Social media y networking desde una perspectiva corporativa – Controlando y auditando

Download PDF

¡Hola a tod@s!

Son varios ya los posts respecto al tema que nos compete, hemos arrojado algo de luz sobre diferentes aspectos: riesgos, relevancia… Hoy, vamos a ponerle la guinda al pastel. Vamos a abordar cómo se deben auditar y controlar la social media y las formas de hacer networking en nuestras organizaciones. Auditar y poner controles es lo que nos va a permitir evitar los riesgos, o, por lo menos minimizarlos. En este sentido, vamos a tratar de explicar los controles a implantar y el proceso para auditar correctamente y proteger nuestra empresa. Pongámonos a ello.

[Read more…]

¿Podemos controlar nuestras identidades digitales?

Download PDF

Desafortunadamente, no podemos cuantificar la confiabilidad de un sistema, método o técnica, por mucho que existan distintas herramientas las cuales intentan darnos esa seguridad, nosotros lo único que podemos hacer es tratar de cuantificar el riesgo y equilibrarlo. Las empresas han estado analizando el riesgo durante años, y para ello se deben tener varios conocimientos sobre la misma, como por ejemplo, un resumen detallado del sistema, evaluaciones de la interacción requerida con los socios y su capacidad para realizar las tareas. Lo importante es cuantificar las pérdidas potenciales y sus probabilidades a un nivel de detalle que depende de la madurez de la infraestructura de identidad. Por lo que, con todo esto estamos hablando de una auditoría exhaustiva que nos ayude a mitigar esos riesgos de los que hablábamos en las publicaciones anteriores. [1]

Tanto las personas como las organizaciones deben tomar el control de su gestión de identidad, de forma que mejoren su seguridad y privacidad.  Para ello pueden llevar a cabo una serie de estrategias:

  1. Una auditoría de identidad personal para comprender donde acaba su huella digital, si cualquiera puede acceder a ella o no, etc.
  2. Utilizar herramientas para mejorar la privacidad.
  3. Mantenerse informado como ciudadano digital sobre cómo proteger su privacidad digital.

La siguiente matriz iría relacionada con el primer punto:

Riesgos

Controles

Suplantación de identidad –  Conocer en detalle la forma en la que se ha dado la suplantación de identidad.

–  Determinar que la organización ha definido una fuente de identidad confiable, como la base de datos de recursos humanos.

Registro abusivo de nombre de dominio – Verificar que la empresa cuenta con una estrategia en caso de ciber ocupación.

Determinar que posee los recursos legales apropiados para reprimir este acto. [3]

Ataques de denegación de servicio distribuido ataque «DDoS» – Determinar si se puede soportar ese tipo de ataque.

– Verificar que la empresa cuenta con una estrategia en caso de que el ataque le afecte.

Fuga de información – Determinar que el sistema de manejo de identidad verifica cada solicitud de una identificación nueva o modificada contra la fuente confiable.

– Determinar que las plataformas siguen la política de manejo de identidad de la organización.

– Verificar que las aplicaciones heredadas que no se adhieren a la política de manejo de la identidad hayan sido formalmente aprobadas por un ejecutivo de TI en un nivel superior apropiado.

– Determinar si un marco de gestión de seguridad apropiado, como ISO / IEC 27002 o la serie NIST 800, se utilizará como referencia de buenas prácticas. [4]

Publicaciones por terceros de informaciones negativas

 

– Determinar por qué han ocurrido esas publicaciones.

– Determinar si existe una estrategia alternativa que solucione esa información negativa. 

Utilización no consentida de derechos de propiedad industrial – Comprobar que la organización conoce los métodos legales y que puede aplicarlos para evitar esa utilización no consentida. 

CapturaMe parece interesante comentaros, con respecto al segundo punto, algo que he estado leyendo: La Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC). Se trata de una organización que describe una visión del futuro, un Ecosistema de Identidad, donde individuos, empresas y otras organizaciones (comunidades) disfrutan de mayor confianza y seguridad mientras realizan transacciones confidenciales en línea. Y os preguntareis, pero ¿de qué se trata? Pues bien, es un entorno en el cual las tecnologías, las políticas y los estándares están acordados de manera que respaldan todas las transacciones (desde las que van de valores anónimos hasta totalmente autenticados, de altos a bajos). Los componentes de este ecosistema de identidad son los siguientes:

  • El Marco del Ecosistema de Identidad (Identity Ecosystem Framework – IDEF) es el conjunto general de estándares de interoperabilidad, modelos de riesgo, políticas de privacidad y responsabilidad, requisitos y mecanismos de responsabilidad que estructuran el ecosistema de identidad.
  • El Servicio de Listado de Autoevaluación de IDEF (Self-Assessment Listing Service – SALS) está diseñado para generar confianza en línea. Se trata de una página web donde los proveedores de servicios de identidad en línea y las aplicaciones que autentican las credenciales pueden informar sobre su estado mediante una autoevaluación con un conjunto de estándares comunes.
  • El Grupo Directivo del Ecosistema de Identidad (Identity Ecosystem Steering Group – IDESG) administra el desarrollo de políticas, estándares y procesos de acreditación para el IDEF de acuerdo con los Principios Rectores en la Estrategia. El IDESG también asegura que las autoridades de acreditación validen la adherencia de los participantes a los requisitos del IDEF.
  • Los marcos de confianza son desarrollados por una comunidad cuyos miembros tienen metas y perspectivas similares, como los Pilotos NSTIC. Un marco de confianza define los derechos y las responsabilidades de los participantes de esa comunidad, especifica las políticas y estándares específicos de la comunidad y define los procesos y procedimientos específicos de la comunidad que brindan seguridad. Un marco de confianza debe abordar el nivel de riesgo asociado con los tipos de transacción de sus participantes. Para ser parte del Ecosistema de Identidad, todos los marcos de confianza deben cumplir con los estándares de referencia establecidos por el IDEF.
  • Las autoridades de acreditación evalúan y validan a los proveedores de identidad, proveedores de atributos, partes confiables y medios de identidad, asegurando que todos se adhieran a un marco de confianza acordado. Las autoridades de acreditación pueden emitir marcas de confianza a los participantes que validan.
  • Los esquemas de marca de confianza son la combinación de criterios que se miden para determinar el cumplimiento del proveedor de servicios con el IDEF. El IDEF proporciona un conjunto básico de estándares y políticas que se aplican a todos los marcos de confianza participantes. Esta línea de base es más permisiva en los niveles más bajos de seguridad, para garantizar que no sirva como una barrera indebida a la entrada, y más detallada en niveles más altos de seguridad, para garantizar que los requisitos estén alineados con el riesgo de cualquier transacción dada. [2]

Por último, con respecto al tercer y último punto de estas posibles estrategias a seguir, os invito a que accedáis al Instituto Nacional de Ciberseguridad de España, y os leáis la guía de aproximación para el empresario sobre Ciberseguridad en la identidad digital y la reputación online. En ella encontramos, entre otras cosas, nuestro derecho (marco legal) y unas recomendaciones para la gestión de la identidad digital y la reputación online. Además, también me ha parecido interesante una página web del Gobierno de Australia (https://esafety.gov.au/) la cual se compromete a ayudar a los jóvenes a tener experiencias positivas y seguras en línea.

Por lo tanto, en algunas empresas más grandes se dispondrá de un Social Media Manager, el cual será el responsable de la identidad digital, sin embargo, en otras más pequeñas y con menos presupuesto, quizás se encargue el Community Manager. Lo que está claro es que el adecuado manejo de los riesgos, la gobernabilidad, etc. evita en gran medida esos problemas referentes a la seguridad de la identidad digital, lo cual, según empresas como Deloitte, produce mucho valor para la misma.


Referencias

[1] Phillip J. Windley (2005). <<Digital Identity: Unmasking Identity Management Architecture (IMA)>>. Acceso el 16 de noviembre de 2017, https://books.google.es/books?id=o8mHSbDHgPsC.

[2] IDESG. <<Overview>>. Acceso el 15 de noviembre de 2017, https://www.idesg.org/The-ID-Ecosystem/Overview

[3] JUS. <<Disputa de nombres de dominio>>. Acceso el 16 de noviembre de 2017, https://jus.com.br/artigos/3977/disputa-de-nombres-de-dominio

[4] ISACA. <<Identity Management Audit/Assurance Program>>. Acceso el 15 de noviembre de 2017, https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Identity-Management-Audit-Assurance-Program.aspx

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

Download PDF

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.

Errar es de humanos

Download PDF

Si bien es cierto que esta frase tiene todo el sentido del mundo, creo que queda incompleta sin la coletilla de “y rectificar de sabios”. Lo cierto es que esto siempre lo he creído así, no siempre se puede salir victorioso, y, por tanto, debemos amoldarnos y ser flexibles frente a lo que puede ocurrirnos, rectificar en definitiva. Mi madre siempre me tiene dicho que “cuando dios cierra una puerta, abre una ventana”, aunque esto, desde pequeño, yo siempre lo he puesto en duda (¿Cómo voy a salir por la ventana si vivimos en un quinto piso?). En cualquier caso, un error, problema o acontecimiento inesperado puede convertirse en una oportunidad. Lo importante es estar preparado para correr el riesgo y controlarlo en la medida de lo posible, para ver si se hace más o menos probable. Como se ha dicho, cualquiera se puede equivocar y yo el primero. Este es mi último post y me gustaría redondear todo lo que hemos visto estos meses atrás, para poner la guinda a “nuestra relación” dentro del mundo del Outsourcing TI.

Como comentamos anteriormente, el outsourcing es una práctica conocida en el mundo empresarial, tanto para el área TI como para otras tareas de la empresa. Quizás cuando hablamos de Outsourcing Ti se nos vienen a la cabeza cantidad de nombres de empresas de primera fila, generalmente multinacionales, las cuales tienen una extensa plantilla de trabajadores distribuidos por el mundo y que realizan este tipo de prácticas, como el offshoring. Es probable que no os haya ocurrido, pero este fue mi caso, la verdad, por eso hablé de externalizaciones a la India. Sin embargo, con un poco más de research llegué a la conclusión de que mi proveedor de internet es una de las empresas a nivel local que sigue esta práctica: Euskaltel. “Euskaltel, cada vez menos Euskaltel” [1], “La externalización de Euskaltel, una epidemia entre las grandes empresas” [2] o “ELA presenta una demanda contra la externalización de Euskaltel” [3] son algunos de los titulares de prensa que podemos leer al respecto. Su relación también se desarrolla en muchos casos en empresas locales (como por ejemplo, Ibermática) o estatales, pero también hay algún proveedor de servicios chino (ZTE). A veces te pasa lo que me pasó a mí, que los árboles no te dejan ver el bosque, y que ves ejemplos al otro lado del charco cuando los tienes a la distancia del cable Ethernet.

Dicho esto, ¿Qué es lo que le depara el futuro al outsourcing TI? ¿Empresas como Euskaltel seguirán externalizando sus servicios? ¡Quién lo sabe con certeza! Aunque hay algunos expertos que se atreven a aventurarse a predecir lo que será “trending topic” durante este año y el siguiente, como por ejemplo Stephanie Overby en CIO [4]. La seguridad informática de las empresas, el cloud computing (las empresas pasarán a tener todos sus datos en la nube), la creación de VMO (Vendor Management Office), debida a la tendencia de trabajar con proveedores de servicios distintos para cada tarea externalizada, la expansión de los servicios externalizados, el crecimiento del enfoque ágil para las empresas de outsourcing o la automatización de algunos procesos TI (RPA lo llaman, Robotic Process Automation) son algunas de las tendencias que tienen y tendrán importancia durante 2017 según comenta Stephanie. Con lo cual, las empresas dedicadas a proveer servicios pueden estar tranquilas, tienen “tema” para rato. Dentro de estas tendencias también se habla del crecimiento del Big Data o el IoT como futuras tareas/áreas en ser externalizadas [5]. Esto último como el Cloud Computing son prácticas crecientes en ser externalizadas, en este caso desde el punto de vista de un grande como EY [6].

A la hora de hablar de casos de éxito o fracaso, se pueden encontrar noticias, opiniones y artículos de todo tipo. Por un lado se pueden ver ejemplos como el de General Motors en el 2012 que volvió a integrar en la empresa gran parte de las tareas TI que tenía fuera de ella, en concreto en EDS, compañía que fue de su propiedad [7] (una compañía absorbida por completo por HP durante ese periodo). ¿Por qué volvió al trabajo In-house? Otro ejemplo es el fracaso de Fujitsu en Inglaterra, en el cual se retrasó en proveer el servicio que había firmado con el gobierno británico. Sin embargo, también hay luces, como la que se comenta en la fuente, en relación con la compañía ATOS, que proveía servicio durante los Juegos Olímpicos de Londres. El funcionamiento fue excepcional y con un presupuesto ajustado. ¡Chapo!

En efecto, todo cuento tiene un final, pero lo que importa es recordar bien la moraleja. Durante los artículos anteriores hemos analizado a fondo el tema del Outsourcing, por decirlo de alguna manera, desde una perspectiva de la auditoría y la gestión. Hemos hablado del origen, de noticias relacionadas, del riesgo y de controles, lo que nos ha permitido conocer en mayor profundidad el tema y, dicho sea de paso, aprender conceptos que, personalmente yo al menos, desconocía. Lo que también espero es que hayáis llegado a una conclusión similar a la mía: auditar es una práctica esencial, no sólo para detectar el fraude, sino para comprobar que estamos yendo en la dirección correcta. Mi tema es el outsourcing TI, pero esto es aplicable a cualquier otro tema. Para finalizar, cabe destacar que el outsourcing TI es un tema esencial a tratar en una empresa y que requiere un análisis exhaustivo para que tenga éxito. No es llegar y besar el santo, todo requiere un tiempo de preparación, como la preparación de este último artículo, la cual me permite rectificar y, quizás, algún día, convertirme en sabio.

 

Referencias:

[1] ”Euskaltel, cada vez menos Euskaltel”, Eldiario.es, acceso el 12 de Noviembre del 2016, http://www.eldiario.es/norte/euskadi/Euskaltel-vez-euskal_0_326518251.html%20-%20

[2] “La externalización de Euskaltel, una epidemia entre las grandes empresas”, El Correo, acceso el 12 de Noviembre del 2016, http://www.elcorreo.com/vizcaya/20131216/economia/externalizacion-servicios-euskaltel-epidemia-201312152102.html

[3] “ELA presenta una demanda contra la externalización de Euskaltel”, Eitb, acceso el 12 de Noviembre del 2016, http://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/  

[4] ”10 outsourcing trends to watch in 2016”, CIO, acceso el 12 de Noviembre del 2016, http://www.cio.com/article/3018638/outsourcing/10-outsourcing-trends-to-watch-in-2016.html  

[5] “Top 5 IT Outsourcing Trends for 2016”, Kosbit, acceso el 12 de Noviembre del 2016, http://www.kosbit.net/top-5-it-outsourcing-trends-for-2016/

[6] “Major outsourcing trends and risk factors”, EY, acceso el 12 de Noviembre del 2016, http://www.ey.com/gl/en/services/advisory/major-outsourcing-trends-and-risk-factors  

[7] “TOP 10 IT outsourcing stories of 2012”, ComputerWeekly, acceso el 12 de Noviembre del 2016, http://www.computerweekly.com/news/2240174665/Top-ten-IT-outsourcing-stories-of-2012

Auditar es Controlar

Download PDF

En artículos anteriores he hablado de diferentes aspectos del outsourcing TI, como su historia, evidencias sobre su práctica, ventajas y desventajas de su aplicación, riesgos asociados… El único punto a tratar que no he comentado es el control de dichos riesgos. Todo riesgo es considerado como una incertidumbre, algo que puede ocurrir durante el funcionamiento normal o las acciones de la empresa y que tiene impacto (generalmente negativo) en los resultados. Cuando hablo de acciones, esto es perfectamente aplicable a la acción de externalizar la tecnología de la empresa, que es el tema que nos incumbe. Para que este proceso sea lo más satisfactorio posible, es necesario establecer una serie de medidas para comprobar cuál es el nivel del riesgo (o la probabilidad de que dicho riesgo ocurra) en cada caso y que permitan obtener una mayor certeza (diría seguridad, los humanos somos inseguros por naturaleza) de la fiabilidad de la empresa.

Siguiendo el artículo anterior, en el que establecí 4 riesgos importantes [1]  (riesgo operacional y transaccional, riesgos de la confidencialidad de la información, riesgo de la continuidad del negocio y riesgo de conformidad), podemos hacer el trabajo de un auditor y establecer la siguiente matriz de riesgos y controles. Los riesgos asociados pueden ser controlados o mitigados en cada caso. El control es posible gracias a una serie de evidencias que confirman el buen hacer de la empresa que está dando el servicio que se ha externalizado.

Riesgo Control / Mitigación
Riesgo operacional y transaccional
  • Conocer en detalle el flujo de las operaciones y transacciones.
  • Conociendo el flujo, analizar y descubrir donde una transacción puede fallar y determinar qué rol tiene la empresa que provee el servicio en dicho fallo.
  • A futuro, establecer posibles acciones a tomar en respuesta al fallo (contractuales, …).
Riesgo de confidencialidad de la información
  • Determinar los datos transmitidos a la empresa.
  • Comprobar y garantizar la seguridad y los controles de protección de datos de la empresa (in situ).
  • Pedir el SSAE16/SOC (o SAS 70), que evalúa los controles y la seguridad de la empresa (según un auditor externo).
  • Aumentar la frecuencia de visitas a la empresa en función de la importancia de los datos.
Riesgo de la continuidad del negocio
  • Simular una crisis y preguntar a la empresa para determinar cómo reaccionan a dicha situación y en cuanto tiempo.
  • Preguntar los efectos de dicha crisis en la empresa contratada y establecer a la empresa la importancia de los procesos externalizados para la empresa que la contrata (pérdidas de dinero, confianza, clientes…).
  • Disponer de una estrategia en caso de fallo del proveedor, es decir, un plan de contingencia.
  • Comprobar y evitar demasiados “lazos” de externalización con una misma empresa.
Riesgo de conformidad
  • Comprobación de que la empresa dispone de los medios necesarios para realizar la función crítica en el tiempo establecido.

Tabla 1: Matriz riesgos/controles

Después de analizar esta matriz, tenemos los riesgos, los controles a esos riesgos y creo que me dejó algo…. ¡ah sí! falta la importantísima figura del “árbitro”, es decir, el auditor. Como en cualquier otro área, a la hora de comprobar que los servicios TI son adecuados, cumplen con la ley y demás temas de vital importancia, el auditor juega su papel para comprobar que lo dicho o escrito está en consonancia con lo hecho. Cabe destacar, que como apunta el documento de GTAG para el outsourcing TI [2], este proceso tiene un ciclo de vida, desde la decisión de externalizar, pasando por la implementación y revisión, para posteriormente realizar una renegociación de lo acordado para las futuras colaboraciones. Sin embargo, debido a lo extenso del documento, supongamos que nos encontramos en la posición de evaluar los servicios externalizados, con lo que seguiríamos la siguiente tabla:

Captura de pantalla 2016-10-31 a las 11.48.27

Tabla 2: Puntos clave a la hora de auditar las operaciones externalizadas

En este caso, como se apunta en la tabla, el auditor deberá determinar si el proveedor ha tenido un rendimiento adecuado y ha cumplido con el contrato. Deberá pedir también las métricas utilizadas para medir el rendimiento, así como las áreas de mejora a tener en cuenta, las acciones a tomar en esas áreas para mejorar futuras acciones y operaciones. Aunque esto puede considerarse muy genérico, puede plasmarse de una manera más exacta mediante el plan descrito en un documento de ISACA [3]. Siguiendo un enfoque guiado por el riesgo, el auditor debe seguir 4 pasos importantes: realizar una evaluación del nivel del riesgo obtenido, realizar un trabajo de campo (si es offshore en el país, sino mediante reuniones), realizar un reporte sobre lo obtenido y continuar con las operaciones externalizadas, amoldándolas a las conclusiones obtenidas. El paso uno es el más importante y donde el auditor realiza gran parte del trabajo. En dicho paso, su función es entrevistarse con los stakeholders de la compañía, así como el proveedor del servicio, determinar los objetivos, riesgos y controles y comprobar si el proveedor dispone de algún tipo de informe (SOC1, ISO 2700X o similar). A partir de lo obtenido, deberá ajustar el alcance de la auditoría en función de los controles, desarrollar una matriz de riesgos y controles (similar a la que se ha visto en este artículo), así como un programa de auditoría. Finalmente, quizás sea necesario disponer del conocimiento de expertos, como abogados, para tomar decisiones, como por ejemplo en el tema de leyes y regulaciones.

Resumiendo, el trabajo de establecer controles para evitar, mitigar o gestionar riesgos es una tarea importante en cualquier acción de cualquier tipo, con especial importancia en el outsourcing TI. Al fin y al cabo, estás delegando funciones que podrían realizarse dentro de la empresa fuera de la empresa, con personas que no tienen ninguna unión con tu empresa (fuera del contrato) y que tienen métodos de funcionamiento o estrategias distintas a las que tu tenias y tienes. De similar manera, muchas veces se piensa que no se debe externalizar algo porque es demasiado arriesgado o, dicho de otra manera, puede tener mucho riesgo asociado. Pero la solución es clara: para obtener unos beneficios determinados hay que arriesgarse, disponiendo de una serie de controles que nos ofrezcan un mínimo de seguridad. Esa seguridad que nos puede transmitir un auditor cuando nos dice que los controles son correctos y que todo marcha como la seda. Aunque es cierto que el futuro es imprevisible y no se puede estar preparado para todo…

 

Referencias:

[1] ”4 IT Outsourcing Risks and How to Mitigate Them”, The Wall Street Journal (Deloitte), acceso el 31 de Octubre del 2016, http://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/

[2] “Information Technology Outsourcing”, GTAG Global Technology Audit Guide, acceso el 31 de Octubre del 2016, https://chapters.theiia.org/montreal/ChapterDocuments/GTAG%207%20-%20Information%20technology%20outsourcing_2nd%20ed.pdf

[3] Adnan Dakhwe, “Risk & Control Considerations for Outsourced IT Operations”, ISACA, Core Competencies – C32, San Francisco, acceso el 31 de Octubre del 2016, http://www.sfisaca.org/images/FC13Presentations/C32_Presentation.pdf  

[4] ”Outsourced IT Environments Audit/Assurance Program”, ISACA, acceso el 31 de Octubre del 2016, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Outsourced-IT-Environments-Audit-Assurance-Program.aspx  

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna? ¿Qué hacemos? (BYOD)

Download PDF

He estado leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, ya que el uso de aplicaciones móviles es muy frecuente dentro de una empresa y en la actualidad existe una variedad inmensa de amenazas contra estos dispositivos. Aprovecho ahora para remarcar que el Mundo Móvil hace referencia a los dispositivos móviles, por lo que no está única y exclusivamente compuesto por teléfonos móviles o Smartphones, también están incluidas las Tablets y las PDAs, al igual que otros muchos dispositivos portátiles que puedan ser utilizados para desempeñar una función dentro de una empresa. Una vez asimilado esto, el siguiente paso es preguntarse:

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?:

Es un hecho que las aplicaciones móviles evolucionan rápida y constantemente, por lo que la auditoría interna debe asegurarse de que está al día con la tecnología móvil que está siendo utilizada por sus organizaciones y que estas están considerando todas las posibles exposiciones de riesgo en todo momento. Para entender mejor el impacto, he consultado el Top 10 de Principales Prioridades de la Auditoría Interna en Organizaciones de Servicios Financieros y he descubierto que las aplicaciones móviles se encuentran en este top, concretamente en el séptimo puesto. En la explicación del top, justifican que las aplicaciones móviles tienen lugar en el top por los riesgos que suponen las aplicaciones móviles para las empresas, en especial en relación a la autentificación del usuario.

Entonces, una vez asumido que las aplicaciones móviles pueden suponer un problema en algunas organizaciones, queda preguntarse cuáles podrían ser unas buenas medidas a tomar dentro de las organizaciones para evitar los problemas. En algún post siguiente a este, trabajaré los riesgos más importantes, así como los controles a tomar para cada uno de ellos, pero de momento, en este post solo pondré, según la explicación del top, los puntos de acción que los auditores jefes ejecutivos y las funciones de auditoría interna necesitan considerar:

  1. Garantizar que las aplicaciones móviles y la banca están completamente cubiertas en el universo de auditoría (todos los productos / servicios, plataformas, proveedores, etc.).
  2. Asegurarse de que los terceros son tenidos en cuenta en las políticas y procedimientos de gestión de proveedores.
  3. Considerar la posibilidad de riesgo de fraude en relación con las transacciones móviles dentro de los procesos de cara al cliente (orígenes y servicio).
  4. Entender el enfoque de la seguridad por tener una presencia móvil.
  5. Considerar el proceso de extremo a extremo de cara al servicio. Los móviles son la típica puerta de entrada a otros servicios y plataformas.
  6. Entender los planes y controles de gestión del cambio de aplicaciones móviles.
  7. Considerar todas las plataformas móviles compatibles aplicables (iOS, Android, Windows, etc.) en los planes de auditoría.
  8. Si procede, tener en cuenta los controles necesarios para apoyar un modelo de entrega de software ágil.
  9. Considerar la posibilidad de la gestión del servicio multiplataforma, incluyendo los componentes de otros fabricantes.
  10. Tener en cuenta las responsabilidades de las empresas, las políticas y procedimientos en relación al aprovisionamiento de cuentas en los dispositivos móviles.

Y entonces, viendo los riesgos e impacto: ¿Todo está perdido? ¿Qué hacemos?

Llegados a este punto la solución es tomar una decisión estratégica. ¿Pero cuál?

¿Qué hacemos? (BYOD):

Según un documento de ISACA existen varias posibles decisiones estratégicas, cada una con sus respectivas ventajas y desventajas. A continuación, enumero algunas de las decisiones estratégicas que ISACA propone:

  • Solución de plataformas estandarizadas.
  • BYOD “Puro”.
  • Estrategia combinada.

Aquí algo llamó mi atención. ¿BYOD? ¿Seguro? Para quienes no sepan muy bien que es esto del BYOD: BYOD significa Bring Your Own Device y es una estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa (Típicamente Smartphones y Tablets, pero también se pueden usar en PCs).

BYOD

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:

P1 - Sarabia González, Jorge.

Entonces, ¿qué implica ofrecer a todos los empleados la posibilidad de utilizar su propio material para trabajar? A priori, una gran comodidad para el empleado, lo que le mantiene motivado en su trabajo, con lo que aumenta considerablemente la productividad de la organización. ¿Pero a qué precio? ¿Dónde reside la seguridad en este caso? En el empleado, que no necesariamente va a controlar el uso que va a hacer de sus dispositivos. Esto es una fuente de incidencias de seguridad.

BYOD-Security-vs-Productivity

Y yo me pregunto, ¿dónde está el punto a favor de introducir BYOD en una empresa? Lo que en realidad se propone con el BYOD “Puro” es el cambio de migrar los datos a otro sitio y que no se almacenen en el dispositivo desde el que se accede a ellos. El objetivo es crear un sistema de acceso remoto a los recursos que los empleados necesitan para realizar su trabajo. De esta forma, se evita que un problema de seguridad en el equipo local se pueda transmitir a la red de la empresa. Aun así es necesario que las comunicaciones entre el equipo BYOD y los recursos se realicen de forma segura, sobre todo cuando el empleado no se encuentre dentro de las instalaciones de la empresa.

Por último y para concluir este post, el BYOD se vende como un ahorro y aunque ISACA propone el BYOD “Puro” como una decisión estratégica de cara a minimizar el riesgo, yo considero que el cambio de no tener BYOD a tenerlo se debe hacer si el objetivo es aumentar la productividad de la empresa, no la seguridad.

BYOD demasiado lejos.

Referencias:

KnowledgeLeader:

Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016): 31-34.

ISACA:

«La información se mueve, ¿tu seguridad también?», ISACA, acceso el 14 de octubre de 2016,
http://www.isaca.org/chapters7/Monterrey/Events/Documents/20140409%20La%20Informacion%20se%20Mueve.pdf.

Otros:

«El BYOD la pesadilla del responsable de seguridad», EOI, acceso el 14 de octubre de 2016,
http://www.eoi.es/blogs/ciberseguridad/2016/04/19/el-byod-la-pesadilla-del-responsable-de-seguridad/.

«Cómo implementar una política segura de BYOD en la empresa», BBVA con tu empresa, acceso el 14 de octubre de 2016,
http://www.bbvacontuempresa.es/como-implantar-una-politica-segura-de-byod-en-la-empresa.

Bueno, bonito y barato ¿es esto posible?

Download PDF

leanGeneralmente en las organizaciones se habla de reducción de costes, mejora de servicio, y además se le debe agregar ¡recursos limitados! tal vez esto sueñe a locura, pero se puede lograr. Una opción a considerar es Lean, que aunque inicialmente estaba dirigida a la industria manufacturera (lean manufacturing), nos puede aportar mucho en TI.

Pero ahora se preguntarán: ¿Qué es lean manufacturing? Pues la filosofía lean manufacturing es una herramienta que ayuda a reducir las actividades que no agregan valor de los procesos para agilizarlos. Para lograr esto se basa en algunos principios, como el valor (lo que el cliente está dispuesto a pagar), la cadena de valor (modelar y registrar todas las acciones específicas requeridas para eliminar las actividades que no añaden valor), el flujo (eliminación de las interrupciones para lograr que el flujo de la cadena no tenga interrupciones), el dinamismo (capacidad de innovar los productos y los procesos a través de los conceptos que brinda la utilización por parte de los clientes) y la perfección (habilidad para lograr que las cosas se hagan bien desde el primer momento hasta la aplicación del esfuerzo de mejora continua).

Me imagino lo que estarán pensando: ¿y esto qué tiene que ver con las TI? Pues yo me preguntaba lo mismo, hasta que encontré que una fuente de lograr ventaja competitiva es la combinación de la tecnología de información con el Lean manufacturing; sí, la tan ansiada ventaja competitiva, que muchos buscas, pero que pocos alcanzan.

Con esta combinación, conocida como Lean TI, se busca eliminar desperdicios y retrasos, reducir errores informáticos y aumentar la velocidad con la que la tecnología de información agrega valor al negocio, a los clientes y a los accionistas. Y pues, ya no se nos debe hacer extraño el término alineamiento estratégico, pues a Lean TI tampoco, ya que esta herramienta debe estar alineada con la visión del negocio y de esta manera poder tomar decisiones a largo plazo.

Algunos de los beneficios que pueden obtener son:LEAN TI

  • Reducir de costos: Identificar procesos innec/esarios, rediseñarlos, buscar la eficiencia y por lo tanto disminuir el uso de los recursos.
  • Incrementar el valor: Identificar las cadenas de valor que incluyen a la TI y seguir el mismo proceso que en los costos. Esto involucra a los gerentes de TI ya que participan proactivamente en las iniciativas para crear valor.
  • Reducir tiempos de espera (retrasos y cuellos de botella): Diseñar los procesos de tal manera que ayuden a reducir estos retrasos lo máximo posible, para lo cual se debe considerar a la cultura organizacional y los perfiles del personal para que el cambio organizacional no sea tan drástico.
  • Reducción de errores: Esto forma parte de lograr eficiencia en los procesos y reducir la espera.
  • Eliminación de barreras: Eliminación de barreras entre el departamento de sistemas y el resto de los departamentos de la organización.

Entonces ¿te animas a probarlo? Pues yo sí.

Algunos dirán ¿y esto que tiene que ver con la auditoría o con la gestión de riesgos? La siguiente semana tocaré el tema “Six Sigma”. Luego de eso entenderán, pero les voy adelantando algo:

Lean + Six Sigma = Lean Six Sigma!!! … enfocado a las TI

Así que no se lo pierdan, nos vemos en el siguiente post….