En primera línea: resultados de la investigación sobre ciber amenazas
Blogs Brian Tremblay, CIA, CISA abr. 27, 2022
Ha sido un viaje interesante. Había pasado 15 años en la profesión de auditoría entre la auditoría externa e interna, incluso a nivel de DEA. Trabajé en todo tipo de industrias, empresas y departamentos de auditoría de diferentes formas y tamaños. Pensé que estaba preparando adecuadamente a los líderes senior y miembros de junta sobre cómo administrar los riesgos y oportunidades que generaba el trabajo de mi equipo. Creía que teníamos riesgos globales críticos como la ciberseguridad, bien pensados, examinados y gestionados. Si bien no diré que me equivoqué, diría que ahora estoy mejor informado sobre los riesgos y los enfoques sobre cómo abordar el tema cibernético.
Hace dos años, me uní a una empresa cibernética apasionada por investigar los riesgos cibernéticos en relación con las aplicaciones críticas para el negocio. La empresa se centra específicamente en los riesgos cibernéticos que amenazan las herramientas de planificación de los recursos empresariales, los sistemas de gestión de recursos humanos y las herramientas de gestión de relaciones con los clientes. Coincidentemente, estas no son solo las tecnologías que impulsan los negocios de nuestras empresas, también son las tecnologías que están al alcance de las regulaciones de cumplimiento.
Dos áreas de enfoque en las que realizamos investigaciones son: detección de errores (piense en vulnerabilidades de software, configuraciones inseguras, etc.) e investigación de amenazas (por ejemplo, quién está pirateando y qué está buscando).
Entonces, ¿qué nos dice nuestra investigación de amenazas que usted necesita saber?
- Las aplicaciones críticas del negocio están bajo ataque y la investigación mostró que los ataques se originaron en cerca de 20 países diferentes durante nuestra ventana de observación.
- Mientras que las empresas como para la que trabajo en encontrar problemas y ayudar a los proveedores de software a parchearlos o proporcionarles soluciones, no los encuentran todos, y vemos vulnerabilidades en el campo que aún no han sido detectadas por los investigadores de seguridad. Hemos visto evidencia de vulnerabilidades siendo explotadas por más de tres meses antes de que los investigadores las detecten.
- En promedio, desde el momento en que el proveedor de software emite un parche hasta el momento en que las explotaciones ocurren, son 72 horas, tres días. Los lanzamientos de parches que se utilizan como puntapié inicial para que los actores perpetradores de las amenazas exploten las tecnologías ha sido alucinante para mí.
- Uno de los primeros movimientos de los ciberdelincuentes y hackers es obtener funciones de administrador para ellos mismos, lo que significa que pueden hacer lo que quieran, cuando quieran, a veces fuera de la vista de los registros o logs.
- A veces incluso ponen un parche a la vulnerabilidad. Sí, lo leíste bien. Lo parchean. La línea de pensamiento podría ser que están protegiendo su "territorio" de otras partes, o quieren que las organizaciones crean que ya solucionaron el problema.
- Los malos tienden a navegar primero hacia donde está el dinero, es decir, información de identificación personal, propiedad intelectual, datos financieros, etc. Coincidentemente, muchas de estas cosas también crean problemas de cumplimiento, ya que están eludiendo los controles (como SOX) o acceder y extraer datos protegidos que resulten en problemas de privacidad de datos (como GDPR, CCPA, etc.).
¿Qué significa todo esto para la auditoría interna? Bueno, simplemente, mucho.
Según el 2022 North American Pulse of Internal Audit, del IIA, el 85 % de los DEA consideran que la ciberseguridad es un riesgo alto o muy alto en su organización. Sin embargo, en promedio, estos mismos líderes dicen que planean asignar solo el 11 % de su plan de auditoría al riesgo de ciberseguridad en el próximo año.
He tenido el placer de hablar con muchos líderes de auditoría interna, y muchos de ellos indican que, si bien sienten que el impacto de una violación de una aplicación crítica para el negocio sería significativo, no creen que la probabilidad sea del todo probable La investigación indica lo contrario.
La triste realidad a la que nos enfrentamos a menudo es que apuntamos a controles básicos de bloqueo y abordaje, como el control de acceso, la gestión de cambios, la aplicación de parches, etc., sin evaluar realmente los riesgos. En lo que respecta a la gestión de parches, me esforzaría por entender cómo su organización prioriza los parches. ¿Lo hacen con una frecuencia normal? ¿Hay períodos de bloqueo en los que no parchean (como el cierre de fin de año), que están creando riesgos descomunales? ¿Cómo reaccionan ante un día cero? La mayoría de las organizaciones no aplican parches dentro de las 72 horas posteriores al lanzamiento del parche.
Por mucho que nos gustaría pretender que el riesgo cibernético y los riesgos de cumplimiento son temas separados, el riesgo cibernético crea un riesgo de cumplimiento. Dado que una de las primeras acciones de los intrusos es obtener derechos y privilegios de administrador, una prueba de control trimestral ya no será suficiente.
Finalmente, en los últimos dos meses la SEC ha propuesto no una, sino dos nuevas reglas que tienen abiertos períodos de comentarios en curso. Mientras que la primera (publicada el 9 de febrero) tiene un alcance más limitado tanto en aplicabilidad como en expectativas, la más reciente, publicada el 9 de marzo, tiene un alcance mucho más amplio. Como se indica en la hoja informativa provista por la SEC, esta regla propuesta, si se adopta, requeriría divulgaciones periódicas con respecto a, entre otras cosas:
- Las políticas y procedimientos de la organización registrada en la SEC, para identificar y gestionar los riesgos de seguridad cibernética.
- Rol de la gerencia en la implementación de políticas y procedimientos de ciberseguridad.
- La experiencia en seguridad cibernética de la junta directiva, si la hay, y su supervisión del riesgo de seguridad cibernética.
- Actualizaciones sobre incidentes materiales de ciberseguridad informados anteriormente.
Nos guste o no, estemos preparados o no, parece que ya no podemos andar de puntillas en torno al tema del riesgo cibernético. La ola no viene, está casi aquí.