ISACA Journal
Volume 3, 2,018 

Translated Articles 

Fuente de ayuda Q&A 

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP 

Q  Mi organización ha iniciado un proyecto para usar tecnología blockchain.Hemos escuchado que esta tecnología se está convirtiendo en la columna vertebral de la moneda digital, pero también hemos escuchado que hay muchos problemas relacionados con la moneda digital. ¿Cómo podemos evaluar el riesgo asociado con la tecnología blockchain?

A  Cualquier nueva solución basada en la tecnología tiene un riesgo asociado. Las organizaciones que adoptan dichas tecnologías siempre buscan lograr un equilibrio entre los beneficios que se deben realizar frente a ese riesgo. La tecnología Blockchain no es una excepción. Las organizaciones están considerando muchos casos de uso diferentes de esta tecnología, principalmente organizaciones que son instituciones financieras orientadas a transacciones. Muchas otras organizaciones están utilizando soluciones de tecnología de blockchain para emprendimientos como la gestión de identidades, el perímetro definido por software (SDP) y la criptoautenticación.1

La mayoría de las instituciones financieras han iniciado proyectos para desarrollar soluciones en torno a la tecnología blockchain ya que facilitan el mantenimiento de ledgers distribuidos,2 que involucran una base de datos distribuida mantenida a través de una red en la que los participantes pueden compartir y conservar registros idénticos (ledger) que se protegen mediante criptografía. Dado que estos registros se mantienen de forma descentralizada, se lo denomina libro mayor distribuido.3

La gestión del riesgo consiste en la identificación, el análisis, la evaluación y la evaluación del riesgo asociado a la tecnología. Es necesario comprender no solo la tecnología, sino también las incertidumbres que pueden afectar los objetivos de la organización debido al uso de la tecnología.4 Por lo tanto, es necesario considerar los objetivos de la organización en el uso de nuevas tecnologías. Es importante entender los diferentes casos de uso que las organizaciones están considerando en torno a la tecnología blockchain.

Blockchains se dividen en dos tipos:5

  1. Abierto, o sin permiso, como se usa en Bitcoin y otras criptomonedas abiertas, que permiten a cualquier parte participar en la red sin ninguna verificación (de credibilidad o de otro tipo)
  2. Cerrado, o autorizado, que están formados por consorcios o un administrador que evalúa entidades que desean participar en su infraestructura/estructura de blockchain6

La tecnología Blockchain está siendo considerada por muchas organizaciones, como las relacionadas con la banca y las finanzas, la cadena de suministro y la logística, para aplicaciones que involucran a múltiples usuarios y múltiples transacciones en un entorno distribuido. Muchos bancos han iniciado proyectos para desarrollar soluciones utilizando tecnologías blockchain. Otras aplicaciones que se están considerando incluyen SDP y gestión de activos, gestión de identidades y gestión de la cadena de suministro. Las organizaciones financieras, particularmente los bancos y los mercados de seguridad, están colaborando con los desarrolladores para crear tecnologías financieras (FinTech).

La gestión del riesgo para las soluciones desarrolladas utilizando blockchain o tecnología ledger distribuida (DLT),7 por lo tanto, debe considerarse para diferentes objetivos relacionados con la gobernanza, procesos, operaciones y recursos, incluidos los recursos humanos. En el caso de Bitcoin y otras monedas digitales, los acontecimientos recientes han indicado que la ausencia de un órgano rector central ha creado preocupaciones ya que ninguna parte es responsable o responsable del funcionamiento adecuado del sistema que pueda representar un riesgo para las organizaciones usuarias.

Muchos participantes del mercado están trabajando para desarrollar soluciones utilizando redes blockchain privadas, en las que la implementación de una estructura de gobierno se puede gestionar ya que los participantes son de confianza.

El riesgo asociado con las tecnologías de blockchain es similar al riesgo asociado con otras tecnologías y procesos comerciales actuales, con algunas pequeñas diferencias para las cuales las organizaciones necesitan considerar el riesgo frente a los beneficios apropiados. La gestión de riesgos para cualquier aplicación basada en la tecnología requiere la comprensión de tres aspectos:

  1. Objetivos organizativos relacionados con la realización de beneficios para implementar la aplicación
  2. Factores que introducirán incertidumbres (por ejemplo, amenazas y vulnerabilidades) en el logro de los objetivos
  3. Costo asociado con la implementación de controles para mitigar el riesgo

En función de estos aspectos, se puede abordar la solución de gestión de riesgos para aplicaciones basadas en blockchain. Las siguientes áreas pueden ser consideradas para la gestión de riesgos:

  • Estratégica—La tecnología debe considerarse una prioridad:
    • Liderazgo: ¿Debería la organización desear tomar la iniciativa e invertir en nuevas tecnologías o debería esperar hasta que esas tecnologías maduren? La decisión depende de la cultura de riesgo y apetito de riesgo de la organización.
    • Transparencia—¿Debería ser el sistema una red abierta, como las monedas digitales, o cerrado dentro de socios comerciales estratégicos?
  • Continuidad—Teniendo en cuenta la naturaleza de la tecnología y las complejidades relacionadas, la organización necesita considerar el riesgo asociado con la continuidad.
  • Transformación—Existe un riesgo asociado con la implementación. Los procesos comerciales actuales deberán experimentar cambios y las organizaciones deben considerar cómo los cambios afectarán los datos históricos.
  • Reputación—El fracaso de las nuevas tecnologías puede resultar en la materialización del riesgo asociado con la pérdida de reputación.
  • Seguridad de la información:
    • Tecnología—Se dice que la tecnología Blockchain es segura ya que usa cifrado. Sin embargo, el riesgo asociado con la tecnología de cifrado y la gestión de claves debe abordarse.
    • Sistemas y procesos—se debe considerar el riesgo debido a fallas en el control del proceso. Los incidentes relacionados con Bitcoin se deben a la falla de los controles en estas áreas.
    • La gente—los humanos son el eslabón más débil de la seguridad. La colusión y la ingeniería social en particular pueden dar como resultado incidentes de seguridad.
  • Regulación no cumplimiento—Debido a que blockchain es una nueva tecnología, los reguladores son cautelosos acerca de su uso. Dependiendo de la naturaleza de los casos de uso, se debe considerar el cumplimiento normativo al desarrollar y utilizar la tecnología. También se debe tener en cuenta la transmisión de datos transfronterizos y las reglamentaciones relacionadas con el blanqueo de dinero.
  • Operacional—Las políticas y procedimientos actuales deben revisarse para cumplir con los requisitos de la nueva tecnología.
  • Contractual y proveedor—Teniendo en cuenta la colaboración entre múltiples partes y proveedores, deben existir acuerdos de nivel de servicio (SLA) apropiados entre los administradores y las organizaciones participantes.
  • Confidencialidad de los datos—Dado que todas las organizaciones participantes tienen acceso a los registros y datos, se debe considerar el riesgo asociado con la confidencialidad de los datos. Esto también está relacionado con el cumplimiento normativo.
  • Privacidad de datos—Al igual que con la confidencialidad de los datos, la privacidad de los datos es un aspecto importante que debe evaluarse antes de implementar la tecnología blockchain.

La tecnología de blockchain todavía es nueva, pero es probable que transforme los métodos comerciales actuales que pueden exponer a las organizaciones a nuevos riesgos, desafíos y ventajas/desventajas competitivas. Las organizaciones deben establecer una estrategia de gestión de riesgos apropiada, una gobernanza efectiva y el uso de un marco de control.

Nota del autor

Las opiniones expresadas aquí son genéricas y se basan en la información disponible y no deben considerarse como una guía completa sobre este tema.

Notas finales

1 Block Armour, “Next Gen Cybersecurity,” www.blockarmour.com/
2 Financial institutions often refer to blockchain technology as distributed ledger technology (DLT); however, DLT is a use case of blockchain technology. World Bank Group, “Distributed Ledger Technology and Blockchain,” 2017, http://documents.worldbank.org/curated/en/177911513714062215/pdf/122140-WP-PUBLIC-Distributed-Ledger-Technology-and-Blockchain-Fintech-Notes.pdf
3 Financial Industry Regulatory Authority, “Distributed Ledger Technology: Implications of Blockchain for the Securities Industry,” January 2017, https://www.finra.org/sites/default/files/FINRA_Blockchain_Report.pdf
4 International Organization for Standardization, “Risk Management, ISO 31000,” 2018, https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100426.pdf
5 Deloitte, “Risks Posed by Blockchain-Based Business Models,” https://www2.deloitte.com/us/en/pages/risk/articles/blockchain-security-risks.html
6 Ibid.
7 Op cit Financial Industry Regulatory Authority

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en varios puestos en diferentes industrias. Actualmente, es consultor independiente y profesor visitante en el Instituto Nacional de Administración de Bancos, India.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.