¡Auditoría! ¿Cómo para qué?

0 comentarios
Por Otoniel Loaeza y Víctor Hernández. Síguelo en Twitter en @otoniel_loaeza
De acuerdo al Instituto de Auditores Internos (IAI), la auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a la organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
Habrá empresas y ejecutivos que consideran a la auditoría como un gasto o perdida de tiempo, provocando una actitud en el empleado de rechazo. Sin embargo, son más las percepciones que ven como necesario la existencia de un equipo interdisciplinario independiente que ayude a cumplir con las actividades planteadas en la definición.
Propósitos y Alcance
Los propósitos y alcances de un trabajo de auditoría pueden ser variados. Los trabajos de auditoría abarcan todas las actividades financieras y de operaciones, incluyendo sistemas, producción, ingeniería, comercialización y recursos humanos. Algunos ejemplos comunes son:
  • Uno de los principios generales de toda empresa es el respeto por la ley. Si partimos de esta premisa, podemos vislumbrar que es necesario que un tercero independiente efectúe una evaluación objetiva del trabajo realizado para confirmar si se están cumpliendo con las metas establecidas, obligaciones regulatorias y legislaciones nacionales, internacionales o de carácter comercial.
  • Por otro lado, habrá empresas que cuya naturaleza requiera demostrar que cuenta con procesos predecibles y medibles, o lo que es lo mismo, procesos adecuadamente documentados (ISO 9001:2000). También y no menos importante, es mostrar que el sistema de gestión ambiental se apega a lo establecido por organismos internacionales (ISO 14001:2004).
  • En el ámbito corporativo, los trabajos de Auditoría (internos y externos), permiten dar a los accionistas y alta dirección una visión sobre el apego a las normas y procedimientos corporativos y del cumplimiento a las regulaciones locales e internacionales de alta relevancia, como es el caso de las evaluaciones de cumplimiento de la Ley Sarbanes Oxley[1], cuyo objetivo es el de proteger a los inversores mediante una mayor transparencia y control interno de las empresas, dificultando la existencia de malas practicas empresariales y profesionales que perjudiquen a los grupos de interés de las compañías. No hay que olvidar que este ley surgió a raíz del escándalo financiero provocado por la firma de venta de energía Enron a principios del siglo XXI.
Es importante recalcar que los trabajos de auditoría no sólo se quedan en evaluaciones sobre temas financieros, de procesos o de control interno, también pueden llegar a evaluar los aspectos tecnológicos y de seguridad de datos. Recordemos que la información de la compañía se procesa en sistemas informáticos y que los equipos de telecomunicaciones que soportan el negocio de la compañía, además de ofrecer servicios que excedan las expectativas de nuestros clientes internos y externos, deben ser considerados elementos que garantizan la confidencialidad, integridad y la disponibilidad de la información.
¿Cuchillo de palo?
Es cierto que en ocasiones los trabajos de auditoría (interna o externa) son programados de forma que parece que se traslapan entre sí o, incluso, pueden dar la impresión de que son tantos que hay que invertir mucho tiempo en atender sus requerimientos y cumplir con las labores diarias. Sin embargo se debería pensar en ellas como una oportunidad más para mostrar los avances y la calidad que existen en cada una de las tareas que realizas. O bien una oportunidad de conocer desde otro punto de vista las posibles áreas de mejora que agreguen valor y mejora en las operaciones, en determinado proceso o área de la organización.
Por ende, una actitud positiva en el desarrollo de la auditoría ayudará a cumplir con los tiempos, denota seguridad en tus actividades y transparencia en las operaciones. Actividades como el retrasar la entrega de información o falta de disposición no sólo afectan tu imagen como profesional, sino que afectas el trabajo y logros de tu equipo. Incluso puede ser que, de manera indirecta, impactes en el trabajo de muchos equipos dentro de tu organización, y en el peor de los casos impides identificar riesgos que pudieran materializarse, afectando los intereses de tu empresa.
Concluyendo y aunque suene a un simple cliché, cuando escuches o participes en una auditoría interna o externa piensa que tu trabajo y disposición ayuda en gran medida a sumar un granito de arena para lograr a que la empresa, para la que colaboras, sea reconocida por cumplir con sus compromisos de calidad y confiabilidad frente clientes, accionistas y empleados.
Otoniel Loaeza, CISA, CRISC
Gerente Auditoría TI en Telefónica México. Doce años de experiencia, realizando actividades de auditoría TI, consultoría en seguridad de la información y soluciones de infraestructura, atendiendo a clientes en diferentes organizaciones en los sectores de servicios, telecomunicaciones, financiero y de gobierno. Ha colaborado para empresas líderes en servicios de consultoría y telecomunicaciones.
Víctor Hernández, con Especialidad en Auditoría y miembro del IMAI y ACFE.
Gerente Corporativo de Auditoría Interna de Procesos, con dieciocho años de experiencia enfocados en la evaluación de procesos, proponiendo mejoras en la operación, ahorros, mejores prácticas y dando certidumbre a la información financiera y operativa que generan las diferentes áreas de la empresa en las que ha colaborado, principalmente en los Sectores Detallistas y de Telecomunicaciones; además atendiendo de manera especial las operaciones de Fraude o de análisis cautelar.

Anonymous podría atacar infraestructura crítica: Departamento de Seguridad Interna

0 comentarios
Según el Departamento de Seguridad Interna de Estados Unidos (DHS por sus siglas en inglés), el grupo de hackivistas Anonymous ha declarado que tiene planeado ciberatacar los sistemas de control industrial, que afectan organismos tales como plantas químicas, instalaciones de tratamiento de aguas residuales, gaseoductos y tuberías de petróleo, lo que sería crítico para la infraestructura norteamericana.

El comunicado emitido por DHS afirma que Anonymous actualmente tiene su capacidad limitada únicamente para atacar sistemas web basados en Windows usando técnicas estándar como los ataques de negación de servicio (DDoS), pero el grupo de hackers podría estar interesado en usar otro tipo de técnicas para atacar los sistemas de control industrial (ICS por sus siglas en inglés).

“Oportunidades educativas (conferencias, clases), presentaciones de hackers en conferencias, otro tipo de eventos de seguridad y los medios, han creado conciencia acerca de las vulnerabilidades de ICS y es probable que en poco tiempo se desarrollen, tácticas, técnicas y procedimientos para irrumpir en los ICS”, dice el comunicado.

Para tratar de evitar esto el DHS y el Laboratorio Nacional de Idaho inició la capacitación de personas para ejecutar de forma segura los sistemas de control industrial y poderse defender de ciberataques.

Para esto realizaron una prueba de un lado el equipo rojo (los hackers) utilizaron herramientas virtuales para irrumpir y crear caos en el mundo de los del equipo azul (los defensores). Al probar con la empresa de química ACME, los hackers demostraron que causar un derrame tóxico en la empresa era tan fácil como apuntar, pulsar y destruir.

Además, el reporte del DHS advierte que hackers expertos como los de los grupos podrían explotar privilegios elevados mediante el robo de credenciales de usuarios válidos del software de ICS. De hecho así es como precisamente el equipo rojo irrumpió en los sistemas de ACME, explotando la vulnerable confianza del CEO con un ataque de phising.

De acuerdo con un post de Anonymous hecho en Pastebin el 11 de julio, después de hackear Monsanto, existe interés por los hackivistas en irrumpir los sistemas de control industriales.

“¿Qué sigue? No estoy seguro … podría tener algo que ver con que el puerto 6666 abierto del IRC en el servidor nexo.”, escribió la gente de Anonymous.

Aunque el DHS afirma que  la defensa a este ciberataque no se limita al grupo hackivista Anonymous, señala: “Este ataque probablemente podría extenderse más allá de Anonymous, a la comunidad en general, dando lugar a acciones de mayor alcance en contra de las empresas de energía”, advierte DHS en el comunicado.

La seguridad de los sistemas de control industrial que se utilizan en las instalaciones de fabricación comercial y sistemas de infraestructura crítica en todo el mundo, fue puesto en el centro de atención durante el último año, después de que el gusano Stuxnet infectó a más de 100,000 equipos en Irán y en otros lugares

Duqu

0 comentarios
Piratas informáticos desarrollaron lo que Symantec califica como “el hijo de Stuxnet”, W32. Duqu, o simplemente Duqu como ya se le refiere en medios de comunicación, un código malicioso que roba información de las máquinas con el objetivo de organizar un ataque contra un tercero.

El programa ya infectó computadoras de empresas europeas relacionadas con la actividad industrial, alerta Symantec en un comunicado.

Dado que Duqu contiene partes idénticas a Stuxnet los investigadores de la firma de seguridad consideran que pudiera haber sido desarrollado por las mismas personas o en su defecto por alguien con acceso directo al código fuente.

Pero a pesar de las similitudes la firma de seguridad advierte que “el propósito de Duqu es otro: reunir datos de inteligencia y los activos de entidades, tales como firmas de manufactura y sistemas de control industrial. Esto con el fin de facilitar un ataque contra un tercero. Los atacantes están buscando información como documentos de diseño que podría ayudarles a montar un ataque contra un centro de control industrial”, dice el reporte.

Los ataques, hasta ahora detectados, que utilizaron Duqu instalaron un Infostealer que puede grabar las pulsaciones de teclado y obtener información del sistema.

A diferencia de su antecesor, una vez que Duqu infecta un sistema permanecerá activo durante 36 días, pasado ese tiempo se autodestruirá. Sin embargo, otra de las similitudes que guarda con Stuxnet es que Duqu se enmascara como un código legítimo a través de archivos con certificados digitales validados, los cuales Symantec afirma que pertenecen a una empresa con sede en Taiwán aunque se han negado a identificarla.

Se cree que los ataques de Duqu iniciaron a principios de 2010, 18 meses después de que el gusano Stuxnet realizara su primer ataque y cinco meses después de su descubrimiento.

Debido al tiempo que Duqu ha estado operando sin ser descubierto, Symantec se dice “sorprendido”, ya que se trata de un tema muy delicado y en tanto la investigación no avance, la firma sólo dará a conocer pistas de su actividad en Europa.

Por su parte, Stuxnet es un gusano que significó dos años de investigación y desarrollo, que data de 2006. El malware atacó alrededor de 60,000 hosts en Irán, así como varios miles más en Indonesia. Este gusano logró que una base nuclear perteneciente Irán fuera víctima de su ataque.

Y es que alrededor de este gusano, que marcó un parte aguas en cuanto a seguridad informática se refiere, provocó que investigadores que analizaban su funcionamiento crearan teorías sobre su origen.

Es importante recordar el el gobierno estadounidense se ha mantenido en el radar de los medios de comuicación y expertos en seguridad en las últmas semanas. Primero por el código malicioso que infecto los aviones drones de Fuerza Aérea y, recientemente, por el comunicado que liberó el departamento de Homeland Security donde advertía que el grupo de hackivistas Anonymous podría ejecutar ataques cibernéticos contra la infraestructura crítica del país.


Bsecure


Consejos de seguridad informática para niños.

0 comentarios
internet_adolescenteExisten unas pocas y simples reglas de seguridad que los padres deben tener en mente para proteger a los más pequeños durante la navegación. La educación y el diálogo son fundamentales para la prevención y es importante charlar con los chicos para guiarlos, es lo que nos comenta Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
De acuerdo a los resultados de Online Security Brand Tracker, un proyecto global de investigación encargado por ESET y desarrollado por InSites Consulting entre Abril y Mayo de este año entre más de 1500 millones de usuarios en todo el mundo, más de la mitad (53.7%) considera que la principal amenaza es la exposición de los menores a material inapropiado en la web.
Las 10 reglas de oro para asegurar a sus hijos una experiencia sana y segura en Internet son:


    Asigne un usuario al niño: Es la única forma eficiente de controlar sus actividades en Internet. El usuario administrador de un sistema debe pertenecer siempre a un adulto.
    Utilice herramientas de control parental: Estas herramientas le permiten restringir el acceso a sitios de pornografía y contenido solo para adultos. Los filtros por lo gral son flexible por si el padre desea agregar páginas específicas con su clave y se pueden encontrar versiones gratuitas por la red o incorporada en las soluciones de seguridad.
    Monitoree el historial de navegación: Si el mismo es eliminado es un buen motivo para tener una charla.
    Controle la cámara web y asegúrese que la misma está desconectada mientras no se la deba utilizar.
    Revise las configuraciones de las redes sociales del niño: Un muro de Facebook compartido públicamente, sin limitaciones, puede ser un riesgo para la integridad del joven.
    Mantenga actualizado su antivirus y su herramienta de control parental.
Además, se debe instruir a los chicos para:
    No enviar información confidencial por Internet: Su información jamás será solicitada por correo electrónico o por chat. Los bancos no solicitan los datos de su cuenta y mucho menos su PIN. Es importante, a su vez, no ceder esta información a sus hijos.
    No divulgar su ubicación a cada momento: En el mundo social-net que vivimos actualmente donde todo se comenta y expone en las redes sociales, es importante instruir a sus hijos a no publicar las fechas exactas cuando estarán de viaje, que la casa va a quedar libre o los lugares exactos a donde van a estar al menos hasta una vez que regresen del mismo.
    Entender que no todo lo que se ve en Internet es verdad: Los hijos deben ser conscientes de que no toda la información que se distribuye en la web proviene de una fuente confiable. Hoy por hoy, en Internet, es muy fácil obtener un espacio para poder publicar opiniones. Por ende, se debe ser muy cuidadoso a la hora de recurrir a esos contenidos.
    Mantener una comunicación abierta: La comunicación que tenga con sus hijos juega un rol clave en su seguridad. Resulta mucho más productivo animarlos a comentar sus miedos e inquietudes que reprimirlos con sanciones. Que se mantenga un buen clima y un diálogo abierto, tanto en Internet como en la vida real, pueden llegar a ser la clave del éxito.
La educación cobra un papel fundamental en la prevención de los más sofisticados ataques informáticos:
“Con equipos informáticos cada vez más modernos y un lenguaje que evoluciona rápidamente, hoy los padres sufren la doble presión de tener que educarse para poder educar a sus hijos. Pero es fundamental enfrentar la tarea con calma y mantener el control de modo de generar un ambiente de colaboración familiar. La clave es ser paciente y saber escuchar”, concluye Sebastián Bortnik.