Proveedor de servicio Ataques enmascarados Robo de servicios y modificación de mensajes Solicitar filtrado en base al lector

en dispositivo móvil

 
Proveedor de servicio Distribución ilegal de contenido como videos o juegos. Robo de contenido, piratería digital. Incorporación de DRM en el Smartphone

 
Proveedor de servicio Modificación de mensajes, respuesta de transacciones. Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos Uso de protocolos criptográficos potentes y autenticación vía SMS

 

Como ya se ha dicho en diversas ocasiones, estamos tratando con una de las tecnologías que más riesgos corren del mercado actual, por ello, la tabla 2 muestra algunos otros riesgos que también podemos correr al hacer uso de todo ello.  Igualmente, el impacto que estos pueden causar es también objeto de investigación, luego, el auditor deberá priorizar cada uno de ellos en función de estos valores [2], tarea que ya se realizó en la entrada previa.

 

Con toda la información ya adjuntada podemos afirmar que los auditores de las tecnologías de la información son una pieza clave ya que deben de encargarse de realizar un proceso de vigilancia de manera que exista un control en situaciones de riesgo como las enumeradas en las ilustraciones anteriores. Además, deben de encargarse de las llamadas pruebas de penetración (práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar) cada vez que las aplicaciones sean actualizadas [3].

A modo de recapitulación, hasta el momento hemos descrito el marco general de las aplicaciones móviles para el pago, su impacto en la industria, los riesgos que conlleva su uso y, gracias a este último, ya sabemos la manera en la que poder solventarlos. Aun así, creo que es relevante exponer el futuro de éstas apps que todo utilizamos, de manera que conozcamos todo lo que se nos viene por delante y afrontarlo de la mejor manera posible.

 

Bibliografía

[1] Journal volume 4 2016 spanish Issues. Acceso el 08/10/18. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf

[2] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 09/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[3] Prueba de penetración. Acceso el 12/10/2018. https://searchdatacenter.techtarget.com/es/definicion/Prueba-de-penetracion-pen-test

Privacidad desde una perspectiva internacional: controles y auditoría

by 1 Comment

Download PDF

En el post anterior hemos visto la gran diversidad de problemas y riesgos que deben afrontar las empresas. Con el propósito de prevenir que estos riesgos se hagan realidades necesario conocer, analizar y actuar para prevenir los riesgos que puedan poner en jaque mate a nuestra empresa.

Identificar y gestionar estos riesgos de privacidad es clave para gestionar información personal en cualquier entidad. Es necesario tener en consideración realizar una auditoria para realizar estas labores. Los auditores consideran riesgos clave y puntos métodos de control cuando realizan una auditoria. De esta forma una empresa se puede evaluar para ver cómo se enfrentan sus políticas de privacidad ante los requisitos legislativos.
La metodología que se sigue tiene un fuerte vínculo con los conceptos que se presentan en la ISO 31000:2009 Risk Management – Principles and Guidelines. El diagrama que se muestra a continuación está basado en el proceso de gestión de riesgos de privacidad de la ISO 3100:2009.

4Como se puede observar en el diagrama [1] [2] este proceso cuenta con varias fases:

  • Establecer el contexto: cada caso a auditar es completamente distinto, ya que los problemas que una empresa pueda son derivados de su propio entorno, el cual está sujeto a muy diversas circunstancias. Además la definición de privacidad es muy subjetiva dependiendo el país, la cultura o la organización, por lo que entender el contexto bajo el cual se lleva a cabo el proceso de auditoría es vital para que sea exitoso.  Además también es imperativo que la visión de todos los involucrados sea la misma.
  • Identificar los riesgos: los riesgos de privacidad, como ya hemos visto están relacionados con la gestión de información personal, y pueden tener consecuencias tanto para los propietarios de esos datos como para las empresas que lo tratan. Por ellos, es necesario identificarlos mediante el uso de diferentes herramientas. Existen áreas que tienen un alto nivel de riesgo en este ámbito por lo que en ellas podemos identificar algunos. Estas áreas son, las redes sociales, Big Data, dispositivos mçoviles y el modelo operativo. Además en este proceso también se pueden identificar oportunidades para mejorar o fortalecer la gestión de información personal.
  • Analizar los riesgos: este proceso cuenta con dos fases, por un lado asignar calificaciones basadas en el riesgo que suponen, el impacto que pueden tener, y por otro lado la evaluación de los controles implementados. La calificación se puede obtener se puede obtener en base a una matriz que tenga en cuenta el impacto y la probabilidad.
Probabilidad Consecuencia/Impacto
1 – Inapreciable 2 – Menor 3- Moderado 4 – Alto 5 – Severo
5 – Seguro Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
4 – Probable Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
3 – Posible Riesgo Moderado Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
2 – Improbable Riesgo Bajo Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
1 – Raro Riesgo Bajo Riesgo Bajo Riesgo Moderado Riesgo Moderado Riesgo Significativo

Una vez realizada la matriz para la calificación de los riesgos es necesario evaluar los controles existentes para conocer el nivel de mitigación existente. Algunos ejemplo de controles de privacidad de una organización son las políticas de privacidad, los controles de privacidad de la base de datos y la criptografía.

  • Evaluar los riesgos: en este paso se calcula el riesgo residual. Este riesgo residual es el resultado del nivel de riesgo tras valorar el riesgo y los controles existentes para mitigarlo. En base a esto se puede priorizar aquello que más daño pueda causar a la empresa auditada y desarrollar un plan de auditoria.
  • Tratar los riesgos: el auditor, basándose en su criterio, debe determinar una respuesta apropiada a un riesgo o a una oportunidad. Muchas agencias de auditoria de TI tienen sus propios criterios y frameworks de tratamiento de riesgos por lo que los auditores puede apoyarse en estas guías predefinidas. Algunas respuestas básicas incluyen, dejar de realizar una tarea que pueda causar que el riesgo ocurra, modificar los controles existentes en cierto aspecto para reducir la probabilidad de que ocurran o para minimizar su impacto. También es preciso destacar que es necesario considerar la relación entre el coste y el beneficio al tratar un riesgo.
  • Monitorización: es importante monitorizar y realizar revisiones continuamente de los riesgos de privacidad y del tratamiento de los datos. Hay una alta probabilidad de que estos riesgos cambien a lo largo del tiempo y tal vez sea necesario reconsiderar su relevancia y si siguen presentes o han sido solucionados. Además es óptimo que cualquier toma de decisiones esté basada en información lo más actualizada posible.
  • Comunicación y consultoria: se deben proveer reportes a las personas involucradas en la auditoría en cada fase de la misma. Y es necesario notificar todos los puntos importantes que surjan en el proceso.

En conclusión, la noción y el entendimiento de la privacidad va a continuar creciendo día a día, y con ello se espera que aparezcan nuevos requisitos regulatorios para las prácticas que manipulen datos personales, y como ya hemos visto a los largo de esta serie de artículos, el debate está servido, ya que existen opiniones excesivamente dispares.

Por lo que en este escenario tan volátil, los auditores deben de ser capaces de establecer y seguir metodologías de auditoría de privacidad para evitar que las organizaciones para las que trabajan se vean involucradas con riesgos innecesarios. Además como hemos explicado existen una serie de pasos para poder minimizar estos riesgos hasta un nivel aceptable, aunque en un mundo tan cambiante los auditores deben ser conscientes de las nuevas tendencias tecnológicas que surgen con el paso de los años. Debido a todos estos motivos, es una gran idea añadir el plan de auditoria de privacidad al plan de auditoría anual.

Referencias:

[1] <<Privacy Audit—Methodology and Related Considerations>>, ISACA, acceso 29 de noviembre del 2017,
https://www.isaca.org/Journal/archives/2014/Volume-1/Pages/Privacy-Audit-Methodology-and-Related-Considerations.aspx?utm_referrer=

[2] <<Privacy risk and opportunity identification>>, ICT, acceso el 29 de noviembre de 2017,
https://www.ict.govt.nz/assets/GCPO/Privacy-risk-and-opportunity-identification.pdf