caso práctico de auditoría en el mundo del cloud
TRANSCRIPT
Caso práctico de Auditoría enel mundo del CloudComo ya adelanté en el anteriorpost, este cuarto post locentraré en exclusiva enanalizar un caso práctico deauditoría aplicado al mundo delCloud Computing [1]. Si que megustaría destacar, que a pesarde que la resolución del caso escorrecta, ISACA ha realizado una serie de cambios importantesen las últimas versiones de COBIT, la quinta en particular.Por lo tanto, este post ha sido elaborado con la informaciónque ISACA ha publicado con fin divulgativo pero es necesarioacceder a los manuales más recientes si se desea elaborar unaauditoría de sistemas alojados en la nube completa y elaboradamediante los estándares más recientes.
En el caso que analizamos en este post, la compañía A, ofreceuna solución de software llamada Business Express mediante unmodelo de distribución SaaS, no obstante la compañía no cuentacon la infraestructura propia necesaria para ofrecer estasolución. Por lo tanto, ha decidido hospedar suinfraestructura en la nube (IaaS) mediante un acuerdo entreesta empresa y un CSP (Cloud Service Provider).
En resúmen, el CIO de la compañía ha decidido encomendar a unauditor de sistemas la tarea de auditar los dos aspectos quehe mencionado anteriormente: la solución que ofrece lacompañía en forma de SaaS y los sistemas alojados en lanube(IaaS) del CSP para soportar esa solución.
Una vez el CIO le ha comunicado al auditor cuales son las doscuestiones a auditar, el auditor ha decidido elaborar un plande auditoría con el fin de identificar los riesgos existentes
en ambos sistemas. Para la realización de dicha auditoría, enla actualidad existen multitud de frameworks distintos de losque hacer uso.
Por una parte se puede hacer uso de frameworks genéricos comoel elaborado por COSO (Enterprise Risk Management-IntegratedFramework), y por otra parte, se pueden utilizar losframeworks referentes a la parte IT como son el ISO 27001 o elITIL. Asimismo, diferentes organismos e instituciones como laCSA (Cloud Security Alliance), la ENISA, o el NIST [2] (USNational Institute of Standards and Technology), ya hanpublicado diferentes guías referentes al tema que se trata encuestión, las auditorías del cloud computing. Finalmente,COBIT es un estándar que permite la realización de unaauditoría holística que permita identificar los riesgos másrelevantes de IT.
Por todo lo mencionado anteriormente, el auditor ha decididohacer uso del framework Risk IT. Este framework se basa en losprincipios de COBIT pero complementandolo con todos aquellosriesgos no relacionados con IT que COBIT no contempla. Además,también hace uso de las distintas guías específicas sobreCloud Computing que he mencionado antes para tener en cuentatambién los riesgos propios de esta tecnología. Gracias a todoello, el auditor consigue elaborar un listado de 36 escenariosdistintos a analizar donde se relaciona cada riesgo IT con losobjetivos de control propuestos por COBIT.
Dado que el documento cuenta con información abundante acercade la realización de los controles, he decidido centrarme enlas conclusiones del informe y destacar aquellas cuestionesmás relevantes.
Por ejemplo, el riesgo número 34 hace referencia a la losriesgos relacionados con los acuerdos contractuales, losreferentes de los distintos proveedores de servicios enparticular. El auditor al analizar el acuerdo percibe lacarencia de una auditoría externa al CSP, una cuestión
trascendental antes de entablar cualquier tipo de relación coneste tercero.
Este ejemplo, demuestra cómo COBIT no solo permite auditarriesgos tecnológicos sino que además, también analiza yestudia un amplio espectro de riesgos que van más lejos de lapropia tecnología como es en este caso son los acuerdoscontractuales. Es decir, una análisis holística de losriesgos.
El informe elaborado por el auditor también destaca como laintegridad de los datos se ve comprometida por la carencia deun sistema seguro de comunicación entre la empresa A y lossistemas alojados en el CSP (punto 28). Además, en loreferente a los Service Level Agreements (SLA), estospresentan un nivel de detalle escaso y la calidad del servicio(QoS) también se ha visto comprometida.
En resúmen y como demuestra esta infografía teniendo en cuentalos criterios de probabilidad e impacto, hay dos cuestiones adestacar: los aspectos asociados a los acuerdos contractualesy los aspectos referentes a la seguridad en la comunicación
entre ambas entidades (Empresa A y los sistemas alojados en elCSP).
Para concluir, el objetivo final de este post ha sido elmostrar un framework metodológico para identificar, clasificary priorizar los riesgos más relevantes en la implantación deesta tecnología. Al fin y al cabo, la clave del éxito radicaen saber destinar los recursos en función de las prioridadesde cada riesgo (prioridades alineadas con la estrategia delnegocio). Por otra parte, los controles son importantes yresultan cruciales pero siempre se debe tener en cuenta unasimple cuestión ¿Este nuevo control me va a suponer un costesuperior al riesgo que intento evitar?, de ser así elimplantar el control no es una opción viable.
En definitiva, cualquier control que se realice tiene un claroobjetivo: identificar el impacto de los riesgos en el negocio.Por consiguiente, toda esta gestión de riesgos IT debe iralineada con la estrategia de la empresa.
[1] «SP 800-144, Guidelines on Security and Privacy in … –NIST CSRC.»https://csrc.nist.gov/publications/detail/sp/800-144/final. Seconsultó el 29 noviembre 2018.
[2] «Cloud Computing Risk Assessment A Case Study – isaca.»https://m.isaca.org/Journal/archives/2011/Volume-4/Documents/jpdf11v4-Cloud-Computing.pdf. Se consultó el 29 noviembre 2018.
Insider Threats: Derechos del
empleado y del empleador
https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite
En las entradas anteriores, he tratado de acercar al lectoruna visión general de las amenazas internas. También hemospodido observar cuál es la situación actual en lasorganizaciones con respecto a este tema, donde comprobamosque genera preocupación pero todavía no alcanzan la suficienteconcienciación en algunos ámbitos. En la tercera entradatratamos cuáles eran los principales riesgos asociados a lasamenazas internas, es un tema muy extenso ya que existenmultitud de riesgos que se pueden derivar de una amenazainterna, ya sea intencional o de forma involuntaria. Porúltimo, en el anterior post quise traer diferentes frameworksmetodológicos que permiten crear un plan contra las amenazasinternas que permite crear políticas y controles paraprevenirlas o bien para mitigarlas.
En la última entrada, traté de explicar que las personas eranla pieza fundamental para el éxito de este tipo de planes,aunque de forma constante hice alusión a las personas de forma
genérica y a todos los individuos involucrados. Con estostérminos no hay que confundir cuál es el foco principal de lasamenazas internas, los empleados. Por lo tanto, al describiren el framework la necesidad de monitorizar las actividades delos empleados y darles una formación adecuada para que sufranel menor número de despistes que podrían dar pie a una brechade seguridad, se suscitan unas cuestiones de gran relevancia,¿Qué derechos de privacidad deben disfrutar los empleados?¿Hasta qué grado puede o debe llegar la monitorización porparte de la organización? ¿Quién tendrá acceso a los datosproducidos por esta monitorización? ¿Estarán estos datosligados a un algoritmo automático o de perfilado? y podríamoscontinuar con una infinidad de cuestiones más, pero al finalel tema será siempre la privacidad y la no discriminación a lavez que la seguridad de la organización.
Por lo tanto, a mi entender, todo debería estar sujeto a laRGPD y dentro de poco a la renovada LOPD. El problema resideen que esta privacidad choca con el derecho de lasorganizaciones de monitorizar sus sistemas informáticos porseguridad. [1]
Respecto a este dilema, hemos podido observar que las últimassentencias del TEDH (tribunal europeo de derechos humanos) danmayor relevancia a la privacidad como derecho humano que alpoder de las empresas de vigilar sus sistemas informáticos. Esdecir, están dando a entender que el fin no siempre justificalos medios y que no todo vale para la seguridad, es necesariollegar a un equilibrio entre seguridad y privacidad. [2][3][4]
Queda patente que las legislaciones aún no están a la alturaen este aspecto, recordemos que en España el 98,7% de lasempresas de más de 10 empleados posee acceso a internet y 3 decada 5 empleados usa ordenadores con fines empresariales segúnla encuesta sobre tecnologías de la información y lascomunicaciones del Instituto Nacional de Estadística. Con ellopodemos imaginar que todas estas personas son susceptibles deverse afectadas por el dilema de la seguridad contra la
privacidad en el entorno laboral.
Algunos casos que han tenido gran repercusión pueden ser:
El caso de las cajeras: Un supermercado fue condenadopor el tribunal de Estrasburgo al no respetar laprivacidad de dos de sus empleadas. Lo que sucedió enesta ocasión fue que el supermercado tenía fundadassospechas de que las dos empleadas robaban, por lo quedecidió instalar cámaras ocultas sin el conocimiento deestas empleadas para atraparlas “in fraganti”. Estasprácticas de vigilancia de empleados no estánpermitidas, por lo que prevaleció el derecho a laprivacidad de las empleadas.El segundo caso es el de un trabajador rumano llamadoBarbulescu, en esta ocasión, el empleador de este hombreespió los mensajes privados de Barbulescu que se habíanrealizado desde su cuenta de correo electrónicopersonal. En esta ocasión también prevaleció el derechoa la privacidad del trabajador.
Podemos ver en ambas situaciones que el derecho a laprivacidad de los empleados se vio comprometida, lo quetambién tienen en común es que los empleados no estabaninformados de los datos que el empleador tendría disponibles yademás en ninguno de los casos se expresó consentimientoexplícito por parte de los empleados.
De todo ello, podemos deducir que no es el fin de lamonitorización de los empleados por parte de lasorganizaciones, sino que es una transición hacia unamonitorización mucho más informada y, sobre todo, lo másimportante, consentida por el empleado.
La mayoría de estas técnicas se pueden realizar informando alempleado y si este las consiente de forma explícita, aun así,algunas de ellas no son aplicables si transgreden alguna otranorma o ley vigente. Por lo que podemos decir, que se tiene en
cuenta tanto la privacidad de los empleados como la seguridadde las organizaciones, pero con un correcto equilibrio entreambas.
Como parte de esta regla de información hacia los empleados,podemos ver también que se está produciendo un aumento deformación para los empleados a cerca del uso permitido yautorizado de los sistemas informáticos de las organizaciones.Gracias a estas medidas, se podrán minimizar las situacionesque causan controversia como el uso de los correoselectrónicos profesionales para realizar actividades privadas.Ya que, muchas de estas actividades pueden no estar permitidaspor la organización o ser limitadas.
Una de estas medidas de autorización de uso puede ser laspolíticas de uso, podemos encontrar un ejemplo de plantillapara utilizar como política de uso del email profesionalpropuesta en Knowledge leader , también ofrecen otraspolíticas relativas a los derechos de empleado y empleador.[5][6]
A su vez, en esta fuente, podemos encontrar un cuestionario deconformidad relativo a los derechos de ambas partes. [7]
Probablemente, en el futuro cercano, veamos nuevasregulaciones respecto a estos aspectos con medidas ylegislaciones similares a la RGPD, pero mucho más enfocadas alos empleados. También aparecerá nueva regulación hacia laprivacidad del empleado fuera del entorno laboral, es decirdesconexión del trabajo fuera de horario laboral. [8][9]
Referencias:
[1] «Protección de datos y relaciones»- Expansión
http://www.expansion.com/blogs/sagardoy/2018/05/28/proteccion-de-datos-y-relaciones.html
[Consultado el 28/11/18]
[2] «Privacidad del trabajador»- El economista
https://www.eleconomista.es/empresas-finanzas/noticias/9013232/03/18/La-privacidad-del-trabajador-por-encima-de-la-proteccion-de-la-propiedad.html
[Consultado el 28/11/18]
[3] «Privacidad del trabajador»- 20minutos
https://www.20minutos.es/noticia/3291741/0/privacidad-trabajador-encima-proteccion-propiedad/
[Consultado el 28/11/18]
[4] «Derecho a la intimidad del trabajador»- Sanahuja miranda
https://www.sanahuja-miranda.com/es/blog/tiene-trabajador-derecho-intimidad-ambito-laboral
[Consultado el 28/11/18]
[5] «Plantilla política de email»- Knowledge Leader
https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/policiesproceduresemailpolicy
[Consultado el 28/11/18]
[6] «Plantilla políticas de los derechos del empleador yempleado»- Knowledge Leader
https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/policyemployerandemployeerights[Consultado el 28/11/18]
[7] «Cuestionario de los derechos del empleador y empleado»-Knowledge Leader
https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/questionnairecomplianceoverviewemployeeemployerrights
[Consultado el 28/11/18]
[8] «Desconexión del trabajador»- El boletín
https://www.elboletin.com/noticia/167931/nacional/proteccion-de-datos-incorpora-el-derecho-a-la-desconexion-digital-fuera-del-trabajo.html
[Consultado el 28/11/18]
[9] «Desconexión del trabajador»- Informática jurídica
El derecho a Desconectarse: la Protección de la Privacidaddel Empleado, frente al Patrono (Fuera del entorno laboral)
[Consultado el 28/11/18]
Blockchain y los Controles enlos Riesgos (Parte 4/5)
Buenas nuevamente! En esta entrada siguiendo con el postanterior (y a modo continuación), quisiera seguirdesarrollando los riesgos que íbamos identificando. Esta vez,se han escogido los diez riesgos más relevantes (bajo micriterio y discutibles). Después, se proponen soluciones conobjetivo de minimizar los riesgos mediante controles; de talmanera que una vez identificados el impacto y probabilidad delos riesgos se exponen cuestiones, ideas e iniciativas parasaber cómo abordar el riesgo en cuestión.
Partiendo de la tabla expuesta en la entrada anterior, acontinuación se muestran diez riesgos en la tabla 1:
ID Riesgo Probabilidad Impacto
R1 Vulnerabilidad de la plataforma MUY ALTO MUY ALTO
R2 Malware Dirigido MUY ALTO MUY ALTO
R3 Falta de Escalabilidad MEDIO MEDIO
R4 Responsabilidades poco definidas MEDIO MEDIO
R5 Fallo en cumplimiento tecnológico MUY ALTO MEDIO
R5 Pérdida de gobierno MUY ALTO MEDIO
R6 Implementación de claves MUY ALTO BAJO
R7 Compromiso de Claves ALTO BAJO
R8 Gestión de tiempos de espera ALTO NAJO
R9 Brecha de privacidad MUY ALTO MEDIO
R10 Retención de la información BAJO BAJO
A continuación, pasaremos a la explicación de los significadoslos riesgos, así como las medidas que se sugieren paracontrolar/mitigar el problema.
[R1] Vulnerabilidad de la plataforma: Al ser nueva tecnología,
es posible que se diese la situación de que una vez enproducción, se detectase una vulnerabilidad de tal manera quepusiese en jaque a toda la organización. Se propone primeroinvertir fondos para conocer las noticias y novedades desdeeste punto de vista y después establecer un plan decontingencia a modo preventivo.
[R2] Malware Dirigido: Si la organización fuese objetivo deataque e intentan atacar de forma intencionada nuestro sistemaoperacional de Blockchain, hay que tener acciones previamentediseñadas para afrontar este riesgo. Primeramente, se debenestablecer protocolos de acción para cada tipo de ataqueconocido. Después, se deberían de comprobar periódicamenteestas pautas; de tal manera que garanticemos que el sistema esrobusto y se defiende [1].
[R3] Falta de Escalabilidad: La escalabilidad estáestrictamente vinculada a la velocidad de procesamiento de lastransacciones que ocurren dentro de una blockchain específica.Las medidas que pueden tomarse son la medición de tiempos deespera y realizar periódicamente pruebas de carga, para ver sila infraestructura desarrollada sirve para el día a día dentrode la organización [1].
[R4] Responsabilidades poco definidas: Nuevamente, laorganización deberá realizar un trabajo previo a laimplementación para saber quien se debe responsabilizar de laadministración y roles de la plataforma; quienes serán losincluidos y excluidos de la topología… es decir, seránecesario realizar todo un análisis de responsabilidades dondese deberán acotar las funcionalidades para cada actor/rolidentificado y dejarlo documentado.
[R5] Fallo en cumplimiento tecnológico: ¿Qué sucede si latecnología deja de funcionar?¿En cuanto tiempo es posiblereiniciar todo el sistema o, en su defecto, poner en marcha elrespaldo correspondiente? Para ello, habrá que diseñar un plande contingencia donde tengamos garantías de que este riesgo nova a suponer un problema. Los controles que se proponen son 1)tener un sistema respaldo en marcha (aunque de manera pasiva)y 2) someter a simulacros eventualmente para poder medir lostiempos de espera.
[R6] Implementación de claves: ¿Cada cuanto cambias lasclaves?¿Quién lo hace? Esas responsabilidades y periodostemporales en un documento. Además, se debería de gestionarperiódicamente si ha habido vulnerabilidades de, por ejemplo,la metodología implementada.
[R7] Compromiso de Claves: Debemos asegurarnos de que lasclaves que preparamos y asignamos, efectivamente, se utilizany se guardan de manera efectiva.
[R8] Gestión de tiempos de espera: ¿Qué sucede si el sistematarda demasiado en responder, verificar y respaldar todo elproceso?
[R9] Brecha de privacidad: ¿Qué pasa si la clave seexternaliza y se publica? Para ello
[R10] Retención de la información: ¿Cómo garantizamos que lainformación es efectivamente guardada sólo por nuestrosistema?¿Qué servicios pueden almacenar/acceder?
En resumen, hemos identificado y explorado muchos de losriesgos ya identificados en el post anterior. Sabemos queBlockchain tiene muchos quebraderos de cabeza iniciales, perouna vez desarrolladas estas cuestiones y sabiendo cómo mitigarlos riesgos que tiene podremos gozar de los beneficios de estatecnología (la posible exención de autoridad digital, laauditabilidad y trazabilidad entre otros [2]).
[1] https://www.iproup.com/blockchain/182-blockchain-bitcoin-ethereum-Los-tres-retos-de-la-tecnologia-Blockchain-escalabilidad-interoperabilidad-y-sustentabilidad
[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_acm3225619&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,blockchain&sortby=rank
Tipos de sistemas de controlindustrialEn las anteriores publicaciones hemos analizados los riesgos,los controles para mitigar los riesgos y la relevancia en laindustria de los sistemas de control industrial (SCI), ademásde que también realizamos una breve introducción a estossistemas. En esta ocasión me gustaría indagar un poco más enlos distintos tipos de SCI que existen actualmente, para elloanalizaremos los diferentes sistemas, veremos cómo funcionan yademás mostrare unos esquemas que ilustraran la arquitecturade los diferentes SCIs.
Como vimos en la primera publicación un SCI es un conjunto de
dispositivos encargados de administrar, ordenar, dirigir oregular el comportamiento de otro sistema, a fin de reducirlas probabilidades de fallo y obtener los resultadosdeseados[1]. Sin embargo existen diferentes maneras derealizar esta tarea, por diferentes maneras me refiero adiferentes tipos y configuraciones de SCIs que serían lossiguientes: Sistema de Control Distribuido (SCD), Sistemas deSupervisión, Control y Adquisición de Datos (SCADA),Controladores Lógicos Programables o Autómatas Programables(PLC).
Comenzaremos hablando de los SCD que son los encargados decontrolar procesos industriales dentro de la misma zonageográfica. Se utilizan ampliamente en industrias basadas enprocesos, además de que estos sistemas están interconectadoscon la red corporativa para proporcionar a las operaciones denegocio una visión de la producción. En la siguiente imagen semuestra la implementación de un SCD:
Por su parte los sistemas SCADA están altamente distribuidos yse utilizan para controlar activos dispersos geográficamentedonde la adquisición y control de datos son críticos para laoperación o funcionamiento del sistema. Los sistemas SCADAestán diseñados para recoger información de campo ytransferirla a una instalación informática central de modo queun operador pueda supervisar o controlar centralizadamente unsistema completo en tiempo real. Estos sistemas estándiseñados para ser tolerantes a fallos con gran redundanciaintegrada en la arquitectura del sistema. La diferenciaprincipal entre sistemas los SCD y los sistemas SCADA es quees que los primeros distribuyen los componentes de controlmientras que los segundos son centralizados. Para ilustrarcual sería el diseño de un sistema SCADA se muestra lasiguiente imagen:
Por último encontramos los controladores lógicos programableso PLCs, los cuales son dispositivos informáticos de estadosólido que controlan equipos y procesos industriales. Como sepuede ver en las imágenes anteriores los PLCs se utilizanbastante en sistemas SCADA y SCD, sin embargo en muchasocasiones son los componentes primarios de configuraciones desistemas de control más pequeños más pequeños que proporcionancontrol operativo sobre los diferentes procesos. Los PLCs seutilizan en la gran mayoría de los procesos industriales. Acontinuación se representa la arquitectura de un PLC:
Antes de finalizar me gustaría aclarar ciertos términos quevemos en los esquemas pero que quizá no se conozcan y no sesepa la función que realizan dentro del sistema:
Servidores de control: El servidor de control aloja elsoftware de control de supervisión de SCD o PLC que secomunica con los dispositivos de control de nivelinferior.Servidor SCADA (MTU): Se trata de un dispositivo queactúa como el maestro en un sistema SCADA.Unidad terminal remota (RTU): Es una unidad deadquisición y control de datos de propósito específicodiseñada para apoyar las estaciones remotas SCADA.Dispositivo electrónico inteligente (IED): Es unsensor/mecanismo “inteligente” que contiene la
inteligencia necesaria para adquirir datos, comunicarsecon otros dispositivos, y realizar procesamiento ycontrol local.Interfaz hombre maquina (HMI): Un HMI es el software yel hardware que permite a los operadores humanossupervisar el estado de un proceso bajo su control,modificar las configuraciones de control para cambiar elobjetivo de control y anular manualmente las operacionesde control automático en caso de una emergencia.Histórico de datos: La información almacenada en estabase de datos puede ser accedida para apoyar diversosanálisis, desde el control estadístico de procesos hastala planificación a nivel empresarial.Servidos de entrada/salida (ES): El servidor ES es uncomponente de control responsable de la recogida, elalmacenamiento en memoria intermedia (buffer) y laprovisión de acceso para procesar la información de lossubcomponentes de control, tales como PLCs, RTUs e IEDs[2].
Por ultimo me gustaría señalar que los SCI son sistemascomplejos con muchos componentes pero que desempeñan sufunción de forma eficiente y correcta. Gracias a ellos laindustria actual se encuentra en una muy buena posición,permitiendo producir productos de alta calidad a un preciorazonable. Su uso es crítico y como he señalado a lo largo delas cinco publicaciones su seguridad es crucial para laempresa, por ese motivo siempre deberían de tenerse en cuenta,además deberíamos concienciarnos de que su labor es crucialpara el bienestar de la empresa.
Referencias:
[1]PublicaTIC. <<Una vista global a los sistemas de controlindustrial>>. Acceso 27 de noviembre de 2018.https://blogs.deusto.es/master-informatica/una-vista-global-a-los-sistemas-de-control-industrial/
[2] ISACA. <<Industrial Control Systems: A Primer for the Restof US>>. Acceso 27 de noviembre de 2018.http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx
Controles y auditoria paralos sistemas de controlindustrialEn el anterior post estudiamos los riesgos que afectan a lossistemas de control industrial. Pudimos ver que el mayorproblema que rodea a los sistemas de control industrial es sutecnología anticuada y por lo tanto que estos resultanvulnerables a ataques, es decir van atrasados en materia deciberseguridad. Esto se debe a que en un principio fuerondiseñados para usarse en lugares que no estuviesen expuestos auna red externa, sin embargo los tiempos cambian y hanobligado a estos sistemas a estar conectados tanto con otrossistemas de la empresa como con la red global debido a lacuarta revolución industrial.
Hay muchos desafíos que enfrentan la protección de sistemas decontrol industrial, que van desde técnicas, tales comoprotocolos de comunicación débiles (en su mayoría sin cifrar)
o la larga vida útil de estos sistemas, a organizativos (porejemplo, la falta de colaboración y coordinación entre losdepartamentos involucrados) y gubernamentales, por ejemplo lafalta de una política de seguridad en operadores deinfraestructura crítica.
Un problema muy importante que ha sido incluido entre los ochomayores desafíos en la seguridad de sistemas de controlindustrial es que los miembros de alta dirección de lasempresas que utilizan sistemas de control industrial no estánsuficientemente involucrados en la seguridad del sistema decontrol industrial [1].
Comenzaremos identificando los controles necesarios teniendoen cuenta los riesgos estudiados anteriormente. Debido a queel riesgo que identificamos hace referencia a laciberseguridad y esta está estrechamente relacionada con laseguridad de la información tomaremos como referencia elestándar ISO 27002. Sin embargo solo haremos uso de aquelloscontroles que tengan que ver con nuestro tema, que son lossiguientes:
RIESGONIVEL DERIESGO
CONTROL
Conexión remota alos sistemas
Alto
6.2.1 Política deuso de
dispositivos paramovilidad.
6.2.2 Teletrabajo.
9.1.2 Control deacceso a las redes
y serviciosasociados.
9.2.1 Gestión dealtas/bajas en el
registro deusuarios.
9.2.2 Gestión delos derechos de
acceso asignados ausuarios.
9.2.3 Gestión delos derechos de
acceso conprivilegiosespeciales.
9.4.1 Restriccióndel acceso a lainformación.
9.4.2
Procedimientosseguros de inicio
de sesión.
12.4.1 Registro ygestión de eventos
de actividad.
Integración conotros sistemas TI
de la empresaAlto
5.1.2 Revisión delas políticas parala seguridad de la
información.
12.3.1 Copias deseguridad de lainformación.
12.7.1 Controlesde auditoría delos sistemas deinformación.
Uso dedispositivosportátiles
Medio
8.3.1 Gestión desoportes
extraíbles.
8.3.2 Eliminaciónde soportes.
8.3.3 Soportes
físicos entránsito.
11.2.7
Reutilización oretirada segura dedispositivos dealmacenamiento.
12.3.1 Copias deseguridad de lainformación.
Falta derenovación de la
tecnologíaAlto
12.1.2 Gestión decambios.
12.1.3 Gestión de
capacidades.
12.1.4 Separaciónde entornos de
desarrollo, pruebay producción.
14.2.2
Procedimientos decontrol de cambiosen los sistemas.
14.2.3 Revisióntécnica de las
aplicaciones trasefectuar cambiosen el sistemaoperativo.
14.2.4
Restricciones alos cambios en los
paquetes desoftware.
14.2.7
Externalizacióndel desarrollo de
software.
14.2.8 Pruebas defuncionalidaddurante el
desarrollo de lossistemas.
14.2.9 Pruebas de
aceptación.
Falta deconcienciación y
comunicaciónsobre laseguridad
Alto
6.1.1 Asignaciónde
responsabilidadespara la seguridadde la información.
6.1.2 Segregación
de tareas.
6.1.4 Contacto congrupos de interés
especial.
7.2.2Concienciación,educación y
capacitación enseguridad de lainformación.
16.1.4 Valoración
de eventos deseguridad de la
información y tomade decisiones.
16.1.5 Respuesta alos incidentes de
seguridad.
Inadecuadagestión del
cambioMedio
12.1.2 Gestión decambios.
14.2.3 Revisióntécnica de las
aplicaciones trasefectuar cambiosen el sistemaoperativo.
14.2.4
Restricciones alos cambios en los
paquetes desoftware.
Conexión con unared global
Alto
9.4.1 Restriccióndel acceso a lainformación.
10.1.1 Política de
uso de loscontroles
criptográficos.
11.1.6 Áreas deacceso público,
carga y descarga.
12.2.1 Controlescontra el código
malicioso.
13.1.1 Controlesde red.
13.2.1 Políticas yprocedimientos deintercambio deinformación.
14.1.3 Protección
de lastransacciones porredes telemáticas.
Como podemos observar los riesgos relacionados los sistemas decontrol industrial están altamente relacionados con laseguridad de la información, con la conexión de estos sistemasa la red los datos quedan expuestos a atacantes en la red oincluso que se encuentran dentro de la empresa. Por ese motivoutilizando todos los controles mencionados anteriormente somoscapaces de controlar y mitigar los riesgos [2].
En pocas palabras me gustaría mencionar que los controles paraasegurar la información de los sistemas de control industrial
son totalmente necesarios. Por ese motivo las empresasdeberían tenerlas muy en cuenta a la hora de implantar estossistemas o incluso renovarlos. La auditoría sobre los sistemasde control industrial es más que necesaria para la adecuaciónde estos sistemas a las nuevas demandas de la industria,además de asegurar su continuidad mientras la empresa sigarealizando sus labores dentro del sector en el que esta sedesenvuelve.
Referencias:
[1] Deusto Océano. <<Approaching secure industrial controlsystems>>.Acceso 27 de noviembre de 2018.https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0
[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018.http://www.iso27001security.com/html/27000.html
Dispositivos médicos:tendencias futurasHemos llegado a la última entrega de los posts sobre losdispositivos médicos. A lo largo de esta serie de articulos,he hablado e intentado dar una visión general sobre estos,sobre la relevancia que tienen en el sector de la industria,sobre los riesgos que pueden tener y, por último, comominimizar el impacto y la probabilidad de estos riesgosmediante procesos de auditoría. Ya que conocemos todos estos
aspectos, me gustaría hablar de como será el futuro de estos yvolúmenes de datos.
Los avances en medicina y atención clínica están cada vez másligados a las tecnologías informáticas. Esto explora lasnuevas tendencias en la salud inteligente y el beneficio queaportan al paciente individual y a la sociedad en su conjunto[1].
El mercado de dispositivos médicos y tecnología alcanzarámuchas ventas en varios años, por lo tanto, no es de extrañarque tanto las empresas como las nuevas empresas consideren latecnología médica como una industria lucrativa que puedeayudar al sector a evolucionar y cambiar la calidad de vida[2].
La innovación está impulsando cambios significativos en todoel sector de la salud y está llamada a transformar la salud enlos próximos años. En la actualidad, por ejemplo, están endesarrollo microimplantes que permitirán regular la actividadde los órganos para que tengan un mejor funcionamiento. Entreotros, para tratar la diabetes, el microimplante permitiríaregular la cantidad de insulina producido por el páncreas.
Asimismo, actualmente, la impresión 3D para los dispositivosmédicos es más frecuente sobre todo en piezas dentales eimplantes ortopédicos ya que estos se adaptan a la medida queel paciente requiere. Los científicos ahora están enfocados enque las maquinas se puedan utilizar para desarrollar miembrosvivos como el hígado y el corazón. También, a día de hoy, yase pueden practicar implantes artifíciales de piel, cartílagoso vasos sanguíneos.
Otro caso es el de los diagnósticos moleculares. A partir deuna muestra de tejido y de sangre, se extrae el materialgenético mutado que está asociado a los cambios celulares quese relacionan con distintas enfermedades. La integración de lainformación medida y parámetros que se calculan, permiten lo
siguiente: predecir la efectividad de una intervenciónterapéutica, calcular el riesgo de mortalidad, identificar lanecesidad de un procedimiento posterior, evaluar y darseguimiento a una cirugía [3].
La sala de cirugía inteligente es otra tendencia importante anivel de innovación en la que se busca interconectividad dedatos entre todos los dispositivos médicos dentro de la sala.El propósito es tener un monitoreo constante y especifico delpaciente. Además, este tipo de instalación le da a loscirujanos mejores condiciones para maniobrar y mayor controlsobre los procedimientos, lo que permitiría realizar unacirugía menos invasiva y con mayor éxito, con una recuperaciónmás rápida del paciente. Esto será gracias a la automatizacióny la inteligencia artificial.
Por otro lado, con la remodelación cardiovascular, se esperacuanto antes que tanto el marcapasos sin cables como elresincronizador y los desfibriladores automáticos sean cadavez más comunes.
De la misma manera, la inteligencia artificial y el Big Data,junto con los avances de la aplicación del genoma humano a lapráctica médica, permitirán ofrecer a cada paciente la terapiamas adecuada y con menores efectos secundarios [4].
Bien, finalizaré dicho post y esta serie de posts, mostrandouna estadística en la cual aparece un ranking de las empresasde tecnología médica con mayor volumen de ventas a nivelmundial según las estimaciones para el 2024. Con vistas a eseaño, se prevé que la empresa Medtronic llegue a facturaraproximadamente 39.000 millones de dólares estadounidenses enel sector de la tecnología médica. Asimismo, Medtronic es lamayor empresa independiente dedicada al desarrollo detecnología médica del mundo [5].
Se puede ver como la empresa Medtronic alcanza las 38.9millones de ventas, en cambio, la empresa que menos ventasalcanza es General Electric, ambas en Estados Unidos, con 12.9millones de ventas.
En conclusión, las constantes innovaciones en este sector hanincrementado considerablemente la esperanza y calidad de vida,así como la asistencia sanitaria. La tecnología esta presenteen nuestro día a día, desde el material de un solo uso hastalos equipos más sofisticados de diagnóstico por imagen,desfibriladores, glucómetros, test de embarazo, y otras muchastecnologías y servicios que han mejorado de manera radicaltanto la práctica médica como la salud de todos.
Referencias:
Fuente obtenida por el uso de Oceano Deusto:
[1] Smart Health and Well-Being. Acceso el 27 de noviembre del2018.
https://ieeexplore-ieee-org.proxy-oceano.deusto.es/stamp/stamp.jsp?tp=&arnumber=7742279
[2] Medtech: five trends for the future. Acceso el 27 de
noviembre del 2018.
https://pharmaphorum.com/views-and-analysis/medtech-five-trends-for-the-future/
[3] 5 dispositivos médicos del futuro que el profesional de lasalud debe conocer. Acceso el 27 de noviembre del 2018.
https://saludiario.com/5-dispositivos-del-futuro-que-el-medico-debe-conocer/
[4] Tecnologías sanitarias: donde estamos y hacia donde vamos.Acceso el 27 de noviembre del 2018.
https://www.efesalud.com/tecnologias-sanitarias-salud-futuro
[5] Ranking de las empresas de tecnologia medica con mayorvolumen de ventas a nivel mundial en el año 2024. Acceso el 27de noviembre del 2018.
https://es.statista.com/estadisticas/601378/prevision-de-las-principales-empresas-de-tecnologia-medica-segun-ingresos/
Controles y auditoría de losdispositivos médicosEn el artículo anterior indicamos los riesgos que se producencon los dispositivos médicos. ¿Cómo podríamos prever estosriesgos? La respuesta se impondrá en este artículo en el cualse mostrará los diferentes controles de auditoría que sedeberán hacer.
Los controles de auditoría, en nuestro caso de losdispositivos médicos, son procesos interdisciplinarios que
permiten hacer una investigación, consulta, verificación,comprobación y generación de evidencia sobre su calidad y elfuncionamiento correcto de ellos.
En la entrega previa, me enfoqué en los riesgos en general delos dispositivos médicos, en cambio, en esta nueva entrega meenfocaré más en los controles de auditoría respecto a losriesgos tecnológicos de los dispositivos médicos.
En la siguiente tabla, se mostrará algunos dispositivosmédicos que he elegido entre otros, con sus riesgos ycontroles de auditoría.
Dispositivo médico: Implantes.
Riesgos:
El mayor riesgo de fracaso del implante dental la constituyeun diseño inadecuado de la prótesis.
En cuanto a los inconvenientes postoperatorios pueden ser lossiguientes: infecciones, sensaciones de anestesia, daños osensibilidad en otros dientes, vasos sanguíneos, nervios,encía o labios.
En el proceso de osteointegración puede haber fallostambién[1] :
Enfermedades previas del paciente que no se han tratadodebidamente antes de la colocación.Hábitos del paciente que no se han tenido en cuenta a lahora de implantar el implante.Baja calidad de los materiales utilizadosErrores de especialista.
Controles:
Los riesgos se pueden evitar siempre y cuando se tienen encuenta aspectos de tratamiento como:
Correcta planificación pre-quirurgica.Utilizar una adecuada técnica quirúrgica.Seguimiento pos-quirurgico.Respetar el tiempo de osteointegración.Realizar el diseño apropiado de la supraestructura.Estudio y la correcta distribución de las cargasoclusales.
Dispositivo médico: Marcapasos
Riesgos:
Hacer una punción en una vena que pasa por encima delpulmón dando lugar a la entrada de aire externo.Riesgos de infecciones.Riesgo de lesiones en el musculo cardiaco que puedanocasionar un sangrado del propio corazón.
Controles:
Hacer revisiones cardiológicas para confirmar el buenfuncionamiento del dispositivo.Valorar las posibles interferencias en el funcionamientodel sistema de estimulación provocadas por fármacos opor distintas técnicas.Valorar el estado de la batería y los cables.
Valorar la eficacia de la captura de la estimulaciónauricular/ventricular [2] .
Dispositivo médico: Bombas de insulina
Riesgos:
En caso de suspensión del suministro de insulina puedeaumentar rápidamente la glucemia y el riesgo dedesarrollar cetoacidosis.Bajada de glucosa en sangre o hipoglucemia.Aumento de peso.
Controles:
Dosificación más sencilla: calcular las necesidades deinsulina puede ser una tarea compleja en la que hay quetener en cuenta múltiples aspectos [3].
Dispositivos médico: Sistemas de ultrasonido
Riesgos:
Debido a la exposición por contacto directo.Debido a la exposición indirecta por vía aérea.
Controles:
Para prevenir una exposición a ultrasonidos transmitidos porcontacto:
Posibilitar en la medida de lo posible la automatizacióndel proceso.Utilización de los equipos por personal cualificado.Colocación de señalización conveniente de las zonasdonde existan equipos emisores de ultrasonidos.Colocación de tapas a los equipos cuando no sea
necesario su funcionamiento.
Para prevenir exposición por vía aérea:
Efectuar normas de trabajo.Colocar encerramientos parciales o totales, pantallas oabsorbedores para reducir los ultrasonidos.Alejamiento del foto productor.Reducción del tiempo de exposición [4] .
Por otro lado, en el ámbito de la medicina y dispositivosmédicos, también existe el rol de auditor. El perfil ideal delauditor podría ser el siguiente:
Conocimiento práctico de los sistemas de calidadrelativos a los productos sanitarios (marcado CE, ISO13485:2003 e ISO 9001:2008.Experiencia demostrada en auditorías (internas oexternas).Tener título de médico Especialista en: medicinaInterna, medicina Intensiva, Cirugía, ginecología,Pediatría y otras especialidades.Profesional médico dedicado a la labor docente en lasáreas médicas.Desarrollar buenas relaciones inter-personales de losempleados y profesionales a fin de favorecer un óptimotrabajo en equipo.
Asimismo, el auditor de dispositivos médicos estaráinvolucrado en lo siguiente [5] :
Planificación y realización de auditorías (ISO, IVD,MDD, FDA, MRA, Marcado CE) de los dispositivos médicosactivos del cliente, instalaciones y sistemas de gestiónde calidad (QMS).Ensayos de productos sanitarios activos de acuerdo con
las normas eléctricas pertinentes.Revisión y aprobación de expedientes técnicos y dediseño, notificaciones de cambios significativos y otradocumentación técnica.
Por último, hasta el momento, a lo largo de los diferentesposts, he hablado sobre el contexto de los dispositivosmédicos, que relevancia tienen en la industria, los riesgosque abarcan y en este mismo post, los controles de auditoría.Bien, para finalizar esta serie, me gustaría hablar sobre lasinnovaciones , volúmenes de negocio y tendencias futuras en elsiguiente post que vendrá pronto.
Continuará…
Referencias:
[1] Riesgos de los implantes. Acceso el 26 de noviembre del2018.
https://iomm.es/implantes-dentales/riesgos/
[2] Marcapasos, ¿ cuáles son sus beneficios y riesgos? Accesoel 26 de noviembre del 2018.
https://saberdesalud.com/marcapasos/#Que_riesgos_tiene_la_implantacion_de_un_marcapasos
[3] Bombas de insulina. Acceso el 26 de noviembre del 2018.
http://www.clinidiabet.com/es/infodiabetes/bombas/33.htm
[4] Sistemas de ultrasonidos. Acceso el 26 de noviembre del2018.
http://www.ibgm.med.uva.es/addon/files/fck/RFMOULTRAS.pdf
[5] Medical Devices Auditor Job. Acceso el 26 de noviembre del2018.
https://ckscience.co.uk/medical-devices-auditor-job-active-devices-field-based/
Actualidad y futuro de laIdentidad DigitalTras semanas escribiendo en este blog sobre la identidaddigital, sus riesgos, los controles que implantar y hastanoticias de actualidad, ha llegado el día en el que escriboeste, mi último post. Para la ocasión he elegido varios temascon los que me gustaría terminar que iré desglosando poco apoco.
En el mundo físico cuando nos comunicamos con un interlocutortenemos evidencias de quién es la persona como puede ser lavoz o el aspecto físico del individuo. Cuando la comunicaciónes escrita se usa el concepto de “firma” para reconocer alemisor del mensaje. ¿Pero qué pasa cuando el medio es el másabierto y menos confiado del Mundo? Sí, estoy hablando deInternet. Sorprendentemente la solución es usar el conceptoque acabo de mencionar pero en la era digital, es decir,“firma digital”. Esta tecnología se lleva usando décadas conla finalidad de proteger mensajes de carácter sensible como enla Guerra Fría. Pero la noción de la tecnología de clavepública permite una identificación y autenticación económicade mensajes y personas en la red. Las firmas digitales usanuna infraestructura de clave pública (PKI) en la que lasautoridades de certificación actúan como terceros de confianzapara tanto identificarte como autenticarte [1].
Puede que gracias a la tecnología de “firma digital” podamosverificar quién es el emisor de un mensaje, ¿pero y si lo que
queremos es demostrar nuestra identidad a las administracionespúblicas o a otras personas en general en Internet? Para darrespuesta a este reto nace el concepto de “identidad universaldigital” también conocido como “identidad nacional”. Lasmayores barreras para este desafío son la tecnología y lapolítica en sí mismas ya que son pocos los países que hanconseguido llevar a cabo de manera eficaz la identidadnacional [2]. Veamos los casos más significativos de paísesque han logrado un sistema eficaz de identificación.
El primer caso es el de Estonia, cuyo sistema estásiendo usado por el 98% de la población del país y dondeel 88% usa el sistema en Internet de forma regular. Eneste país cada ciudadano cuenta con una ID card (nuestroDNI) que les permite identificarse en toda Europa,acceder al sistema público de salud, identificarse ensus bancos, televoto, firma digital, ver lasprescripciones médicas,… Pero además, este productofísico puede usarse de forma digital con la Smart-ID oMobile-ID, que son dos formas diferentes deautentificarse online usando nuestro dispositivo móvil
[3].El segundo caso que me gustaría analizar es el de India.En este estado tienen implantado un sistema llamadoAsdhaar. Este no es más que un número de 12 dígitosúnicos que identifica a cada ciudadano (de la mismaforma que nuestro número de DNI) pero que usa técnicasbiométricas (huella dactilar y el iris) y demográficas.Este sistema está denominado como “el sistema más
sofisticado de identificación del Mundo”. Como en elcaso de Estonia, el método permite tener asignados datospersonales como número de teléfono o domicilio perotambién incluye los servicios públicos o cuentasbancarias. Cabe destacar que numerosos grupos deactivistas se oponen a este sistema por considerar queperjudica a la privacidad de las personas [4].
La última tecnología de que quería hablar es la poco conocidaViDChain, basada como su propio nombre indica en Blockchain.Esta propuesta permite agregar diferentes fuentes de identidaden una cartera de atributos de identidad. Las fuentes deidentidad pueden ir desde RRSS a sistemas biométricos uoficiales como el DNIe [5]. A pesar de lo prometedora queparecía esta propuesta por unificar todos nuestros perfiles,parece que no se ha terminado de hacer una realidad.Posiblemente debido a los riesgos que conlleva dicho sistema yel estado actual de la tecnología.
Para terminar me gustaría dar mi opinión personal al respectode este tema y decir que me ha resultado muy interesante lainvestigación previa a la realización de esta serie de 5posts. Considero un avance necesario e importante el uso de labiometría como forma de identificación pero creo que debeestar ligada a otros métodos. Lo que quiero decir es que laforma que veo más idónea para la identificación en Internet esla utilización de más de un sistema, combinando factoresfísicos (por ejemplo aceptar usando el móvil que eres tú),demográficos (parametrizar lugar de residencia y zonashabituales de acceso), contraseñas y variables biométricas.Estos sistemas se podrían usar de forma combinada paragarantizar la identidad de la persona. Además, en cuanto a laidentidad digital personal me gustaría recalcar que hoy en díael “yo” físico y el digital están cada vez más conectados yque debemos comprender cómo funcionan para gestionarloscorrectamente.
[1] “Digital signatures – Security & Controls”, acceso el 27de noviembre de 2018.https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx
[2] “In search of a national identity”, acceso el 27 denoviembre de 2018.https://www2.deloitte.com/uk/en/pages/financial-services/articles/in-search-of-a-national-identity.html#
[3] “e-identity”, acceso el 27 de noviembre de 2018.https://e-estonia.com/solutions/e-identity/id-card/
[4] “Aadhaar”, acceso el 27 de noviembre de 2018.https://en.wikipedia.org/wiki/Aadhaar
[5] “ViDChain, el futuro de la identidad digital”, acceso el27 de noviembre de 2018.https://www.validatedid.com/es/vidchain-el-futuro-de-la-identidad-digital/
Una opinión personal sobre elestándar PCI DSSUna vez realizados todos los posts anteriores, ya tengo unaidea más amplia de lo que el estándar PCI DSS (Payment CardIndustry Data Security Standard) propone y también heobservado casos en los que el estar certificado con PCI DSS no
ha evitado que ocurran acciones fraudulentas en una empresa.Todo esto me ha hecho pensar en lo que pasa cada vez que hagouna compra online y, además, en el estado de las empresas conmayor facturación online en España. Por todo esto, me gustaríacentrar este post en una opinión personal (basada en datosreales) sobre lo que ocurre en las compras del día a día.
Con la evolución del internet para poder comprar online casitodo lo que queremos, han surgido diferentes empresasdedicadas casi en exclusiva al comercio online y otrasempresas que han evolucionado para vender online lo queofrecen físicamente en tienda. Mirando diferentes artículos eninternet, he encontrado uno que mostraba las empresas con
mayor facturación online en España[1].
Encabezando la lista tenemos a Amazon liderando el ecommercecon unas cifras abrumadoras de 1.301 millones de eurosfacturados en el año 2017. Si bien es verdad que se han
encontrado publicaciones[2] en las que se especifica que elservicio Amazon Web Services es PCI DSS compilant, no hellegado a encontrar ninguna publicación que asegure que la
página de ecommerce lo sea. Aun así, existe un FAQ[3] en el queafirman que sí es PCI compilant aunque únicamente en losservicios que ofrecen.
En segundo lugar nos encontramos el eccomerce de El CorteInglés con ventas por el valor de 684 millones de eurosfacturados en el año 2017. Haciendo una búsqueda rápida sepuede verificar que esta empresa cumple con el estándar
gracias a la pasarela de pago ConexFlow que utilizan[4]. Si bienesos datos fueron recogidos en el año 2007, podemos seguirobservando en diferentes páginas actualizadas de la empresa[5]que cumplen con el estándar PCI DSS y, además, con el estándarPA DSS (Payment Application Data Security Standard).
En tercer lugar tenemos PC Componentes, con una facturación de301 millones de euros en el año 2017. Con un vistazo rápido en
su web[6], ha sido fácil encontrar que cumplen con el estándarPCI DSS.
En cuarto lugar tenemos la empresa Mediamarkt, con unafacturación de 227 millones de euros en el año 2017. Al igualque ha pasado con la empresa anterior, con una simple búsqueda
en su página web[7] ha sido suficiente para encontrar quecumplen con el estándar.
Una vez observados estos datos, he cambiado de misión, me hepuesto a buscar empresas de cualquier lugar del mundo que hantenido vulnerabilidades. Si es de esperar que estas empresas anivel nacional cumplan con el estándar, es de esperar queempresas conocidas mundialmente lo sean y, en mi opinión,deberían tener aún más cuidado que empresas nacionales en loque al ecomerce se refiere.
Echando un vistazo en la página gbhackers[8], ha sido muy fácilencontrar diferentes ejemplos de este problema, ¿cómo he dadocon esta página? Muy sencillo, soy una persona a la que legusta comprar maquillaje, una de las empresas americanas enlas que suelo comprar es Tarte. Me he puesto a buscar fallos
de esta empresa y, tras encontrarlos[9] he podido observar queeste sitio guarda aun más noticias relacionadas con elestándar PCI DSS.
Actualmente, no existe ninguna ley que regule los pagosrealizados en ecommerces y, se puede observar que losproblemas que ocurren cuando se implementan mal estastransferencias (o, directamente, no aplicar ningún tipo decontrol) hace ‘quebrantar’ leyes sobre la protección de losdatos de los clientes. Vivimos en un mundo en el que las
ventas online incrementan todos los años de manera continuada[9]
y en el que el robo de datos está a la orden del día. Estamosen el momento propicio para crear leyes que regulen lascompras (y el tráfico en general) online. Hay demasiadosantecedentes en este sector como para que se empiecen a tomarmedidas inmediatamente.
Si bien es verdad que ‘los malos’ siempre van a existir, ¿noes hora de que ‘los buenos’ les pongan el trabajo aun másdifícil? ¿No es hora de empezar a imponer leyes y accionespara proteger los datos de los ciudadanos de este mundo? ¿Noes hora de empezar a controlar el tráfico online de una maneramás exhaustiva? Yo creo que sí, yo creo que ya va siendo horade empezar a tomar cartas en el asunto. Desde mi punto devista, es hora de coger el estándar PCI DSS y redactar una ley(o las que hagan falta) sobre el mismo y obligar a las
empresas a que la apliquen como es debido. Es hora de crearsanciones para todas aquellas empresas que apliquen mal elestándar y, aún más severamente, de sancionar a todas aquellasempresas que no acojan las leyes creadas.
Referencias:
[1] <<Las cinco tiendas online que más facturan en España>>,Statista, 24 de Noviembre de2018, https://es.statista.com/grafico/15551/tiendas-online-con-mayor-facturacion-en-espana/
[2] <<Introducción a Amazon Web Services>>, Deloitte, 24 deNoviembre de2018, https://www2.deloitte.com/es/es/pages/technology/articles/introduccion-a-amazon-web-services.html
[3] <<Is Amazon.com PCI compilant?>>, Quora, 24 de Noviembrede 2018, https://www.quora.com/Is-Amazon-com-PCI-compliant
[4] << Informática El Corte Inglés, primera empresa españolaen obtener la máxima certificación internacional de seguridaden el pago con tarjetas de crédito>>, El Corte Inglés, 24 deNoviembre de2018, https://www.elcorteingles.es/informacioncorporativa/es/comunicacion/notas-de-prensa/informatica-el-corte-ingles-primera-empresa-espanola-en-obtener-la-maxima-certificacion-internacional-de-seguridad-en-el-pago-con-tarjetas-de-credito.html
[5] Informática El Corte Inglés, El Corte Inglés, 24 denoviembre de2018, https://www.iecisa.com/es/que-hacemos/soluciones/Enhanced-Commerce/
[6] <<Condiciones de tarjetas vinculadas>>, PC Componentes, 24de noviembre de
2018, https://www.pccomponentes.com/condiciones-paytpv
[7] Atención al cliente, MediaMarkt, 24 de noviembre de2018, https://specials.mediamarkt.es/atencion-al-cliente
[8] GBHackers on security, GBhackers, 24 de noviembre de2018, https://gbhackers.com/
[9] <<E-Commerce In 2018: Here’s what the experts arepredicting>>, Forbes, 24 de noviembre de2018, https://www.forbes.com/sites/tompopomaronis/2017/12/15/e-commerce-in-2018-heres-what-the-experts-are-predicting/#1552ddf06deb
Controles y auditoría de lasredes sociales¡Buenos días/tardes/noches a tod@s una vez más!
Como ya recogimos en la pasada publicación, clasificabamos losriesgos del uso de las redes sociales en estas categorías:relacionados con quién las gestiona, con la comunicación, conlos costes, con la reputación y los riesgos humanos. Ahora,una vez los hemos identificado, tenemos que pasar a lasiguiente fase y recoger controles potenciales para ellos y laidentificación de la mejor forma para cada uno de ellos.
Comenzaremos hablando de los riesgos reputacionales y deimagen y de cómo es la forma adecuada de controlarlos, paramás adelante auditarlos. En este caso, la importancia de dichaauditoría no residirá en buscar qué es lo que se ha hecho,sino en por qué se han llevado a cabo los procesos, políticasy planes comprobando que se cubren las oportunidades que se
puedan detectar y los riesgos potenciales, y sobre todo, quese actúa de manera adecuada.
Recogiendo los riesgos relacionados con la gestión, los quevan relacionados a la comunicación y los de los costes vamos arecogerlos en un mismo sector al que llamaremos “riesgosestratégicos”. Hay que tener claro que los riesgosestratégicos surgirán cuando utilicemos de forma ineficiente(haciendo que las actividades de las redes sociales no vayande la mano de los objetivos de la organización), lo que tendráconsecuencias económicas directamente relacionadas. Entonces,para evitarlos habrá que recoger una serie de directrices.Estas son esas directrices (y algunas herramientas para poderdefinirlas):
Alcance: De cara a definir correctamente el lenguaje autilizar, la frecuencia de publicaciones, el contenidode las mismas y demás, habrá que conocer a quiénes nosestamos dirigiendo. Algunas de las herramientas másutilizadas para el estudio del alcance, además de lasque ya te proporcionan redes como Instagram (en losperfíles de empresa), Twitter o Facebook, son GoogleAnalytics. Otras como SimilarWeb [4] o Metricool [5]permiten analizar también analizar el número de visitasde redes sociales obtienes u obtiene tu competencia [3].Propósito: Definiremos cómo se llevarán a cabo lasactividades en las redes sociales, incluyendo aquíaquellas líneas rojas que los empleados no podrán cruzara la hora de gestionar dichas redes y definiendo el tipode información que será pertinente compartir a través delas actividades.
Objetivos: Definición clara del resultado que se quiereobtener de las redes sociales. Definición de cómo ydónde se enlazan los objetivos de la empresa con estaspara finalmente acabar obteniendo dicho resultado. Con
esto se puede definir una estrategia de redes socialescompleta.
Directrices respecto de la propiedad: Como ya se hablóen las anteriores publicaciones, el contenido de lasredes sociales tiene una propiedad intelectualdirectamente relacionada, por ello habrá que definirunas directrices para la creación de contenido y elmantenimiento de los sitios que la organización tenga enredes sociales.
Por último encontramos los riesgos humanos y, por supuesto, alestar hablando de personas, tenemos claro que se puedenincluir dentro de cualquiera de los riesgos. Pero habrá queponer especial atención en riesgos relacionados con terceros(ya que los errores humanos dentro de nuestra compañía sepueden “controlar” junto a los riesgos estratégicos), estasterceras partes serán aquellas con las que se colabora o quese subcontratan. Para gestionar correctamente a estasentidades y los posibles riesgos que nos pueden surgir conellas habrá que definir políticas, procesos y controles dondese recogerán tanto los posibles daños y solucionescontempladas.
Ahora que ya tenemos claro cómo controlar (o al menos empezara controlar) los riesgos que identificamos, nos surgen lassiguientes cuestiones: ¿Cómo se auditan las redes sociales?,¿quién audita las redes sociales? y ¿cada cuánto deberíamosauditarlas?
Antes de nada es importante saber que una auditoría de redessociales es un proceso en el que se revisa qué estáfuncionando de las redes sociales y qué no [6], es decir,revisaremos los controles establecidos y veremos su progreso.Los encargados de auditarlas pueden ser tanto internos comoexternos, pero conviene que pertenezcan al departamento de TIy además que hayan recibido alguna educación sobre redessociales específicamente.
Respecto a con qué frecuencia se deberían auditar por normageneral se recomienda hacer al menos trimestralmente, pero quelo óptimo es que se hiciera semanalmente, pero solo si sedispone de la necesidad real y los recursos necesarios [7].
Por último, pero sin embargo lo más importante es saber cómohacer llevar a cabo una auditoría que sea de provecho para laempresa. La auditoría se realizaría con una plantilla en laque se cubren las cuestiones ya planteadas y en la que serecoge toda la información que se tiene para, más adelante,realizar un informe que recoja las posibles oportunidades,mejoras, riesgos y fortalezas. Aquí os dejo algunas plantillaspara tomar como ejemplo: formulario 1 [8], formulario 2 [9],formulario 3 [10].
Fuentes generales:
[1]:https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_proquest1629284501&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,audit%20social%20media&sortby=rank&offset=0
[2]:https://www.isaca.org/Journal/archives/2017/Volume-4/Pages/social-media-rewards-and-risk-spanish.aspx