Autor: Marcelo Horacio Fortino.

Para ISACA, http://www.isaca.org/ un tema candente en la área de auditoría es la ciberseguridad. En efecto, es difícil no encontrar cada semana una noticia relacionada a ciberataques, robos de información corporativa o nuevos virus que amenazan la normal operativa de las organizaciones.

Por ello en 2016, la organización desarrolló un programa de IS Audit/Assurance para la ciberseguridad (gratuito para los asociados, puede descargarse desde  http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-Based-on-the-NIST-Cybersecurity-Framework.aspx) basado en el Framework NIST Cybersecurity Audit Program https://www.nist.gov/cyberframework/draft-version-11.

El NIST (National Institute of Standards and Technology), agencia de la Administración de Tecnología del Departamento de Comercio de los EEUU se dedica a promover la innovación y la competitividad industrial mediante el avance de la ciencia de la medición, los estándares y la tecnología para mejorar la seguridad económica y la calidad de vida. La Visión del NIST apunta a ser líder mundial en la creación de soluciones de medición críticas y la promoción de estándares equitativos.

De acuerdo con ISACA, el objetivo de una auditoría de ciberseguridad es “proveer a la gerencia una evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y otros controles”. La auditoria asimismo, podrá ser adaptada para soportar diversos tipos de procesos de negocios, aplicaciones o sistemas con variados requisitos de seguridad.

Tal es así que el propósito de la auditoría estará construido sobre las cinco actividades críticas de ciberseguridad: identificar, proteger, detectar, responder y recuperar. Además, deberá realizarse un análisis de riesgos y su impacto en el negocio de la organización para evitar las consecuencias negativas de éstos.

El documento afirma que el profesional que hará la auditoría deberá tener conocimientos de seguridad y controles, además de entender el negocio de la organización auditada para poder alinearse a la estrategia corporativa. Los profesionales certificados CISA deberán también cumplir con el estándar 1006 del framework ITAF (Information Technology Assurance Framework) http://www.isaca.org/itaf.

El programa de IS Audit/Assurance para la ciberseguridad cuenta con una herramienta en formato de planilla de cálculos con los pasos para realizar la auditoría utilizando las sub-categorías del framework NIST, los controles de COBIT 5 y la norma ISO/IEC 27001:2013.

Como ejemplo, en la hoja de la planilla de la actividad “Identificar”, tenemos en la sub-categoría “Gestión de activos”: el riesgo al que se referencia, los objetivos de control junto con las características y el tipo de control, su clasificación, y la lista de pasos para verificarlo. A continuación, aparece la relación entre el framework y COBIT 5, la norma ISO 27001:2013 y/u otros estándares y framewoks. Por último, un campo para chequear si el control es efectivo y otro para comentarios.

En este caso para COBIT 5, dentro del dominio Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI), tenemos el proceso BAI09 (Gestionar los Activos) y sus metas BAI 09.01: Alineamiento de TI y la estrategia de negocio, y BAI 09.02: Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas.

En relación a la norma ISO/IEC 27001:2013, la actividad está alineada a los ítems del anexo A.8.1.1 y A.8.1.2.

Sin duda alguna, este trabajo de ISACA disponible para sus asociados, es una herramienta eficaz y eficiente para una correcta evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y de los controles que toda organización debe realizar para gerenciar los riesgos de ciberseguridad.

—-
Una visión previa de este tema fue el infográfico “10 cosas que los auditores deberían saber” (10 Things Auditors Should Know http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security-Infographic_ifg_eng_0217.pdf) donde el primer punto destaca el uso en conjunto del “Framework for Improving Critical Infrastructure Cybersecurity” de NIST, los controles de la norma ISO27001:2013 de seguridad de la información, y COBIT 5 para reducir el escopo de la auditoría y en consecuencia, hacerla más manejable.
—-

Fuentes:
http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/auditing-cyber-security.aspx
https://www.nist.gov/cyberframework

Marcelo Horacio Fortino es Gerente de TI de la Secretaría de Educación del DF – Brasil. Es Administrador de proyectos de TIC, con 20 años de experiencia internacional como gerente de TI, líder de proyecto, Consultor, formador de TI, administrador de sistemas y desarrollador web. Es especialista en código abierto y software libre. Ha escrito el libro Tutoriales GNU/Linux. MBA en gestión de proyectos y certificado en ITIL, ISO 20000 y Scrum Fundamentals. Miembro de ISACA, FSF e Hispalinux.

Escrito por ADACSI

Un comentario

  1. LIA HEBE MOLINARI 12/12/2017 en 9:38 am

    Excelente reseña! Gracias!

    Me gusta

    Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s