Ciberseguridad Auditoría de sistemas Otra de las ponencias que tuvo lugar en el área de Mission Critical Security Summit fue la del director de investigación del Isaca, Erik de Pablo Martínez, quien se encargó de hablar del papel del auditor de sistemas ante los nuevos riesgos en los centros de datos. De Pablo Martínez explicó que la función de la auditoría ha ido evolucionando en los últimos años y ha heredado el papel de lo que antiguamente se llamaba inspección (para detectar fallos y demás) y “es lo que le ha dado una mala fama”. “Las auditorías internas –continuó- “son un elemento fundamental de la alta dirección. Lo que buscan las auditorías es la identificación de los riesgos. Hay que intentar identificar cual es la madurez de un proceso para saber si puede poner en riesgo a la sostenibilidad. Medir la madurez significa ver un proceso hasta que alcanza la excelencia”, aclaró. Este proceso del que habló el experto tiene una serie de etapas o niveles: • Nivel 0: no hay implementación de procesos (incompleto). • Nivel 1: se alcanzan los objetivos de los procesos (realizado). • Nivel 2: gestión de procesos y los productos (gestionado). • Nivel 3: establecido. • Nivel 4: predecible. • Nivel 5: optimizado. Tal y como aseguró De Pablo Martínez, a partir del nivel tres se consideran modelos de control. La sostenibilidad se alcanza en el punto último, lo que significa que el proceso es excelente. El que se encargue de identificar esto, esta situación, tiene que ser alguien independiente, no la propia área. “Una de las consecuencias es que el papel de las auditorías cada vez es más importante y esto hay que transmitirlo a la gente. Los auditores de sistemas asesoran de forma independiente a la alta direc- ción sobre los riesgos de naturaleza informática”, aseguró. La auditoría interna se apoya en dos cosas: 1. Formación especifica. 2. Metodologías (CobiT). En este sentido, el director de investigación del Isaca recalcó que la formación de los auditores es muy importante, con lo que tiene que ser gente muy preparada. Éstos se tienen que fijar principalmente en dos cosas: en los hechos significativos y en el modelo de madu- rez. “El concepto de inspección es un concepto muy antiguo. Hay que saber identificar el modelo de madurez. La madurez tiene que trascender de las cosas que hemos visto y llegar a una conclusión clara para transmitirla a la dirección. El output o informe tiene que ir a los responsables del proceso pero también, y sobre todo, a la alta dirección. Es fundamental”, aseguró. El rol del auditor en el centro de datos Según afirmó De Pablo Martínez, tiene que existir un modelo de control que esté implantado y funcionando. A esto es a lo que obliga el auditor, aunque no es el único rol del auditor en el centro de datos. “El auditor de sistemas tiene que hacer procesos de control y éste es uno de ellos pero no el único. Los 24 El director de investigación del Isaca, Erik de Pablo Martínez, durante su ponencia. modelos de control tienen que ser evaluados por el auditor, de ahí la importancia de la independencia”, aclaró. En esta línea, CobiT es una de las metodologías (bastante completa, además) en las que se apoya el auditor: le va guiando sobre cómo tiene que hacer el trabajo y también le va indicando los modelos de madurez. “Se trata de una metodología que es muy cómoda y que recomiendo, sobre todo, para tener un lenguaje común con los auditores”, declaró De Pablo Martínez. Continuidad de negocio Tal y como dijo el experto, el plan de continuidad es un ele- mento fundamental. Lo cierto es que se trata de una de las medidas migratorias más potentes que se pueden establecer en este ámbito. Nuevos retos actuales Para finalizar, De Pablo Martínez mencionó los retos actuales que surgen como consecuencia de los nuevos riesgos propicia- dos por la rápida evolución de las tecnologías y los cuales no pueden estar contemplados en su totalidad. En este sentido, y entre otros, se pueden mencionar: • Ataques telemáticos. Ciberseguridad en redes y comu- nicaciones en redes abiertas y mixtas. • Riesgos del uso del cloud computing. Es muy impor- tante porque nadie puede saber cuántos servicios de cloud computing puede haber en una empresa. • Riesgos en el uso de las redes sociales. • Nuevas obligaciones regulatorias. Por ejemplo, en pro- tección de datos de carácter personal. • Nuevos diseños de centros de datos (activo-activo). • Ciberseguridad en infraestructuras criticas y estrate- gias. Control de la infraestructura de soporte del centro de datos y redes de control industrial. • Nuevos dispositivos en la red (BYOD e IoT). Según De Pablo Martínez, el tema del IoT es muy importante y va a tener mucha influencia en los Centros de Protección de Datos (CPDs). Eso significa que sobre la red de datos no va a haber seguridad. Este es uno de los fallos del IoT, que carecen de seguridad y van a ser el centro de muchos ataques. Esa es la parte más débil del IoT. “Como conclusión” –aseguró- “las auditorías internas dan una visión independiente a la alta dirección de la evaluación de la situación de la empresa”.