Los 10 hallazgos más comunes en una

auditoría de ciberseguridad

Por: CP Iván Rodríguez. Colaborador de Auditool

La ciberseguridad es una de las mayores preocupaciones de la alta administración de las
organizaciones y por supuesto de los auditores. En estos tiempos de pandemia, en que el
uso de recursos informáticos se ha incentivado, es conveniente evaluar el tema. No basta
con tener herramientas de seguridad y controles en diferentes instancias, si no se hace buen
uso de ellas. El factor humano sigue siendo uno de los eslabones más débiles para mantener
una estructura de ciberseguridad sólida en una organización. De ahí la necesidad de una
capacitación permanente en temas tecnológicos como medida para mitigar los riesgos.
Algunos de los hallazgos más frecuentes de los auditores al evaluar el tema de
ciberseguridad, son los siguientes:
1. Fallas en la capacitación:
Los temas de tecnología están en constante evolución, por esta razón los auditores deben
estar de manera permanente dispuestos a aprender y desaprender. Por su parte, la
administración de las organizaciones deben entender que no capacitar al personal no es una
medida de reducción de costos, es algo que los perjudica.
2. Debilidades en los controles de acceso lógico:
Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y bases
de datos son una de las fallas recurrentes. Así mismo, una inadecuada administración de los
usuarios, esto es, a quien conceder permisos o privilegios, que se manifiesta de diferentes
maneras: privilegios excesivos otorgados a ciertos usuarios, privilegios no revocados de los
usuarios que ya no requieren dicho acceso, uso de permisos genéricos que perjudican la
responsabilidad del usuario, el intercambio o alteración de contraseñas, etc. Son algunas de
las situaciones que se presentan a menudo.
3. Fallas en la documentación:
En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las
políticas y procedimientos para el uso de los recursos tecnológicos o la misma no es clara,
está desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a
seguir o actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente,
muchas organizaciones no efectúan la respectiva capacitación ni actualizan los documentos
y manuales cuando hay cambios en la infraestructura tecnológica.
4. Desactualización de aplicativos y programas
Los programas, aplicativos, sistemas operativos, motores de bases de datos entre otros,
requieren una actualización regular. Con alguna frecuencia quienes producen los programas
envían actualizaciones para mejorar su rendimiento o por motivos de seguridad. Es
necesario gestionar los parches para evitar ataques de ransomware, por ejemplo.
5. Inadecuada gestión de los riesgos de terceros:
Muchas organizaciones ignoran el impacto que una violación de un proveedor de servicios
externo podría tener sobre las operaciones y los activos. Para ello, además de la
implementación de Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones
con terceros deben desarrollarse de una manera que garantice que solo accedan a los
servicios que necesitan y nada más. Es necesario adelantar labores de monitoreo de las
actividades de los proveedores para verificar si los servicios se están prestando según lo
acordado y que los proveedores de servicios externos no adelantan acciones que no estén
dentro de los límites del acuerdo.

6. Inadecuada gestión de vulnerabilidades

Uno de los principales problemas observados con la gestión de vulnerabilidades está en el
alcance; los activos críticos a menudo se pierden porque las organizaciones no conservan
un inventario completo de los activos de los sistemas de información. También están los
problemas relacionados con los retrasos al implementar las medidas correctivas de las
vulnerabilidades identificadas, ya sea debido a las burocracias internas de la organización o
a la ausencia de mano de obra calificada. En ocasiones hace falta por parte de la
administración, que demuestre un compromiso serio con la efectividad de su programa de
gestión de vulnerabilidades
Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también
hay una serie de recomendaciones que son habituales y cuya implementación puede ser útil
para mitigar los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan:
7. Probar el plan de continuidad del sistema regularmente:
Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y
que su organización pueda continuar operando después de una interrupción del negocio. La
organización debe considerar la disponibilidad de personal crítico, el equipo necesario para
reanudar las operaciones, los métodos necesarios para restaurar los datos y el tiempo que
lleva restaurar los servicios. La prueba debe realizarse al menos anualmente. Tanto el plan
de continuidad del negocio como el de recuperación ante desastres deben actualizarse para
reflejar las lecciones aprendidas del evento de prueba.
8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios
para operaciones esenciales
Los firewalls se componen de muchas listas de acceso que permiten que el tráfico fluya
dentro y fuera de la red. La lista requerida simplemente debe documentar los puertos y
servicios permitidos para comunicarse a través del firewall, qué dispositivos pueden
comunicarse y la razón comercial de los puertos. en uso. Si los proveedores tienen acceso a
la red privada virtual (VPN), la lista debe indicar los sistemas con los que están aprobados
para comunicarse y las direcciones IP permitidas del proveedor
9. Utilizar un cifrado de datos sólido para transmitir información restringida
La mayoría de las organizaciones asumen que la transmisión de datos a través de la red es
segura, lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de la
organización es la mejor defensa contra la exposición debido a una mala configuración o
individuos sin escrúpulos.
10. Analizar en busca de dispositivos de red no confiables o no autorizados
Un dispositivo no confiable es cualquier equipo conectado a la red de la organización que
no ha sido autorizado. Dicho dispositivo puede ser un punto de acceso inalámbrico, la
computadora portátil personal de un empleado o un interruptor de datos. Hay muchos
riesgos asociados con los dispositivos no autorizados, por tanto la protección no autorizada
debe bloquear el acceso a la red hasta que el personal de TI haya comprobado el dispositivo
y se le haya permitido específicamente conectarse.
No hay que olvidar que tanto en los hallazgos identificados como en las recomendaciones
está presente el factor humano. Las personas deben saber las implicaciones y riesgos de
realizar ciertas actividades. De ahí la importancia de concientizar y capacitar. La auditoría
puede prestar un buen concurso en este tema.

CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de
Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en
Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20
años de experiencia en diversas empresas. Amplia experiencia en la elaboración y
ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías,
consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia