jueves, noviembre 14, 2019

Auditoria de las TIC´s. La ciberseguridad es crítica para todas las organizaciones, grandes y pequeñas.

Este articulo para quienes gustan del tema de lo virtual, de la cirbernética y de la tecnología, para hacer prevenciones como los contadores, administradores, y revisores fiscales, para el fortalecimiento de las labores rutinarias, pero también por el peligro que encierra si no se fortalecen los controles en su acceso en el desarrollo del trabajo, para que después no se contraten Auditores Forenses que la apliquen en la Tecnología. Se los comparto.
"PREPARACIÓN DE PROFESIONALES PREPARADOS PARA EL FUTURO

La ciberseguridad es crítica para todas las organizaciones, grandes y pequeñas

Steve Ursillo, Jr. , Christopher Arnold | 4 de noviembre de 2019 | 
Introducción
En el mundo computarizado de hoy, surgen nuevos riesgos cada hora de cada día. Conectarse a Internet abre la posibilidad de que un hacker apunte a su organización. El delito cibernético se está convirtiendo en un gran negocio y el riesgo cibernético es un foco de organizaciones y gobiernos a nivel mundial. Los riesgos monetarios y de reputación son altos si las organizaciones no tienen un plan de ciberseguridad adecuado.
Una ' Encuesta sobre violaciones de seguridad cibernética 2018' reveló que más de cuatro de cada diez (43%) empresas y dos de cada diez (19%) organizaciones benéficas en el Reino Unido sufrieron un ataque cibernético. La encuesta encontró que el 38% de las pequeñas empresas no habían gastado nada para protegerse de las amenazas de ciberseguridad. Una encuesta separada también encontró que un tercio de las pequeñas empresas del Reino Unido están arriesgando su seguridad en línea al operar en o debajo de la "línea de pobreza de seguridad". Los tipos más frecuentes de actividad ciberdelincuente fueron el envío de correos electrónicos fraudulentos y la suplantación de organizaciones en línea. Los correos electrónicos maliciosos también se encontraron como el tipo más común de ciberataque en el Informe de seguridad y amenazas de InternetLas consecuencias del delito cibernético son costosas ya que el costo promedio total de una violación de datos en 2019 es de $ 3.92 millones en investigaciones realizadas por el Instituto Ponemon.
¿Qué es la ciberseguridad? 
La seguridad cibernética se asegura de que los datos de su organización estén a salvo de los ataques de los malos actores internos y externos. Puede abarcar un conjunto de tecnologías, procesos, estructuras y prácticas utilizadas para proteger redes, computadoras, programas y datos contra el acceso o daño no autorizado. El objetivo de cualquier estrategia de ciberseguridad es garantizar la confidencialidad, la integridad de los datos y la disponibilidad.
Existen varios medios principales por los cuales los problemas de ciberseguridad pueden afectar (o incluso destruir) una organización y su reputación. Existe el riesgo de que un pirata informático obtenga información confidencial, como detalles de cuentas bancarias o tarjetas de crédito. Hay mercados abiertos para dicha información en la "web oscura". Si otros acceden a dicha información confidencial, la organización podría encontrar sus instalaciones bancarias o de tarjetas de crédito retiradas o infringiendo las leyes de privacidad. Cada mes, las infracciones de seguridad de alto perfil que afectan los datos individuales se informan a nivel mundial.
Un segundo problema, pero relacionado, es que cuando un pirata informático obtiene información confidencial sobre la organización, puede encontrar su reputación arruinada. Pocas organizaciones pequeñas pueden sobrevivir al daño a su reputación que tales datos perdidos pueden causar. El daño a la reputación y la buena voluntad podría ser más paralizante que la pérdida de datos en sí. La pérdida de datos del cliente puede dar lugar a acciones legales o reglamentarias contra la organización. Un tercero puede presentar una demanda contra una organización, ya que ellos mismos han incurrido en una pérdida. Las organizaciones también pueden estar sujetas a sanciones y / o acciones legales significativas derivadas del incumplimiento de las leyes de privacidad en muchas jurisdicciones.
El aspecto más reciente y alarmante de la ciberseguridad que causa problemas considerables para las organizaciones es el ransomware. Ya en 2012, los informes de campañas de ransomware han adoptado modelos comerciales centrados comercialmente. En muchos casos, una pieza de malware se disfraza y se incrusta en otro tipo de documento que solo espera ser ejecutado por el usuario objetivo. Tras la ejecución, el malware puede encriptar los datos de la organización con una clave secreta de encriptación de 2.048 bits o comunicarse con un servidor centralizado de comando y control para esperar las instrucciones llevadas a cabo por el adversario. Una vez infectados, los datos de la organización siguen siendo inaccesibles, ya que los cifra mediante la clave de cifrado de los atacantes. Una vez que todos los datos accesibles están encriptados, incluidos en muchos casos los datos y sistemas de respaldo, la organización recibirá instrucciones sobre cómo pagar un rescate en cuestión de días, o el adversario eliminará la clave de cifrado y los datos se perderán. Literalmente, el adversario retiene los datos para rescatar, por lo tanto, ransomware. La clave de cifrado es lo suficientemente fuerte como para que descifrar la clave en lugar de pagar el rescate no sea rentable; algunos estiman que una computadora de escritorio promedio tardaría cinco billones de años en descifrar los datos sin la clave. En algunos casos, la organización objetivo puede esperar que algunos investigadores puede haber descubierto una forma de descifrar los datos en función de un defecto de diseño. De lo contrario, la organización tendrá que buscar restaurar los sistemas y los datos desde una copia de seguridad o considerar pagar el rescate.
Gobierno de ciberseguridad
Se debe establecer un programa de gestión de riesgos y gobernanza de ciberseguridad que sea apropiado para el tamaño de la organización. Los propietarios y directores deben considerar el riesgo de ciberseguridad como un riesgo comercial significativo. Esto debería estar al mismo nivel que los riesgos de cumplimiento, operativos, financieros y de reputación con criterios de medición adecuados y resultados monitoreados y administrados.
Existen marcos voluntarios que pueden utilizarse para considerar la evaluación de riesgos y las mejores prácticas relacionadas. Por ejemplo, el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) incluye cinco funciones concurrentes y continuas:
  1. Identificar: Desarrollar una comprensión organizacional para administrar el riesgo de ciberseguridad para sistemas, personas, activos, datos y capacidades.
  2. Proteger: Desarrollar e implementar salvaguardas apropiadas para garantizar la entrega de servicios críticos.
  3. Detectar: ​​desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de seguridad cibernética.
  4. Responder: Desarrollar e implementar actividades apropiadas para tomar medidas con respecto a un incidente de seguridad cibernética detectado.
  5. Recuperación: desarrolle e implemente actividades apropiadas para mantener planes de resiliencia y restaurar cualquier capacidad o servicio que se haya visto afectado debido a un incidente de ciberseguridad.
Protección contra software malicioso y ataque externo
Continúan surgiendo nuevas amenazas y cada organización debe asegurarse de estar equipada para hacer frente a un panorama dinámico de amenazas. Las siguientes son algunas de las utilidades y soluciones más críticas del sistema utilizadas para ayudar a mitigar estos ataques maliciosos:
  • .- Los cortafuegos son software (y también hardware) diseñado para proteger el sistema de ataques de personas que acceden a los sistemas de la organización a través de enlaces de comunicación internos y externos.
  • .- Las soluciones de protección de malware / spyware y proxy web protegen el sistema del código de software que puede ser de ventanas emergentes o que tienen una intención más insidiosa, como registrar nombres de usuario y contraseñas con fines fraudulentos.
  • .- El software antispam protege las bandejas de entrada de correo electrónico de la obstrucción de correos electrónicos no deseados.
  • .- El software antiphishing protege a los usuarios que visitan sitios web diseñados para atrapar información del usuario que luego puede usarse con fines fraudulentos.
Todos son obligatorios para cualquier sistema bien administrado que utilice una estrategia de defensa en profundidad. El costo de un ataque puede ser significativo e implicar la pérdida de datos, el fraude y el costo de la reconstrucción de sistemas, y debe analizarse contra el costo de defenderse de tales amenazas.
Se recomienda utilizar un proveedor reconocido y reconocido. Algunas compañías pretenden suministrar estas utilidades, pero de hecho las mismas pueden ser software malicioso. Tenga cuidado al usar software libre o software de un proveedor desconocido. En general, es mejor utilizar las utilidades recomendadas por la organización de integración de sistemas (soporte técnico) de la empresa, ya que serán responsables de su instalación, configuración y mantenimiento.
El mantenimiento de estas aplicaciones es crítico. Nuevo software malicioso emerge todos los días. La mayoría de los proveedores de software proporcionan al menos una actualización automática diaria de sus bases de datos para garantizar que el sistema continúe protegido de manera efectiva. Asegurarse de que estas actualizaciones se implementen correctamente es esencial.
Planes de mantenimiento de hardware
Los contratos de mantenimiento deben mantenerse con los proveedores de hardware para que las fallas de hardware puedan rectificarse rápidamente. Estos contratos deben especificar los niveles de servicio que el proveedor cumplirá en caso de falla. El hardware crítico, como servidores, conmutadores y tecnologías de copia de seguridad, requiere atención inmediata. Muchos contratos especifican una respuesta de cuatro horas para la falla de estos componentes. Otro hardware menos crítico, como las estaciones de trabajo individuales, puede tener tiempos de respuesta más largos.
Algunas organizaciones, particularmente en áreas remotas, compran algunos componentes críticos que tienen un mayor potencial de falla, como las fuentes de alimentación, como piezas de repuesto que pueden reemplazar rápidamente un componente fallado. Las organizaciones que dependen de contratos de mantenimiento deben asegurarse de que la compañía de soporte mantenga un suministro adecuado de componentes de repuesto para cumplir con los compromisos de nivel de servicio de la organización.
La calidad de la compañía externa de soporte de TI de la organización es crítica para garantizar que los sistemas se implementen y se respalden correctamente. Los problemas que deben tenerse en cuenta al seleccionar una empresa adecuada incluyen:
  • .- Su conocimiento y experiencia con el hardware de la organización y la configuración del sistema operativo.
  • .- Su conocimiento y experiencia con el software de aplicación de la organización.
  • .- Certificaciones con las principales empresas de hardware y software, lo que garantiza la competencia de las personas de la organización.
  • .- El número de personas dentro de la compañía que tienen el conocimiento requerido para respaldar el sistema; esto es crítico ya que depender de un solo individuo puede resultar en demoras y costos significativos en caso de que ese individuo no esté disponible por cualquier motivo.
  • .- Su capacidad de proporcionar servicios de soporte de forma remota para permitir una respuesta rápida a los problemas a un costo razonable.
  • .- La debida diligencia debida y la gestión de riesgos del proveedor para garantizar que el tercero proporcione los servicios según las expectativas de la organización.
Personas y Documentación
Cada organización debe establecer un plan para mitigar el riesgo de que personas clave no estén disponibles en caso de una falla del sistema. Mantenga una lista de detalles de contacto para los técnicos de respaldo. Documente la configuración de las aplicaciones de hardware y software y manténgala actualizada para que un nuevo técnico pueda reconstruir rápidamente el sistema.
Policías y procedimientos
Los procedimientos adecuados de gobierno de TI dentro de una organización son críticos. Implemente un proceso formal de evaluación de riesgos y desarrolle políticas para garantizar que los sistemas no se usen mal y que las políticas aplicables se revisen y actualicen continuamente para reflejar los riesgos más actuales. Esto incluye el desarrollo de políticas y procedimientos de respuesta a incidentes para responder adecuadamente, explicar y ayudar a mitigar el costo de una posible infracción.
La educación continua para todos los empleados sobre los riesgos tecnológicos debe formar parte del marco de gestión de riesgos de la organización, mitigándose las posibles infracciones de seguridad como resultado de la educación y las políticas promulgadas a todos los niveles del personal. Las políticas deben incluir, pero no se limitan a:
  • .- Gestión de cuentas de usuario: reglas y políticas para todos los niveles de usuarios; procedimientos para garantizar el descubrimiento oportuno de incidentes de seguridad; Los sistemas de TI y los datos confidenciales están protegidos contra usuarios no autorizados.
  • .- Gestión de datos: establecer procedimientos efectivos para gestionar los repositorios, la copia de seguridad y recuperación de datos, y la eliminación adecuada de los medios. La gestión eficaz de los datos ayuda a garantizar la calidad, la puntualidad y la disponibilidad de los datos comerciales.
  • .- Seguridad de TI y gestión de riesgos: proceso que mantiene la integridad de la información y la protección de los activos de TI. Este proceso incluye establecer y mantener roles y responsabilidades de seguridad de TI, políticas, estándares y procedimientos.
Es probable que las jurisdicciones individuales hayan promulgado leyes que requieran que se aborden políticas particulares o problemas dentro de una política particular. Las políticas comunes se enumeran a continuación y cubren el uso del sistema, el uso del correo electrónico, el uso de Internet y el acceso remoto.
Política de uso del sistema
Una política de uso del sistema generalmente describe las reglas por las cuales los sistemas de TI de la organización pueden ser utilizados. Los elementos de ejemplo a considerar en esta política incluyen:
  • .- Uso obligatorio de contraseñas en todos los sistemas, como teléfonos y tabletas, incluida la necesidad de cambiar las contraseñas regularmente y la prohibición de proporcionar contraseñas a otros miembros del equipo o terceros.
  • .- Prohibición de copiar datos de la organización y eliminar los datos de la oficina sin aprobación.
  • .- El cifrado de memoria / memorias USB.
  • .- La seguridad física de los equipos.
  • .- Uso del sistema en horario comercial.
  • .- Reglas para el uso privado del sistema, si está permitido, fuera del horario de oficina.
  • Autenticación multifactorial: utilizando más de un método de autenticación de categorías independientes de credenciales para verificar la identidad del usuario para iniciar sesión.
Política de uso de correo electrónico
Los elementos de ejemplo a considerar en una política de uso de correo electrónico incluyen:
  • .- Prohibir el uso de cuentas de correo electrónico personales para asuntos comerciales.
  • .- Prohibir abrir archivos adjuntos de correo electrónico de fuentes desconocidas (ya que pueden contener software malicioso).
  • .- Prohibir el acceso a cuentas de correo electrónico de otras personas.
  • .- Prohibir compartir contraseñas de cuentas de correo electrónico.
  • .- Prohibir el uso personal excesivo del correo electrónico de la organización.
  • .- Notificación de que la organización supervisará el correo electrónico.
Política de uso de internet
Los elementos de ejemplo a considerar en una política de uso de Internet incluyen:
  • .- Limitar el uso de Internet a fines comerciales.
  • .- Notificación de la capacidad de la organización para rastrear el uso de Internet.
  • .- Prohibir el acceso a sitios que ofenden el género, la sexualidad, la religión, la nacionalidad o la política de una persona.
  • .- Garantizar que las descargas se realicen solo desde un sitio web seguro y de buena reputación.
  • .- Prohibir la descarga de archivos ejecutables (programas) ya que pueden contener software malicioso, y también prohíbe descargar música, películas o software pirateados.
  • .- Prohibir proporcionar la dirección de correo electrónico comercial del usuario para limitar la probabilidad de spam.
  • .- Consecuencias de la violación.
Política de acceso remoto
Los elementos de ejemplo a considerar en una política de acceso remoto incluyen:
  • .- Aprobaciones requeridas para acceso externo.
  • .- Reembolso de costos de acceso externo.
  • .- Procedimientos de seguridad (incluida la divulgación de contraseñas, el uso del sistema por parte de terceros, la des-conexión de otras redes al acceder a los sistemas de la organización, el uso de firewalls y la instalación de software apropiado para proteger el sistema remoto de ataques maliciosos y autenticación multifactorial).
  • .- Seguridad física de equipos proporcionados por la organización, como computadoras portátiles.
  • .- Informe de cualquier posible violación de la seguridad, acceso no autorizado o divulgación de los datos de la organización.
  • .- Acuerdo de que la organización puede monitorear las actividades del usuario externo para identificar patrones inusuales de uso u otras actividades que puedan parecer sospechosas.
  • .- Consecuencias del incumplimiento.
Seguro
Un seguro adecuado debería cubrir el costo de reemplazar la infraestructura dañada, así como los costos de mano de obra para investigar el incidente, reconstruir sistemas y restaurar datos. Considere también el seguro por pérdida de productividad como resultado de una falla importante del sistema o evento catastrófico"
https://www.ifac.org/knowledge-gateway/risk-management-internal-control/discussion/cybersecurity-critical-all?utm_medium=email&utm_source=transactional&utm_campaign=GKG_Latest 
Publicado por en
Suscribirse a: Entradas (Atom)