Controles en la realidad digital

24 noviembre, 2020 by luciauribe 1 Comment

En el post anterior hable de los riesgos principales en relación con la realidad digital. En este post, voy a centrarme en como podemos controlar dichos riesgos y en cual es el papel del auditor en este proceso.

Riesgos físicos

El primer riesgo identificado era la seguridad física. Por un lado, están las caídas o golpes que podemos sufrir al perder conciencia de lo que realmente tenemos a nuestro alrededor. Para evitar estos accidentes, es necesario tener lugares preparados para poder utilizar estas tecnologías sin peligro. Las dimensiones y características particulares de este entorno dependerán mucho del uso que se le da a esta tecnología. Si se usa para que un médico pueda ensayar una operación, no hace falta un espacio muy grande, vale con una silla, una mesa despejada y el material quirúrgico. En cambio, si se utiliza para que un bombero entrene como entrar en un edificio, rescate a alguien y apague el fuego, se necesita un gran espacio acondicionado específicamente para realizar dicha tarea [1].

En cuanto al daño a nuestros ojos, existen 2 medidas a tomar, por un lado, limitar en tiempo durante el cual se puede utilizar esta tecnología y por otro, asegurarse de que las pantallas de estos dispositivos están en buen estado en cuanto a brillo, resolución…

Por último, en cuanto a las repercusiones psicológicas del uso de esta tecnología, existen tres medidas. En primer lugar, hay que asegurarse de que los contenidos son los adecuados, de forma que los empleados no puedan verse afectados por, por ejemplo, es estrés que supondría que aparezcan decenas de objetos o textos delante nuestro y rodeándonos por todas partes. En segundo lugar, hay que asegurarse de enseñar a quienes vayan a utilizar esta tecnología a usarla de forma correcta, y de concienciarles de las repercusiones que puede tener hacer un mal uso de ella. Por último, la empresa debería asegurarse, especialmente al principio de la implantación de esta tecnología, de que esta no está teniendo impactos negativos en los empleados.

Privacidad

En lo que se refiere al apartado de privacidad, es de vital importancia, al igual que al hacer uso de cualquier otra tecnología, que esta se almacene de forma segura. Esto implica que el acceso a estar datos debe estar limitado, que solamente deberán poder acceder a ellos quienes tengan las credenciales para hacerlo, que estarán encriptados… Además, también es muy importante informar a los usuarios sobre que datos se van a recolectar, para que se van a utilizar, donde y como se van a almacenar, durante cuánto tiempo… Por último, la empresa tendrá que asegurarse de que el uso que hace de estos datos cumple con la GDPR (General Data Protection Regulation), y de las implicaciones legales que podría tener, por ejemplo, utilizar los datos recogidos para monitorizar a los empleados [1].

Seguridad

Al igual que en el post anterior, las partes de seguridad física y de privacidad de los datos ya las he tratado en los apartados anteriores, por lo que en este voy a centrarme en la seguridad de los equipos. Uno de los controles más importantes es disponer de un espacio seguro en el que almacenarlos cuando no se estén utilizando. Este espacio deberá tener un control de acceso, de forma que en todo momento se sepa quien tiene cada equipo y donde lo tiene. Además, es importante realizar revisiones periódicas de los quipos para asegurar que no han sido hackeados o que no tienen ninguna falla, y educar a quienes vayan a utilizarlos sobre cómo hacerlo de forma adecuada.

Por último, me gustaría añadir que, la propia realidad digital es una herramienta que puede utilizarse para mejorar la seguridad de la empresa. La realidad virtual, por ejemplo, puede utilizarse en esfuerzos de recuperación de desastres y simulaciones de salas de guerra ya que la planificación de la respuesta a incidentes puede llevarse a otro nivel con experiencias que se asemejan mucho a los eventos de la vida real. Asimismo, la realidad aumentada puede ayudar a las empresas a visualizar mejor las amenazas cibernéticas a las que se enfrentan [2].

Conclusiones

Como hemos visto, aunque existen muchos riesgos, también existen controles asociados a cada uno de ellos para poder hacer que el impacto de estos sea mínimo. En todos estos casos, el papel del auditor sería asegurarse de que estos controles existen y de que están correctamente implementados y utilizados. Además, en el caso de que no lo estén, debería informar a la empresa que esté auditando sobre la falta de los mismo y lo que esto puede suponer. Por último, también es importante que el auditor se mantenga al día con los nuevos riesgos que puedan ir surgiendo a medida que aumente el uso de esta tecnología y que vaya definiendo cuales son los controles necesarios para gestionarlos [3].

Referencias

[1] The risk and rewards of enterprise use of augmented reality and virtual reality. ISACA journal volume 1 2020

[2] Augmented and virtual reality go to work, Deloitte, https://www2.deloitte.com/pe/es/pages/technology/articles/la-realidad-virtual-y-la-realidad-aumentada-ahora-en-las-empresas.html

[3] La auditoría interna y su alianza con las nuevas tecnologías para un futuro promisorio, INCP, https://www.incp.org.co/la-auditoria-interna-alianza-las-nuevas-tecnologias-futuro-promisorio/

Controles y auditoría aplicados a los sistemas de control industrial en infraestructuras críticas

24 noviembre, 2020 by ikerchavez 1 Comment

En anteriores publicaciones de la serie analizamos los riesgos que se han de tener en consideración a la hora de hablar de los ICS en infraestructuras críticas. Asimismo, se puso de relieve cuán importantes eran estos sistemas de cara a preservar la integridad de este tipo de complejos y su correcto funcionamiento. [Leer más…]

Big Data: Conclusiones y Green tendency

24 noviembre, 2020 by jondiezb 1 Comment

El comienzo de este post consistirá en desarrollar una conclusión válida para los tres primeros posts, a la vez que sirve como cierre para el post 4, que quedó lleno de controles, sin una clara explicación final que los acompañase.

Como hemos ido viendo a lo largo de este análisis que hemos hecho en torno al Big Data, se podría argumentar que no es solo una herramienta, ya que su utilización trae consigo un cambio en las empresas, creando una disciplina en la que prima la mejora de la toma de decisiones, basada en la gran cantidad de datos y en los análisis avanzados que esta permite.

El continuo crecimiento en el volumen de datos que se generan traerá consigo grandes cambios que se asentarán en torno al Big Data. Los avances sucederán cada vez más rápido, y las empresas podrán contar con una mejor rentabilidad y mayor éxito en su área, siempre y cuando, como hemos ido comentando, sean capaces de amoldarse a los cambios y nuevos retos que trae consigo.

Los principales retos son, de hecho, los que hemos ido comentando a lo largo de estos posts, los relacionados con los riesgos que presentan a una empresa, la capacidad de establecer unas medidas de seguridad acordes a lo requerido y la habilidad de desarrollar controles que verifiquen que todo se está haciendo como se debería.

Unido a este último párrafo, me gustaría hacer referencia a un artículo [1] que habla de la importancia de forjar una ventaja en un ambiente de continuo desafío. Este se centra en la industria manufacturera, sin embargo, habla de ideas que se podrían extrapolar al área que nos interesa. La idea principal con la que me gustaría que nos quedásemos, y utilizándola como frase para el cierre de esta pequeña conclusión, explica cómo las organizaciones han entendido que, en los tiempos más difíciles, la innovación es primordial para mantenerse competitivo. Y remarca, que hoy en día, ese factor diferencial que actualmente está proporcionando una ventaja a las empresas que son capaces de aplicarla correctamente, es la analítica aplicada al Big Data. Sin embargo, nos obliga a mantener los pies en el suelo, recordando que un error en la implementación de su estrategia supone un gran riesgo para el desempeño financiero.

Green tendency

Dando fin a esta serie de posts acerca del Big Data, me gustaría acabar comentando este artículo [2] sobre el Big Data y el movimiento hacia el cuidado del medio ambiente que estamos experimentando estos últimos años.

Como ya hemos visto, el Big Data es uno de los grandes movimientos que está experimentando la sociedad en lo que al ámbito empresarial se refiere, y esta tendencia verde es un movimiento que cada vez está calando más en la gente de a pie. A continuación, comentaré los aspectos más destacados de este artículo, como son los principales objetivos en los que nos podríamos beneficiar de la unión de estas dos tendencias y los principales retos que se tendrían que superar para que esto suceda.

Es obvio que las tecnologías causan daños en el medioambiente, a través de la contaminación, desechos, agotamiento de recursos o la alteración ecológica. Sin embargo, la buena utilización del Big Data, puede dar la vuelta a esta tendencia y empezar a generar beneficios más que destrozos. A continuación, listaremos una serie de problemas medioambientales que podrían mitigarse con la ayuda del Big Data.

Contaminación: la excesiva e innecesaria utilización y producción de aparatos tecnológicos causa contaminaciones sonoras, electromagnéticas, aéreas y acuosas.
Clima: existen estudios que sostienen que la ayuda del Big Data podría ayudar a detectar los principales causantes de este cambio climático que sufrimos, y así hacerle frente de manera más directa.
Degradación: uno de los principales problemas ecológicos surge con la extracción y agotamiento del carbón de los bosques. La universidad de Maryland y Google y desarrollaron una solución que permite medir de manera aproximada los impactos de la deforestación y calcular la cantidad de carbón restante en estas áreas vegetales.
Desperdicios: todos hemos oído la cantidad de comida, entre otras cosas, que se desperdician al año. El análisis de estos datos puede mejorar considerablemente la situación actual.
Recursos: la utilización de recursos renovables por encima de los no renovables es otro de los movimientos a los que cada vez más gente se está uniendo. Este artículo explica como los análisis de los datos que generan la utilización de estos recursos puede disminuir el desgaste de los recursos no renovables y potenciar y optimizar los que sí lo son.

A lo largo de todo el documento se proponen diferentes ideas para ayudar a encontrar una solución a los problemas que acabamos de nombrar. Sin embargo, antes de acabar con este post, me gustaría remarcar los tres retos o problemas que siguen abiertos con el fin de concienciarnos y darnos cuenta de que el Big Data puede ser de gran ayuda para impulsar esta tendencia green.

Medioambiente: ya hemos comentado como hay un gran margen de mejora en este aspecto, y como la recogida masiva de datos puede ayudarnos a detectar los puntos en los que deberíamos centrarnos para hacer frente a este gran problema presente en la actualidad.
Eficiencia energética: uno de los principales objetivos consiste en analizar la utilización de la energía, de manera que se pueda prever la cantidad que se va a necesitar, evitando así la innecesaria generación de energía que conlleva al desperdicio de esta.
Sostenibilidad: este es un aspecto que engloba muchísimas áreas, por no decir todas, desde el reciclaje hasta la disminución o optimización del transporte. Acorde a lo que hemos comentado antes, la reducción de desperdicios es una de las bases para aumentar esa sostenibilidad que buscamos, y el análisis de los datos que continuamente generamos juega un papel primordial en encontrar una solución. Analizar los patrones de movimiento podría ser una estrategia viable también para reducir el impacto que genera el transporte hoy en día.

Con esto doy por acabada esta reflexión sobre el impacto que puede tener la correcta aplicación del Big Data en algo tan importante para nuestro futuro y que nos incumbe a todos. Y como podréis imaginar, esto se puede extrapolar a muchos de los problemas que afrontamos hoy en día como sociedad.

Fin

Espero que estos cinco posts sobre el Big Data hayan ayudado a mejorar la visión que teníamos sobre ella y hayan aportado información y nuevos conocimientos. Personalmente, he aprendido muchas cosas y me he dado cuenta del impacto que próximamente seguiremos viendo gracias a esta tecnología, por lo que me doy por satisfecho con la investigación que he hecho durante estas semanas.

Referencias

[1] «Big Data Adoption in Manufacturing: Forging an Edge in a Challenging Environment», KnowledgeLeader. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/articlebigdataadoptioninmanufacturing

[2] «Big Data Meet Green Challenges: Big Data Toward Green Applications», Océano.
https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_journals_1814237070&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,big%20data&offset=0

Controles y auditoría IoT

23 noviembre, 2020 by koldourrosolo 1 Comment

En el post anterior comenté algunos riesgos asociados a los dispositivos conectador a la red. Por este motivo, sin cambiar mucho de tema, en este artículo hablaré sobre los controles a tomar en estos dispositivos, así como de los puntos clave que habría que tener en cuenta a la hora de realizar una auditoría.

Antes de empezar a listar los controles, creo que es importante recordar que existen muchos dispositivos IoT diferentes, así como los sistemas de comunicación que emplean estos dispositivos para comunicarse. Esto hace que no sea una tarea fácil crear un estándar.

En este caso, he decidido listar una seria de controles aplicables basados en la NIST 800-53 [1] [2]:

ID	Capa	ID NIST	Nombre del control	Objetivo del control
IoT-1	1	PE-3	Control de acceso físico	El fabricante verifica tanto las autorizaciones de acceso al dispositivo como las autorizaciones de acceso individuales. A su vez, mantiene registros de auditoría sobre el acceso físico y controla el acceso a las diversas áreas del dispositivo. Finalmente, el fabricante es el encargado de cambiar las combinaciones y claves del dispositivo cuando estas sean comprometidas.
IoT-2	1	SC-8	Transmisión, confidencialidad e integridad	Los dispositivos IoT protegen la confidencialidad e integridad de la información transmitida. Este control se aplica tanto a las redes internas como a las externas.
IoT-3	2	SC-7	Protección de límites	Los dispositivos monitorean y controlan las comunicaciones tanto en el límite externo como en los límites externos claves. Deben tener implementadas subredes para los datos de acceso público y deben conectarse a redes externas únicamente mediante interfaces administradas.
IoT-4	3	IA-3	Identificación y Autentificación del dispositivo	Los dispositivos deben identificar al resto de dispositivos antes de establecer conexión.
IoT-5	3	SC-15	Dispositivos de computación colaborativa	Los dispositivos únicamente pueden activarse remotamente cuando el fabricante lo permita. También, tienen que indicar el uso a los usuarios presentes en el dispositivo.
IoT-6	4	IA-2	Identificación y autentificación para los usuarios	Los dispositivos deben identifican y autentifican a los usuarios.
IoT-7	4	AC-2	Gestión de cuentas	El fabricante asigna las cuentas de respaldo y funciones comerciales. Además, establece administradores de cuentas y establece grupos y roles. Posibilidad de que el fabricante o el propietario pueda administrar cuentas del dispositivo.
IoT-8	5	CM-7	Funcionalidad mínima	El fabricante configura el dispositivo para realizar únicamente lo esencial. Además, restringe el uso de algunas funciones.
IoT-9	5	SC-28	Protección de la información en reposo	El dispositivo protege la confidencialidad y la integridad de la información en reposo.
IoT-10	5	PL-2	Plan de seguridad del sistema	El fabricante desarrolla un plan de seguridad consistente con la arquitectura empresarial y define los límites de autorización. También, describe el contexto y el entorno operativo del dispositivo y proporciona una descripción de los requisitos de seguridad. Además, describe los controles de seguridad implementados, junto con el motivo de estos.
IoT-11	6	PM-11	Definición de misión / proceso empresarial	El fabricante define la misión / procesos teniendo en cuenta la seguridad de la información y el riesgo resultante. Además, determina las necesidades de protección de la información que surgen.
IoT-12	7	PM-1	Plan del programa de seguridad de la información	El fabricante desarrolla y publica un programa de seguridad de la información. A su vez, ofrece una descripción de los requisitos y los controles para cumplir los requisitos.

Controles IoT basado en la NIST 800-53

Tengo que mencionar, que además de los controles, existen frameworks que permiten comprender ideas complejas mediante preguntas simples. Un ejemplo es el framework Zachman. Este framework se muestra en la siguiente imagen [3].

A la hora de realizar una auditoría, el IoT no requiere habilidades adicionales que una auditoría TI tradicional. El IoT únicamente necesita un nuevo enfoque que vincule las estrategias con las soluciones IoT. Algunas preguntas que considerar a la hora de auditar IoT serían las siguientes [4]:

¿Como está el IoT desplegado en la organización hoy en día y quién es el propietario o cuáles son sus respectivos componentes?
¿Sabemos qué datos se recopilan, almacenan y analizan, y hemos evaluado las posibles implicaciones legales, de seguridad y de privacidad?
¿Tenemos planes de contingencia implementados en caso de que nuestros dispositivos de IoT sean hackeadas o modificadas para fines no deseados?

En conclusión, existen un gran número de controles y frameworks para poder auditar correctamente entornos con dispositivos IoT y tener el entorno bajo control. En mi opinión, un gran número de incidencias ocurren por no cumplir con estos controles o no haberse preguntado algunas de las preguntas mostradas a lo largo de este artículo.

[1] <<An IoT Control Audit Methodology>>, ISACA, consultado el 23/11/2020, https://www.isaca.org/resources/isaca-journal/issues/2017/volume-6/an-iot-control-audit-methodology

[2] <<Control List>>, Twelve IoT Controls, consultado el 23/11/2020, https://twelveiotcontrols.com/

[3] <<IoT Needs Better Security>>, ISACA, consultado el 23/11/2020, https://www.isaca.org/resources/isaca-journal/issues/2017/volume-3/iot-needs-better-security

[4] <<Internal Audit, Risk, Business & Technology ConsultingThe Internet of Things: A Game Changer for IT Audit>>, Knowledge Leader, consultado el 23/11/2020, https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/HITheInternetofThingsAGameChangerforITAudit/$FILE/HI%20The%20Internet%20of%20Things%20-%20A%20Game%20Changer%20for%20IT%20Audit.pdf

Propiedad intelectual, controles y auditoría

23 noviembre, 2020 by imanolramajo 1 Comment

En el artículo anterior comentamos los riesgos a los que se exponen las empresas en cuanto a la propiedad intelectual. Identificamos 3 categorías: No olvidarnos de nuestra PI, que no nos roben nuestra PI y no infringir la PI de otros.

Para cada uno de estos posibles riesgos existen distintos controles que podemos implementar para reducir la probabilidad de que ocurran. Asegurando de esta manera el correcto funcionamiento de la empresa y asegurando el uso y aprovechamiento de estos activos tan importantes.

Empecemos por lo más básico, tener controlado cuales son las PI de las que disponemos. Para evitar que se olvide cuales son las PI de las que dispone la organización hay algunos controles obvios que hay que implementar.

Como auditores nuestro trabajo comienza por identificar las propiedades intelectuales. Hay muchísimas maneras de descubrir toda la información que puede ser de importancia para la organización. Algunas de las técnicas en las que podemos pensar son:

Realizar un inventario periódico de las PI de las que dispone la empresa.
Identificación de la documentación relacionada con las PPII.
Clasificación de las PI. Según tipo, importancia, …
Descubrir e investigar licencias a nombre de la empresa.
Validar que las licencias de PPII que hace uso la empresa son válidas.
Investigar acuerdos con terceros sobre PI.
Procedimientos investigación y flujos de trabajo bien documentados.
Identificación de los principales generadores de PI. Seguramente el equipo de investigación o desarrollo.
Análisis de repositorios de documentos.
Descubrir nombres de dominios de internet relacionados con la organización.
Si la organización opera internacionalmente, análisis del estado de las patentes, marcas, … en todos los países en los que opera.

Además queremos evitar perder estos datos por lo que necesitaremos establecer controles que eviten la pérdida de información. Aquí entrarían varias técnicas de seguridad de la información, como copias de seguridad o replicación de documentos.

Una vez tenemos identificado aquello que queremos proteger nos fijamos en los controles que nos ayudan a evitar que manos u ojos indeseados se hagan con nuestros activos. Esta parte se solapa mucho con la gestión de la seguridad.

Controles de acceso.
Restricciones de acceso.
Segregación de responsabilidades.
Identificación de usuarios.
Registro de actividad.
Ciberseguridad.
Concienciación de los empleados acerca de la PI.
Investigación de los contactos y pasado de los empleados.
Contratos de confidencialidad.
Marcar como confidencial la información o documentos para que no haya dudas.
Expresar claramente en los contratos de los empleados la confidencialidad y las consecuencias en caso de incumplimiento.

Y por otro lado, debemos asegurar que las propiedades intelectuales están adecuadamente protegidas haciendo uso adecuado de las herramientas legales de las que se dispone.

Patentes
Modelos de utilidad
Copyright
Marcas
Diseños industriales
Derechos de autor
Secretos comerciales
Seguros
…

También debemos asegurar que la estrategia en cuanto a la PI se alinea con la estrategia de la empresa.

El último problema al que nos podemos enfrentar es a estar infringiendo la propiedad intelectual de terceros. En estos casos nuestro trabajo como auditores es reportarlo a la dirección para que tomen las acciones necesarias para resolver el problema.

Referencias

[1] <<Intellectual Property Process Audit Report>>, KnowleadgeLeader, consultado el 20/11/2020,
https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/au/ditreportintellectualpropertyprocess

[2] <<Intellectual Property Management and Auditing>>, consultado el 20/11/2020,
https://www.innovation-asset.com/the-audit-and-management-of-intellectual-property

[3] <<IP Audit Check-list>>, consultado el 21/11/2020,
https://www.southeastasia-iprhelpdesk.eu/sites/default/files/publications/EN_Audit.pdf

[4] <<Law and Internal Auditing>>, consultado el 21/11/2020,
https://na.theiia.org/training/Public%20Documents/Intellectual%20Property.pdf

[5] <<Fact Sheet IP audit: Uncovering the potential of your business>>, consultado el 22/11/2020,
https://www.iprhelpdesk.eu/sites/default/files/newsdocuments/Fact-Sheet-IP-Audit-Uncovering-Potential-Your-Business-EN.pdf

Seguridad y Controles en Big Data

23 noviembre, 2020 by jondiezb 1 Comment

En el post anterior vimos los riesgos más relevantes asociados al Big Data, siguiendo esa línea, en este veremos cuales son los controles a realizar y las medidas de seguridad a tener en cuenta para mantener a raya esos riesgos.

Para refrescar lo que vimos en el anterior post, empezaremos listando los que son los principales riesgos a los que se enfrenta la industria del Big Data:

Como debe ser gestionada la estrategia y los recursos entorno al Big Data
Desarrollo e implementación en proyectos de Big Data
Privacidad y seguridad de los datos
Utilización de tecnologías open source y cloud
Computación segura en marcos de programación distribuida
Mejores prácticas en base de datos no relacionales
Registro de Transacciones y almacén de datos seguros
Monitoreo de la seguridad en tiempo real
Control de acceso criptográfico

Para poder alcanzar las necesidades de los objetivos de negocio, es necesario atacar estos riesgos y mejorar la habilidad con la que se hace uso del Big Data. Con intención de mejorar esto, ISACA estableció los ocho pasos o controles que describiremos a continuación.

Establecer prioridades con los datos: todos los datos no tienen la misma importancia dentro de un negocio, por lo que es imprescindible detectar cuales son los procesos críticos y asegurarse de que estos tienen preferencia.
Entender qué sucede con los datos: es fundamental monitorear todos los datos de la compañía, para analizar y tomar decisiones basadas en los resultados.
Los datos son preciados, deberían ser asegurados de esa forma: se debe tener un apropiado conocimiento de la performance de los procesos de manejo de datos.
Proveer guías claras de seguridad: se deben considerar todas las fuentes de información de las que se están obteniendo los análisis y evaluar las vulnerabilidades de cada una.
Asegurar futuros sistemas de prueba: las compañías deberían invertir en herramientas que ayuden a asegurar que sus datos sean acertados, actualizados y limpios a medida que el Big Data crece.
Tomar la nube en consideración: Los controles apropiados deben ser puestos en su lugar para confiar en el proveedor de servicios en la nube con los datos sensibles.
Encontrar un director de datos.
Finalmente, asegurar conformidad con las relevantes regulaciones y leyes actuales: Controles de seguridad lógicos y físicos de acceso son necesarios para prevenir acceso sin autorización a los datos sensibles y valiosos. Es importante, mantenerse informado acerca de propuestas legislativas y usar la oportunidad de emplear las mejores prácticas en cuanto al ciclo de vida de los datos.

Haciendo énfasis en este último consejo de ISACA, veremos las cláusulas recogidas de la ISO 27002 relacionadas con el Big data en lo referente a la seguridad física y lógica.

Seguridad física

Cláusula	Descripción
11.1.1 Perímetro de seguridad física	Se deben definir perímetros de seguridad que sean usados para proteger las áreas que contengan tanto información crítica como sensible, así como las instalaciones donde se procesa.
11.1.2 Controles Físicos de entrada	Se deben proteger las áreas que se consideren necesarias por controles apropiados de entrada que garanticen que sólo el personal autorizado tiene acceso.
11.1.4 Protección contra amenazas externas y medioambientales	Se deben aplicar procedimientos contra desastres naturales o ataques intencionados como inundaciones, fuegos o explosiones.
11.2.1 Protección y emplazamiento físico del equipo	El lugar de trabajo debe reducir los riesgos provenientes de amenazas medioambientales y peligros provocados por accesos no autorizados.
11.2.2 Utilidades de apoyo	El equipamiento debe estar protegido ante fallos eléctricos y otras interrupciones causadas por fallos en otros sistemas de apoyo.
11.2.3 Seguridad en el cableado	Los cables de alimentación y telecomunicaciones que transporten datos o servicios de información de apoyo deben estar protegidos contra toda interferencia o daño.
11.2.4 Mantenimiento del equipo	El equipo debe ser correctamente mantenido de acuerdo con las recomendaciones y especificaciones del fabricante para asegurar su continuidad, disponibilidad e integridad.
11.2.5 Eliminación de activos	El equipo, información, o software no debe ser sacado de su emplazamiento físico o lógico sin una autorización previa.

Seguridad lógica

6.1.5 Seguridad de la información en la administración de proyectos	La seguridad de la información debe abordarse en la gestión del proyecto, independientemente del tipo de proyecto, y debería estar integrada en los métodos de administración de proyectos de la organización, para asegurar que los riesgos de la seguridad de la información son identificados y dirigidos como parte íntegra del mismo
8.2.1 Clasificación de la información	La información debe ser clasificada en función de sus requisitos legales, valor, criticidad y sensibilidad.
8.3.2 Eliminación de medios	Los dispositivos deben ser borrados de manera segura cuando ya no sean necesario usando procedimientos formales.
9.2.5 Repaso de los derechos de acceso de los usuarios	Se debe revisar de manera frecuente el acceso de los usuarios sobre todo después de ascensos, degradaciones, despidos o cualquier otro cambio significativo.
10.1.1 Política en el uso de controles criptográficos	Se debe desarrollar e implementar una política de uso de controles criptográficos para la protección de la información.
12.2.1 Controles contra el malware	Se deben implementar controles de detección, prevención y recuperación que garanticen la protección contra el malware, así como concienciar a los trabajadores.
12.3.1 Información de respaldo	Se debe establecer una política de respaldo que defina y establezca los requisitos de la empresa en cuanto a respaldo de la información, del software y de los sistemas.
13.1.1 Controles de Red	Las redes deben ser controladas y gestionadas para proteger la información de los sistemas y aplicaciones. Se deben implementar controles que garanticen la seguridad de la información en red y la protección de los servicios conectados desde accesos no autorizados.
14.2.8 Pruebas de Seguridad del Sistema	Se deben realizar pruebas de seguridad, tanto para los sistemas nuevos como para los actualizados, durante el periodo de desarrollo.
16.1.2 Reportar eventos de seguridad de la información	Los eventos de seguridad de la información deben ser comunicados por los canales administrativos apropiados tan rápido como sea posible.
16.1.3 Informar sobre las debilidades en la seguridad de la información	Los empleados y contratistas que usen los sistemas de información de la organización están obligados a reportar cualquier debilidad detectada.
16.1.6 Aprendiendo de los incidentes de seguridad de la información	La información obtenida de los análisis de incidentes debe usarse para reducir el impacto de futuros sucesos
18.1.3 Protección de archivos	Se debe tener en cuenta la forma en la que la organización clasifica sus archivos y el período de tiempo durante el que los almacena a la hora de seleccionar el medio en el que va a guardar la información para protegerla de accesos no autorizados o descargas ilegales.

Ahora que ya conocemos diferentes controles que debemos llevar a cabo relacionados con el Big Data y debido a la longitud del post, lo daré por acabado aquí, dejando como tarea para el próximo y último post una pequeña reflexión sobre los controles nombrados a lo largo de este documento.

Referencias

[1] «Seguridad y Control en Big Data», Academia.
https://www.academia.edu/28496329/Seguridad_y_Control_en_Big_Data

[2] «Auditoría de Proyectos Big Data, Cloud Computing y Open Data», Universidad Complutense de Madrid.
https://eprints.ucm.es/50039/1/TFG%20BertaMontes.pdf

[3] «Controles ISO 27002-2013», ISO 27000.
https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf

Controles para amenazas internas

22 noviembre, 2020 by Egoitz Aranzabal Calvo 1 Comment

Ya hemos hablado sobre qué son las amenazas internas, su relevancia y los riesgos que estas acarrean, ahora toca hablar de cómo prevenir, identificar y mitigar estos riesgos aplicando diversos controles. Para empezar a aplicar controles lo interesante es primero saber en qué situación se encuentra actualmente tu empresa y qué esfuerzos está poniendo en detener este tipo de amenazas. En la página de SIRIUS Edge se nos plantean una serie de preguntas que podrían resultar interesantes para identificar el desempeño de nuestra empresa frente a estas amenazas para luego poder crear un programa que ayude a mitigarlas y prevenirlas [1].

¿Has identificado y clasificado tus datos críticos?
¿Has educado a tus usuarios sobre los procesos de tratamiento de los datos?
¿Puede definir el comportamiento normal que debería tener el usuario?
¿Eres capaz de identificar comportamientos anómalos?
¿Tienes algún control de auditoría para dejar claro las necesidades de acceso y autorización de los usuarios?
¿Tienes un programa efectivo de gestión de identidad y acceso (IAM)?
¿Prestas especial atención a los usuarios con acceso privilegiado?
¿Tienes alguna estrategia para auditar la adherencia a la política del usuario?
¿Auditas de forma rutinaria las prácticas de seguridad de terceros que influyan en tu empresa?

En el propio artículo de SIRIUS Edge podemos encontrar puntos clave para montar un programa de auditoría y CISA (Cybersecurity & Infraestructure security agency) también menciona 5 puntos clave para la creación de programas de auditoría para amenazas internas [2]. Aunque estos mencionados sean interesantes he encontrado de mayor interés un artículo de LISA Instituto que da 21 puntos clave para detectar y prevenir insiders en tu organización [3]. En la foto podemos ver los 21 puntos que consideran claves. No voy a comentar todos los puntos ya que muchos creo que se explican por sí mismos. Me voy a centrar en el cómo desarrollar el programa formalizado de insider y en algunos puntos más que puedan resultar interesantes de hablar.

Crear un programa de insiders puede ser clave dentro de una empresa ya que proporciona un recurso que puede ayudar a abordar el problema de los insiders. El programa al final es una medida que adopta la empresa para detectar, prevenir y actuar de forma correcta frente a estas amenazas. LISA Institute menciona los componentes comunes que tienen estos programas según el CERT:

Programa formalizado y definido: Se tienen que definir la misión, las directrices a seguir, quienes son los encargados, la gobernanza y el presupuesto.
Participación de toda la organización: Es importante tener la participación de todos los componentes de la empresa para obtener datos que sean útiles en el programa.
Supervisión del cumplimiento y la eficacia del programa: Se crea un grupo que sirva como soporte al gerente del programa para generar nuevas ideas y cambios posibles en el programa. Para aprobar estos cambios y procedimientos que ha propuesto el equipo existe un grupo directivo. Es importante hacer evaluaciones anuales del programa, tanto desde dentro de la empresa como por parte de terceros.
Mecanismos y procedimientos de información confidencial: Se tiene que permitir que cualquiera pueda reportar alguna actividad sospechosa, pero que esa persona no salga perjudicada en el proceso.
Plan de respuesta a incidentes de amenazas internas: Se debe redactar un plan para gestionar las incidencias y alertas que surjan, como actuar, plazos de actuación y recursos necesarios.
Comunicación de eventos de amenazas internas: Es clave comunicar de estas alertas que vayan surgiendo siempre respetando la confidencialidad y la privacidad.
Protección de la libertades y derechos civiles de los empleados y clientes: Al implementar este programa se tiene que revisar cada proceso para asegurar que se respeta la privacidad de los implicados.
Políticas, procedimientos y prácticas: Redactar un documento detallando, la misión, el alcance, las directivas a seguir, las instrucciones y procedimientos estándar del programa.
Técnicas y prácticas de recogida y análisis de datos: Detallar qué técnicas de monitorización se van a realizar, así como que datos se van a recoger y cuál va a ser su tratamiento con tal de asegurar la privacidad de los datos.
Entrenamiento y concienciación sobre las amenazas internas: Es importante la creación de un programa de capacitación y concienciación. Creo que es un punto clave teniendo en cuenta que los empleados son los que realizan estos ataques muchas veces porque no están informados. La empresa tiene que informarles de que conductas son adecuadas y de cuáles no y concienciarse en cuanto a cómo repercute uno de estos incidentes en la empresa, en el mundo exterior e incluso en el propio empleado. En la página de CISA podemos encontrar videos, publicaciones e incluso enlaces a cursos que tratan el tema [4].
Infraestructura de prevención, detección y respuesta: Tener una infraestructura de defensa tanto física como en la red.
Prácticas de amenazas internas relacionadas con los socios comerciales de confianza: Revisar todos los contratos firmados con terceros para poder detectar posibles amenazas emergentes.
Integración de Insiders con la gestión de riesgos empresariales: En la gestión de riesgos se deben tener en cuenta las amenazas internas junto a todos los demás riesgos que puedan surgir en la empresa.

Entre los 21 puntos unos cuantos tratan el tema de la monitorización como por ejemplo el punto que habla de estar atentos a las redes sociales o las herramientas de monitorización de empleados. Creo que son clave a la hora de saber qué es lo que el empleado hace dentro de la empresa, pero también tiene su punto negativo y es que se puede llegar a atentar contra la privacidad del propio empleado. No sería el primer caso de despido por culpa de redes sociales y hasta cierto punto no tendría que afectar al puesto de trabajo de la persona. Se tiene que encontrar un punto de monitorización en el que la empresa sea capaz de detectar amenazas, pero sin llegar a privar al empleado de su privacidad, es decir un sistema donde el empleado esté a gusto y no sienta que le están invadiendo su espacio privado. Para ello es importante informar en todo momento al empleado de cómo se le monitoriza y qué información se recopila en ese proceso.

En conclusión, si miramos a los 21 puntos veremos que existen muchos pasos a seguir para mitigar estas amenazas, pero es importante ver hasta qué punto podemos realizar tareas de monitorización de empleados sin atacar directamente a su privacidad.

Otro punto que me ha parecido clave es el mantener un control estricto de los accesos que tienen los empleados a los sistemas y la información. Sólo permitir acceso a personas que lo necesitan hace que los datos y los sistemas no estén tan expuestos como si toda la empresa tuviese acceso a ellos. Buscando documentos relevantes sobre amenazas internas en Océano me ha sorprendido como gran parte de los artículos tratan este tema. Mencionar en concreto uno de Suhair Alshehri que habla sobre la importancia de mantener controlados los accesos en el sistema sanitario para evitar amenazas internas [5]. Algo que en una empresa puede suponer una brecha de datos en el sistema sanitario puede poner en juego la vida de las personas, por lo que es un tema clave. Debemos tener en cuenta que a diferencia de los atacantes externos los internos ya tienen credenciales y acceso a la zona de trabajo por lo que les estamos dando facilidades de fastidiarlo todo.

P.S: Investigando sobre el tema de los controles he encontrado un report de 2020 que contiene datos interesantes sobre las amenazas internas. Podría servir como complemento a lo ya tratado en el segundo post sobre la relevancia. [6]

REFERENCIAS

[1] <<5 Keys to Addressing Insider Threats>>, SIRIUS Edge, acceso el 21 de noviembre de 2020, https://edge.siriuscom.com/security/5-keys-to-addressing-insider-threats#:~:text=Two%20key%20controls%20for%20reducing,behavior%20by%20a%20single%20actor.

[2] <<ESTABLISH A COMPREHENSIVE INSIDER THREAT PROGRAM>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/establish-program

[3] <<Lista de 21 medidas para detectar y prevenir Insiders en tu organización>>, LISA Institute, acceso el 21 de noviembre de 2020, https://www.lisainstitute.com/blogs/blog/medidas-para-detectar-y-prevenir-insiders

[4] <<INSIDER THREAT – TRAINING & AWARENESS>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/training-awareness

[5] Suhair, Alshehri. 2016. << Using Access Control to Mitigate Insider Threats to Healthcare Systems>>. Paper. IEEE International Conference on Healthcare Informatics. Océano.

[6] <<Insider Threat Report>>, Cybersecurity Insiders, acceso el 22 de noviembre de 2020, https://www.cybersecurity-insiders.com/wp-content/uploads/2019/11/2020-Insider-Threat-Report-Gurucul.pdf

Más riesgos y controles del 5G

19 noviembre, 2020 by ikerpereira 1 Comment

Siguiendo con el hilo del anterior post en el que comenté algunos de los riesgos del 5G, en este presentaré algunos riesgos más y los controles y medidas necesarias para mitigar esos riesgos.

Pero antes de todo, veo conveniente dejar claros algunos conceptos como riesgo, control, amenaza y vulnerabilidad. En el ámbito de la informática podemos definir el riesgo como la probabilidad de que ocurra un incidente de seguridad. Por otro lado, la amenaza es una acción que podría tener un potencial efecto negativo sobre un activo. Por sí sola la amenaza no provoca un daño, necesita de una debilidad o fallo en los sistemas para que se materialice el daño, a estas debilidades o fallos les llamamos vulnerabilidades. Por lo tanto, podemos decir que un riesgo es la probabilidad de que ocurra una amenaza utilizando una vulnerabilidad generando un daño [1].

Para mitigar estos riesgos, se emplean controles que permiten asegurar la calidad de nuestros sistemas y a su vez, estos controles necesitan ser auditados para asegurar que se cumplen como se deben.

Tras el apoyo del Consejo Europeo el 22 de marzo de 2019 para un enfoque concertado de la seguridad de las redes 5G, la Comisión Europea adoptó su recomendación sobre la ciberseguridad de las redes 5G el 26 de marzo de 2019. Esta recomendación pedía a los Estados miembros que completaran evaluaciones de riesgos y revisaran las medidas nacionales, trabajando juntos a nivel de la UE con el objetivo de concretar una evaluación de riesgos coordinada y preparar una “caja de herramientas” de posibles medidas de mitigación.
Cada Estado miembro completó su propia evaluación de riesgos de sus infraestructuras de red 5G y transmitió los resultados a la Comisión y a ENISA. Gracias a esto se desarrolló una “caja de herramientas” de la UE para la mitigación de riesgos en cuanto a redes 5G [2].

Este documento comienza enumerando 9 riesgos fundamentales a tener en cuenta:

Mala configuración de redes.
Falta de controles de acceso.
Baja calidad del producto.
Dependencia de un solo proveedor dentro de redes individuales o falta de diversidad a nivel nacional.
Interferencia estatal a través de la cadena de suministro 5G.
Explotación de redes 5G por parte del crimen organizado dirigido a usuarios finales.
Interrupción significativa de infraestructuras o servicios críticos.
Fallo masivo de las redes debido a la interrupción del suministro eléctrico u otros sistemas de apoyo.
Explotación del IoT, teléfonos o dispositivos inteligentes.

Estos riesgos se pueden agrupar en diferentes escenarios. El primer y segundo riesgo hacen referencia a un escenario relacionado con una insuficiencia de medidas de seguridad. El tercero y cuarto están relacionados con la cadena de suministro. El quinto y sexto surgen de acciones negativas por parte de terceros actores. El séptimo y octavo riesgo surgen por el fallo de un sistema unido a la red 5G y por último, el noveno está relacionado con dispositivos para el usuario final. Tal vez este último riesgo sea uno de los que más se diferencia respecto a los riesgos que pudieran haber tenido y que siguen teniendo redes móviles de anteriores generaciones como el 4G y el 3G.

En el mismo documento también se plantean medidas que permiten mitigar los riesgos comentados anteriormente. A partir de estas medidas se pueden sacar los controles que aseguren la calidad de la red 5G. He realizado la siguiente tabla teniendo en cuenta el documento, seleccionando, resumiendo y adaptando el contenido:

En conclusión, los controles parecen estar muy dirigidos a los operadores de red móvil, esto puede expresar una clara preocupación por parte de estas empresas. Al final, dentro de un sistema compuesto por muchos agentes, el nivel de seguridad suele ser el del eslabón más débil y es donde hay que poner el foco. En mi opinión, estas medidas no serán suficientes para evitar que se materialicen ciertas amenazas ya que todo no se puede prever. Además, esta tecnología que posibilita que otras cojan fuerza, hace que ciertos problemas solo salgan a la vista una vez que esté completamente implantada. Creo que todavía hay mucho trabajo por delante en cuanto al 5G.

Bibliografía

[1] <<Diferencias entre ataque, amenaza y vulnerabilidad en Ciberseguridad>>, EALDE, consultado el 12/11/2020,
https://www.ealde.es/ataque-amenaza-vulnerabilidad-ciberseguridad/#:~:text=El%20concepto%20de%20vulnerabilidad%20en%20Ciberseguridad&text=Esta%20puede%20considerarse%20como%20la,de%20un%20sistema%20de%20informaci%C3%B3n.&text=Las%20amenazas%20representan%20un%20potencial,que%20se%20materialice%20ese%20da%C3%B1o

[2] <<EU Toolbox of risk mitigating measures>>, European Union, consultado el 12/11/2020, https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures

Controles y auditoría en los dispositivos médicos

12 noviembre, 2020 by andreagallego 1 Comment

Como expliqué en el post anterior, existen múltiples formas de atacar o de poner en riesgo los dispositivos médicos que utilizamos día a día y cada vez con más vulnerables, desde ataques a través de software mal configurado, hasta la obtención de datos erróneos del paciente. Esto último podría ser fatal ya que pondría en peligro directamente al paciente. ¿Qué pasaría si “por un error informático”, le suministramos una dosis errónea de un medicamento a un paciente? El resultado podría ser fatal. Y eso no ocurre solo a los ordenadores como tal, también dispositivos que tienen los pacientes como los marcapasos o wearable que recogen datos que podrían usarse en caso de emergencia. Por lo que no podemos arriesgarnos en la salud de las personas, hay que controlar los posibles riesgos.

En el post anterior también me adelanté explicando la ISO 14971, que permite evaluar y controlar los riesgos. Este, define unos pasos a seguir. [1]

Crear un plan de gestión de riesgos para el dispositivo
- Define los pasos detallados de un dispositivo en concreto, incluyendo el análisis del riesgo, en control del riesgo, la revisión y el reporte.
Ejecutar actividades de riesgo
- Utilizar herramientas de análisis de riesgo, para reducirlos al mínimo. También es conveniente hacer un balance riesgos-beneficios.
Revisar los resultados obtenidos y realizar un reporte
- Documentar el trabajo realizado y comentar los resultados

Un concepto interesante que se puede usar para medir la probabilidad de que ocurra un riesgo y su posible resultado sería la utilización de una matriz de aceptación de riesgos, que mide con 3 colores el nivel de riesgo. [2]

Ahora que ya hemos identificado los riesgos, los hemos analizado por niveles, podemos controlarlos. La ISO 14971 sigue ayudándonos haciéndonos las siguientes preguntas.

¿Podemos reducir el riesgo?
¿Cuál es la mejor manera de hacerlo?
¿Ha funcionado el control del riesgo?
¿Es aceptable el nivel de riesgo que tenemos ahora?

HERRAMIENTAS

Si no contamos con experiencia anterior en control de riesgos, puede ser complicado evaluar cuál es la más indicada para tu problema. ¿Tiempo? Finito. ¿Herrramientas? Infinitas (más o menos). Se pueden separar básicamente en 3 tipos: Botton-up, top-down y el resto. La siguiente imagen muestra varias de las más comunes. [3]

También me parece importante destacar que solo se pueden prever los riesgos que están bajo tu control. Por ejemplo, no debemos obsesionarnos con los riesgos que acarrea una pandemia mundial, ya que no está bajo nuestro control y además es nuevo para todos.

Para terminar, también es importante evaluar los beneficios. El tipo, la magnitud o la probabilidad pueden ser unos indicadores positivos

Como ejemplo, voy a intentar establecer los posibles controles para los riesgos identificados en el anterior post: [4]

Limitar los controles de acceso –> Solamente al dispositivo que está conectado y establecer la autenticación en 2 pasos.
Actualizaciones periódicas –> Aplicar parches de seguridad es la mejor práctica.
Aplicar estándares en el código –> Testearlo rigurosamente antes de desplegarlo y establecer unas características para desarrollarlo de la mejor manera posible.
Seguridad por diseño –> Asegurar el inventario de las terceras partes en cuanto a software y hardware. También podría ser importante en el uso de canales encriptados para comunicarse con el resto del mundo.

No se puede hablar sobre los controles sin hablar de los auditores, que tienen una labor esencial en lo que llevamos hablando en este post y en muchas otras acciones. Son los responsables en cumplimentar las regulaciones y procedimientos que se utilizan.

Por ejemplo, el MDSAP (Programa de Auditoría Única de Dispositivos Médicos) es una iniciativa internacional que permite realizar una única auditoría del sistema de gestión de calidad de los fabricantes de dispositivos médicos satisfaciendo todas las regulaciones en múltiples países. De esta manera se logra centralizar un poco la forma de auditar entre los distintos países. [5]

Un ejemplo sobre ello es un artículo que he visto sobre la “gestión de equipos médicos: implementación y validación de una herramienta de auditoría”, en el que explican los detalles, pasos, etapas y la importancia de esta actividad. Es un poco extenso, pero dejo este par de imágenes de resumen. [6]

Evaluación de gestión de equipos médicos en el marco de la resolución 2003 de 2014

Resultados dinámicos de la evaluación de estándares de gestión de la tecnología en el marco de acreditación en salud

Como se puede ver en la imagen superior, el resultado es muy similar a las actividades que realizamos en clase así que es fácilmente entendible y muy visual.

Al final del artículo, vuelven a recalcar los beneficios cuando se ha aplicado la auditoría en este ámbito y la importancia de desplegarla en los mayores entornos posibles.

Para terminar, en el próximo post, el último, trataré algunos temas que se me han quedado en el tintero para finalizar con este contenido.

Referencias

[1] <<ISO 14971 and Medical Device Risk Management 101>>, Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/iso-14971-risk-management-basics/

[2] <<Creating a Medical Device Risk Management Plan and Conducting a Risk Analysis>>, Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/medical-device-risk-management-planning-analysis/

[3] <<Medical Device Risk Control and Risk Management Tools>> , Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/risk-controls-risk-management-tools/

[4] <<Device manufacturers – A Snapshot of Guidance>>, ISACA, vol 4 (2019): 30-31

[5] <<Medical Device ISO 13485:2003 Voluntary Audit Report Pilot Program; Termination of Pilot Program; Announcement of the Medical Device Single Audit Program Operational Phase>>, Océano, consultado el 5/11/2020, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_reports_1749683809&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,medical%20devices%20audit

[6] <<Gestión de equipos médicos: implementación y validación de una herramienta de auditoría>>, SciELO, consultado el 5/11/2020, http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-95322017000100076

Drones: controles y auditoría

7 noviembre, 2020 by leireroman 1 Comment

En el post anterior realicé un análisis de los riesgos que implica el uso de drones, evaluando si son altos, medios o bajos teniendo en cuenta la probabilidad de ocurrencia y la gravedad de las consecuencias en caso de que el riesgo se materialice.

Con el objetivo de completar dicho análisis, en este post voy a definir los controles que deberían llevarse a cabo para mitigar los riesgos identificados, tanto los no intencionados como los intencionados. Asimismo, hablaré sobre el rol del auditor en relación con los drones.

Controles

Riesgos no intencionados

Los controles para los riesgos no intencionados se basan en verificar que se cumple con el Real Decreto 1036/2017 que regula el uso de drones en España ^[1], el cual ya traté en un post anterior.

Teniendo en cuenta que la normativa no se aplica de igual manera cuando el dron se usa de forma recreativa o profesional, también he realizado esta separación en la descripción de los controles.

Riesgos	Controles para uso recreativo	Controles para uso profesional
Daños a edificios	Verificar que no se vuela sobre aglomeraciones de edificios. Verificar que no se vuela de noche si el dron pesa más de 2 kg. Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.	Verificar el seguro de responsabilidad civil, la habilitación en AESA¹, si es piloto de RPAS² y si tiene el certificado médico en vigor. Verificar la autorización para volar sobre aglomeraciones de edificios. Verificar la autorización para volar en BVLOS³ con un dron de más de 2 kg. Verificar la autorización para volar de noche.
Daños a aeronaves	Verificar que no se vuela de noche si el dron pesa más de 2 kg. Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares. Verificar que no se vuela en Espacio Aéreo Controlado ni donde se realicen otros vuelos a baja altura. Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.	Verificar el seguro de responsabilidad civil, la habilitación en AESA¹, si es piloto de RPAS² y si tiene el certificado médico en vigor. Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares. Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo. Verificar la autorización para volar en BVLOS³ con un dron de más de 2 kg. Verificar la autorización para volar de noche.
Daños a personas	Verificar que no se vuela sobre personas. Verificar que no se vuela de noche si el dron pesa más de 2 kg. Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.	Verificar el seguro de responsabilidad civil, la habilitación en AESA¹, si es piloto de RPAS² y si tiene el certificado médico en vigor. Verificar la autorización para volar sobre grupos de personas. Verificar la autorización para volar en BVLOS³ con un dron de más de 2 kg. Verificar la autorización para volar de noche.
Interferencias	Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares. Verificar que para la comunicación, se utilizan bandas libres.	Verificar el seguro de responsabilidad civil, la habilitación en AESA¹, si es piloto de RPAS² y si tiene el certificado médico en vigor. Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares. Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo. Verificar que para la comunicación, se utilizan bandas libres.

¹AESA (Agencia Estatal de Seguridad Aérea)
²RPAS (Remotely Piloted Aircraft System)
³BVLOS (Beyond Visual Line of Sight)

Riesgos intencionados

Los riesgos intencionados, a diferencia de los no intencionados, no se centran en verificar el cumplimiento de la normativa sino en intentar que ese riesgo no se lleve a cabo. Estos riesgos, debido al objetivo de causar daño que tienen, son más difíciles de controlar. Asimismo, los controles para intentar mitigarlos varían mucho dependiendo del riesgo.

Riesgo	Controles
Ataque terrorista	Vigilar visualmente el espacio aéreo cercano a zonas susceptibles de ser atacadas. Rastrear la compra de drones por parte de posibles grupos terroristas.
Ataque de ciberseguridad	Verificar la dificultad de robar físicamente los datos almacenados en el dron. Verificar que los datos almacenados en el dron están cifrados. Verificar que la clave secreta es compleja y larga. Verificar que las conexiones de la comunicación están cifradas.
Dispersión químico-biológica	Verificar el contenido de los pulverizadores agrícolas para comprobar que no ha sido modificado. Vigilar visualmente el espacio aéreo cercano a grupos grandes de personas susceptibles de ser atacadas.
Contrabando	Vigilar visualmente el espacio aéreo cercano a las cárceles y fronteras. Vigilar las inmediaciones de las cárceles y fronteras para comprobar que no hay pilotos de drones.
Violación de privacidad	Vigilar visualmente el espacio aéreo cercano a la propiedad privada que se quiere proteger. Ocultar información sensible que puede ser captada por un dron. Controlar los obstáculos físicos (vallas, barreras, …) que evitan el acceso a la propiedad privada que se quiere proteger.

Rol del auditor

Los drones son una tecnología relativamente nueva y su mercado es cada vez más popular, lo que requiere una supervisión para controlar que se cumple con la normativa vigente y que no suponen un peligro para la sociedad.

Por lo tanto, es imprescindible el rol del auditor para llevar a cabo controles como los descritos en este post. De hecho, las operadoras de drones que quieran obtener un certificado LUC (Certificado de operador de drones ligeros) deben tener un gerente responsable, además de un responsable de monitoreo que lleve a cabo un proceso continuo de auditorías. Este monitoreo puede ser realizado por personal interno o externo. ^[2]

En definitiva, como en muchas otras tecnologías emergentes, la presencia del auditor es indispensable. Asimismo, el tener que auditar una tecnología nueva evidencia el hecho de que la auditoría es un trabajo interdisciplinar y que requiere la adquisición de nuevos conocimientos según pasan los años y las tecnologías evolucionan. ^[3]

Referencias

[1] <<Normativa de Drones en España 2020>>, One Air, acceso el 5 de noviembre de 2020, https://www.oneair.es/normativa-drones-espana-aesa.

[2] <<Auditoría de operadoras de drones y certificado LUC>>, Drone Europa, acceso el 5 de noviembre de 2020, https://www.droneuropa.com/auditoria-drones/.

[3] <<The Practical Aspect: Today’s Interdisciplinary Auditors>>, ISACA, acceso el 5 de noviembre de 2020, https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/todays-interdisciplinary-auditors.