LOS 10 HALLAZGOS MÁS COMUNES EN UNA AUDITORÍA DE CIBERSEGURIDAD

Por: CP Iván Rodríguez. Colaborador de Auditool

CREADO: 16 DICIEMBRE 2021

La ciberseguridad es una de las mayores preocupaciones de la alta administración de las

organizaciones y por supuesto de los auditores. En estos tiempos de pandemia, en que el uso de
recursos informáticos se ha incentivado, es conveniente evaluar el tema. No basta con tener
herramientas de seguridad y controles en diferentes instancias, si no se hace buen uso de ellas. El
factor humano sigue siendo uno de los eslabones más débiles para mantener una estructura de
ciberseguridad sólida en una organización. De ahí la necesidad de una capacitación permanente en
temas tecnológicos como medida para mitigar los riesgos. Algunos de los hallazgos más frecuentes
de los auditores al evaluar el tema de ciberseguridad, son los siguientes:

1. Fallas en la capacitación
Los temas de tecnología están en constante evolución, por esta razón los auditores deben estar de
manera permanente dispuestos a aprender y desaprender. Por su parte, la administración de las
organizaciones debe entender que no capacitar al personal no es una medida de reducción de
costos, es algo que los perjudica.

2. Debilidades en los controles de acceso lógico

Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y bases de datos
son una de las fallas recurrentes. Así mismo, una inadecuada administración de los usuarios, esto
es, a quien conceder permisos o privilegios, que se manifiesta de diferentes maneras: privilegios
excesivos otorgados a ciertos usuarios, privilegios no revocados de los usuarios que ya no
requieren dicho acceso, uso de permisos genéricos que perjudican la responsabilidad del usuario,
el intercambio o alteración de contraseñas, etc. Son algunas de las situaciones que se presentan a
menudo.

3. Fallas en la documentació
En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las políticas y
procedimientos para el uso de los recursos tecnológicos o la misma no es clara, está
desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a seguir o
actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente, muchas
organizaciones no efectúan la respectiva capacitación ni actualizan los documentos y manuales
cuando hay cambios en la infraestructura tecnológica.

4. Desactualización de aplicativos y programas

Los programas, aplicativos, sistemas operativos, motores de bases de datos entre otros, requieren
una actualización regular. Con alguna frecuencia quienes producen los programas envían
actualizaciones para mejorar su rendimiento o por motivos de seguridad. Es necesario gestionar
los parches para evitar ataques de ransomware, por ejemplo.

5. Inadecuada gestión de los riesgos de terceros

Muchas organizaciones ignoran el impacto que una violación de un proveedor de servicios externo
podría tener sobre las operaciones y los activos. Para ello, además de la implementación de
Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones con terceros deben
desarrollarse de una manera que garantice que solo accedan a los servicios que necesitan y nada
más. Es necesario adelantar labores de monitoreo de las actividades de los proveedores para
verificar si los servicios se están prestando según lo acordado y que los proveedores de servicios
externos no adelantan acciones que no estén dentro de los límites del acuerdo.

6. Inadecuada gestión de vulnerabilidades

Uno de los principales problemas observados con la gestión de vulnerabilidades está en el alcance;
los activos críticos a menudo se pierden porque las organizaciones no conservan un inventario
completo de los activos de los sistemas de información. También están los problemas relacionados
con los retrasos al implementar las medidas correctivas de las vulnerabilidades identificadas, ya
sea debido a las burocracias internas de la organización o a la ausencia de mano de obra calificada.
En ocasiones hace falta por parte de la administración, que demuestre un compromiso serio con la
efectividad de su programa de gestión de vulnerabilidades

Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también hay una
serie de recomendaciones que son habituales y cuya implementación puede ser útil para mitigar
los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan:
7. Probar el plan de continuidad del sistema regularmente
Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y que su
organización pueda continuar operando después de una interrupción del negocio. La organización
debe considerar la disponibilidad de personal crítico, el equipo necesario para reanudar las
operaciones, los métodos necesarios para restaurar los datos y el tiempo que lleva restaurar los
servicios. La prueba debe realizarse al menos anualmente. Tanto el plan de continuidad del
negocio como el de recuperación ante desastres deben actualizarse para reflejar las lecciones
aprendidas del evento de prueba.

8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios para

operaciones esenciales
Los firewalls se componen de muchas listas de acceso que permiten que el tráfico fluya dentro y
fuera de la red. La lista requerida simplemente debe documentar los puertos y servicios
permitidos para comunicarse a través del firewall, qué dispositivos pueden comunicarse y la razón
comercial de los puertos. en uso. Si los proveedores tienen acceso a la red privada virtual (VPN), la
lista debe indicar los sistemas con los que están aprobados para comunicarse y las direcciones IP
permitidas del proveedor

9. Utilizar un cifrado de datos sólido para transmitir información restringida

La mayoría de las organizaciones asumen que la transmisión de datos a través de la red es segura,
lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de la organización es la
mejor defensa contra la exposición debido a una mala configuración o individuos sin escrúpulos.

10. Analizar en busca de dispositivos de red no confiables o no autorizados

Un dispositivo no confiable es cualquier equipo conectado a la red de la organización que no ha
sido autorizado. Dicho dispositivo puede ser un punto de acceso inalámbrico, la computadora
portátil personal de un empleado o un interruptor de datos. Hay muchos riesgos asociados con los
dispositivos no autorizados, por tanto, la protección no autorizada debe bloquear el acceso a la
red hasta que el personal de TI haya comprobado el dispositivo y se le haya permitido
específicamente conectarse.

No hay que olvidar que tanto en los hallazgos identificados como en las recomendaciones está
presente el factor humano. Las personas deben saber las implicaciones y riesgos de realizar ciertas
actividades. De ahí la importancia de concientizar y capacitar. La auditoría puede prestar un buen
concurso en este tema.