Autor: Marcelo Horacio Fortino.
Para ISACA, http://www.isaca.org/ un tema candente en la área de auditoría es la ciberseguridad. En efecto, es difícil no encontrar cada semana una noticia relacionada a ciberataques, robos de información corporativa o nuevos virus que amenazan la normal operativa de las organizaciones.
Por ello en 2016, la organización desarrolló un programa de IS Audit/Assurance para la ciberseguridad (gratuito para los asociados, puede descargarse desde http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-Based-on-the-NIST-Cybersecurity-Framework.aspx) basado en el Framework NIST Cybersecurity Audit Program https://www.nist.gov/cyberframework/draft-version-11.
El NIST (National Institute of Standards and Technology), agencia de la Administración de Tecnología del Departamento de Comercio de los EEUU se dedica a promover la innovación y la competitividad industrial mediante el avance de la ciencia de la medición, los estándares y la tecnología para mejorar la seguridad económica y la calidad de vida. La Visión del NIST apunta a ser líder mundial en la creación de soluciones de medición críticas y la promoción de estándares equitativos.
De acuerdo con ISACA, el objetivo de una auditoría de ciberseguridad es «proveer a la gerencia una evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y otros controles». La auditoria asimismo, podrá ser adaptada para soportar diversos tipos de procesos de negocios, aplicaciones o sistemas con variados requisitos de seguridad.
Tal es así que el propósito de la auditoría estará construido sobre las cinco actividades críticas de ciberseguridad: identificar, proteger, detectar, responder y recuperar. Además, deberá realizarse un análisis de riesgos y su impacto en el negocio de la organización para evitar las consecuencias negativas de éstos.
El documento afirma que el profesional que hará la auditoría deberá tener conocimientos de seguridad y controles, además de entender el negocio de la organización auditada para poder alinearse a la estrategia corporativa. Los profesionales certificados CISA deberán también cumplir con el estándar 1006 del framework ITAF (Information Technology Assurance Framework) http://www.isaca.org/itaf.
El programa de IS Audit/Assurance para la ciberseguridad cuenta con una herramienta en formato de planilla de cálculos con los pasos para realizar la auditoría utilizando las sub-categorías del framework NIST, los controles de COBIT 5 y la norma ISO/IEC 27001:2013.
Como ejemplo, en la hoja de la planilla de la actividad «Identificar», tenemos en la sub-categoría «Gestión de activos»: el riesgo al que se referencia, los objetivos de control junto con las características y el tipo de control, su clasificación, y la lista de pasos para verificarlo. A continuación, aparece la relación entre el framework y COBIT 5, la norma ISO 27001:2013 y/u otros estándares y framewoks. Por último, un campo para chequear si el control es efectivo y otro para comentarios.
En este caso para COBIT 5, dentro del dominio Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI), tenemos el proceso BAI09 (Gestionar los Activos) y sus metas BAI 09.01: Alineamiento de TI y la estrategia de negocio, y BAI 09.02: Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas.
En relación a la norma ISO/IEC 27001:2013, la actividad está alineada a los ítems del anexo A.8.1.1 y A.8.1.2.
Sin duda alguna, este trabajo de ISACA disponible para sus asociados, es una herramienta eficaz y eficiente para una correcta evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y de los controles que toda organización debe realizar para gerenciar los riesgos de ciberseguridad.
—-
Una visión previa de este tema fue el infográfico «10 cosas que los auditores deberían saber» (10 Things Auditors Should Know http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security-Infographic_ifg_eng_0217.pdf) donde el primer punto destaca el uso en conjunto del “Framework for Improving Critical Infrastructure Cybersecurity” de NIST, los controles de la norma ISO27001:2013 de seguridad de la información, y COBIT 5 para reducir el escopo de la auditoría y en consecuencia, hacerla más manejable.
—-
Fuentes:
http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/auditing-cyber-security.aspx
https://www.nist.gov/cyberframework
Marcelo Horacio Fortino es Gerente de TI de la Secretaría de Educación del DF – Brasil. Es Administrador de proyectos de TIC, con 20 años de experiencia internacional como gerente de TI, líder de proyecto, Consultor, formador de TI, administrador de sistemas y desarrollador web. Es especialista en código abierto y software libre. Ha escrito el libro Tutoriales GNU/Linux. MBA en gestión de proyectos y certificado en ITIL, ISO 20000 y Scrum Fundamentals. Miembro de ISACA, FSF e Hispalinux.
Excelente reseña! Gracias!