ISACA Journal
Volume 5, 2,018 

Translated Articles 

Auditoria basica TI: Auditando el internet de las cosas 

Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt, and R. V. Raghu, CISA, CRISC 

Recientemente tuve el honor de ser entrevistado por ISACA acerca de mi función como auditor de TI cuando comenzaron a planificar la actualización de las áreas de práctica de trabajo de la certificación Certified Information Systems Auditor (CISA) en el 2019. Al final de la entrevista, estuve algo sorprendido cuando me preguntaron qué tipo de personas se sienten atraídas por la auditoría de TI. Cuando dudé, yo pregunté si eran “introvertidos y tecnológicos”. Ahora, no puedo hablar por todos los auditores de TI, pero supongo que yo soy así.

Ciertamente, disfruto de la tecnología en todas sus figuras y formas, incluida la ciencia ficción. Soy especialmente fanático de “Star Trek”, mi favorita es “Star Trek: The Next Generation”. Sin embargo, como auditor de TI, ¿alguna vez te encuentras viendo un episodio y te preguntas: “¿Quién lo audita?” En serio, por ejemplo, cuando el Capitán Picard1 le pide al replicador2 una bebida caliente “Earl Grey”, caliente, ¿Qué significa “caliente”? ¿Qué tan caliente es “caliente”? ¿Alguien valida que es realmente “Earl Grey”?

Por supuesto, la verdadera razón por la que disfruto de “Star Trek” es que es un adivino de la tecnología. Ciertamente, el comunicador de insignia, el “tricorder”,3 las sondas, los sensores y el replicador predijeron el Internet de las cosas (IoT).4 Lo que me devuelve a mi pregunta original: ¿Cómo auditamos estos elementos?

Debo admitir que nunca audité ninguna de las tecnologías IoT. Soy un auditor experimentado, así que, si tuviera que auditarlos, realizaría cualquier investigación necesaria y haría un trabajo razonable. Sin embargo, la Norma de Auditoría y Aseguramiento de ISACA 1006, Competencia,5 requiere que yo tenga las habilidades y la competencia adecuadas, y un conocimiento adecuado de la materia.

¿Entonces, qué podemos hacer? Otro de los Estándares de Aseguramiento y Auditoría de ISACA 1206, que utiliza el trabajo de otros expertos, requiere que los profesionales de auditoría y aseguramiento de SI consideren usar el trabajo de otros expertos para el compromiso, según corresponda.6 En EuroCacs 2018, en Edimburgo, Escocia, asistí a una sesión “Auditando el IoT” por R. V. Raghu. Raghu tiene experiencia con estas tecnologías, así que me acerqué a él. Nuestros pensamientos combinados están enmarcados bajo los encabezados del ahora familiar documento de ISACA sobre la creación de programas de auditoría.7

Determinar el objetivo (tema) de auditoría

Lo primero que hay que establecer es tema de auditoría. Esto es más fácil decirlo que hacerlo ya que IoT no tiene una definición universalmente aceptada.8 ISACA ha definido IoT como cualquier persona o cosa que lleve software integrado que permita la interacción con otros objetos animados o inanimados a través de redes, incluida Internet. La interacción implica compartir y procesar información para influir en la toma de decisiones y/o acciones con o sin intervención humana.9 Ejemplos de aplicaciones comerciales o de negocios de (IoT), incluyen:10

  • Electrodomésticos industriales
  • Dispositivos para la profesión médica
  • Dispositivos para la agricultura
  • Dispositivos y características para la industria del automóvil

La clave es considerar todos los dispositivos de IoT en uso en su empresa y determinar los objetivos de auditoría. Debe responder a la pregunta clave: ¿qué está auditando?

Definir el objetivo de la auditoría

Una vez que hayamos decidido lo que estamos auditando, necesitamos establecer el objetivo de la auditoría. ¿Por qué lo estamos auditando? Desde la perspectiva de un auditor, es aconsejable adoptar una visión basada en el riesgo ver (figura 1) y definir los objetivos en consecuencia.

El riesgo técnico puede definirse adicionalmente como:11

  • Actualizaciones de software y parches. El tiempo para que se lance un parche puede ser más largo que el ciclo típico para dispositivos que no son IoT.
  • Vida útil del hardware. Los dispositivos IoT tienen su propio ciclo de vida, a menudo con obsolescencia incorporada. Los componentes como las baterías no reemplazables en los dispositivos de IoT requieren procesos de planificación del ciclo de vida y de administración de activos específicos de IoT.
  • Las ID de usuario y las contraseñas para controlar el acceso no existen o están duramente codificadas.
  • Los dispositivos IoT pueden ser pirateados rápidamente, pero tardan días o semanas en rectificarse. Las consecuencias más amplias siguen siendo desconocidas porque es difícil saber lo que se ha visto, modificado o robado.
  • Los ciberdelincuentes pueden plantar puertas traseras para futuros ataques automatizados en o desde dispositivos IoT; los ataques típicos incluyen ataques de cuello de botella del tipo de denegación de servicio distribuido (DDoS).
  • Los piratas informáticos pueden usar dispositivos IoT como punto de entrada a las redes de una empresa.
  • Los sistemas inteligentes de calefacción, ventilación y aire acondicionado (HVAC) y los medidores de energía pueden destruir la infraestructura crítica al bloquear y manipular los controles.

Establecer el alcance de la auditoría

Cuando los objetivos de la auditoría se hayan definido, el proceso de determinación del alcance debe identificar los dispositivos IoT actuales que deben ser auditados. En otras palabras, ¿cuáles son los límites de la auditoría? Es más fácil decirlo que hacerlo, ya que los dispositivos no son solo los sensores que incluyen el soporte de la infraestructura tales como los métodos de conectividad y recopilación de datos, la nube u otros medios de almacenamiento y los algoritmos utilizados para procesar los datos.

Realizar la planificación previa a la auditoría

Ahora que se han identificado los escenarios de riesgo, se deben evaluar para determinar su importancia. La realización de una evaluación de riesgos es fundamental para establecer el alcance final de una auditoría basada en riesgos.12 Las consideraciones de aseguramiento para el IoT incluyen:13

  • ¿Cómo se utilizará el dispositivo desde una perspectiva de negocios? ¿Qué procesos de negocios son compatibles y qué valor de negocio se espera que se genere?
  • ¿Cuál es el entorno de amenaza para el dispositivo? ¿Qué amenazas se anticipan y cómo se mitigarán?
  • ¿Quién tendrá acceso al dispositivo y cómo se establecerán y comprobarán sus identidades?
  • ¿Cuál es el proceso para actualizar el dispositivo en caso de un ataque o vulnerabilidad publicado?
  • ¿Quién es responsable de monitorear los nuevos ataques o vulnerabilidades relacionadas con el dispositivo? ¿Cómo realizarán ese seguimiento?
  • ¿Se han evaluado todos los escenarios de riesgo y se han comparado con el valor de negocio previsto?
  • ¿Qué información personal recopila, almacena o procesa los dispositivos y sistemas de IoT?
  • ¿Las personas sobre las que se aplica la información personal saben que se está recopilando y utilizando su información? ¿Han dado su consentimiento a tales usos y recopilación?
  • ¿Con quién se compartirán/divulgarán los datos?

Finalmente, el auditado debe ser entrevistado para preguntar sobre actividades o áreas de preocupación que deben incluirse en el alcance del compromiso de auditoría.

Determine los procedimientos de auditoría y los pasos para la recopilación de datos

En esta etapa del proceso de auditoría, el equipo de auditoría debe tener suficiente información para identificar y seleccionar el enfoque o la estrategia de la auditoría y comenzar a desarrollar el programa de auditoría.14 Sin embargo, los pasos de prueba deben ser definidos.

Es importante reiterar que IoT no tiene una definición aceptada universalmente; por lo tanto, no existen estándares universalmente aceptados de calidad, seguridad o durabilidad.15 Del mismo modo, no hay programas de auditoría/aseguramiento universalmente aceptados.

Por lo tanto, se propone revisar los distintos aspectos de IoT considerando (figura 2):

  • Controles de línea base generales—Controles mínimos que deben aplicarse a todos los aspectos de la tecnología.
  • Controles relacionados con los datos—Como los controles que se aplican a los datos que forman una parte clave de IoT.
  • Controles relacionados con el análisis y el aprendizaje—Se aplican para garantizar que el análisis sea ético y permita un uso confiable de los datos y que los resultados del análisis puedan aplicarse a la toma de decisiones de negocios.
  • Alineación de procesos y negocios—Aspectos relacionados que aseguran que la implementación de IoT esté alineada con las necesidades de negocios y que los beneficios de negocios se entreguen según sea necesario.

Las fuentes aplicables de aseguramiento para cada uno de los mencionados anteriormente se definen en la figura 3. Algunas de ellas se relacionan directamente con la IoT, mientras que otras son más genéricas y deben aplicarse a los componentes relevantes de IoT.

Conclusión

IoT no es ciencia ficción y está aquí para quedarse y puede aportar un gran valor de negocio. Desafortunadamente, como suele ser el caso con la tecnología, se ha desarrollado antes de muchos de los controles deseados, incluyendo las fuentes de aseguramiento. Por lo tanto, es aconsejable adoptar un modelo de auditoría genérico y seleccionar los controles aplicables de la documentación disponible. En nuestras empresas, depende de cada uno de nosotros “hacerlo así”35

Notas finales

1 Star Trek Database, Picard, Jean-Luc, www.startrek.com/database_article/picard-jean-luc
2 Star Trek Database, Replicator, www.startrek.com/database_article/replicator
3 Raidió Teilifís Éireann, “Star Trek-Type Medical Tricorder a Step Closer,” 7 June 2018, https://www.rte.ie/news/2018/0607/968778-tricorder/
4 ISACA, Assessing IoT, USA, 2017, www.isaca.org/Knowledge-Center/Research/Documents/Assessing-IOT_res_eng_1217.PDF
5 ITAF, Information Systems Audit and Assurance Framework, USA, 2014, p. 18
6 Ibid., p. 33
7 ISACA, Information Systems Auditing: Tools and Techniques, Creating Audit Programs, USA, 2016, www.isaca.org/Knowledge-Center/Research/Documents/IS-auditing-creating-audit-programs_whp_eng_0316.PDF
8 ISACA, Assessing IoT Upsides, Downsides and Why We Should Care About Them, USA, 2017, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Assessing-IoT.aspx
9 Ibid.
10 Ibid.
11 Ibid.
12 ISACA, Audit Plan Activities: Step-By-Step, USA, 2016, www.isaca.org/Knowledge-Center/Research/Documents/Audit-Plan-Activities_res_eng_0316.pdf
13 ISACA, Internet of Things: Risk and Value Considerations, USA, 2015, www.isaca.org/knowledge-center/research/researchdeliverables/pages/internet-of-things-risk-and-value-considerations.aspx
14 Op cit, Audit Plan Activities: Step-By-Step
15 Op cit, Assessing IoT Upsides, Downsides and Why We Should Care About Them
16 The Open Web Application Security Project (OWASP), IoT Security Guidance, https://www.owasp.org/index.php/IoT_Security_Guidance
17 GSM Association, IoT Security Assessment, https://www.gsma.com/iot/iot-security-assessment/
18 Cloud Security Alliance, Future Proofing the Connected World, https://cloudsecurityalliance.org/download/future-proofing-the-connected-world/
19 Information Assurance Support Environment, STIGs Master List (A-Z), https://iase.disa.mil/stigs/Pages/a-z.aspx
20 Center for Internet Security, CIS Benchmarks, https://www.cisecurity.org/cis-benchmarks/
21 Op cit OWASP
22 Op cit Cloud Security Alliance
23 ISACA, COBIT 5: Enabling Information, USA, 2013, www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-product-page.aspx
24 ISACA, HIPAA Audit/Assurance Program, USA, 2017, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/HIPAA-Audit-Assurance-Program.aspx
25 ISACA, ISACA Privacy Principles, Governance and Management Program Guide, USA, 2016, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ISACA-Privacy-Principles-and-Program-Management-Guide.aspx
26 Cooke, I.; “Auditing Data Privacy,” ISACA Journal, vol. 3, 2018, www.isaca.org/archives
27 ISACA, General Data Protection Regulation (GDPR) Readiness, Assessment and Compliance, https://www.isaca.org/info/gdpr/index.html
28 Op cit OWASP
29 Op cit Cloud Security Alliance
30 Op cit ISACA Privacy Principles, Governance and Management Program Guide
31 Op cit Cooke
32 Op cit ISACA General Data Protection Regulation (GDPR) Readiness, Assessment and Compliance
33 GitHub, Bias Testing for Generalized Machine Learning Applications, https://github.com/pymetrics/audit-ai
34 ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/Pages/default.aspx
35 “Make it so” is the phrase Star Trek’s Captain Picard uses when he wants an order implemented.

Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Es el gerente de auditoría de TI del grupo An Post (la oficina de correos de Irlanda con sede en Dublín, Irlanda) y tiene 30 años de experiencia en todos los aspectos de los sistemas de información. Cooke ha servido en varios comités de ISACA y es ha sido un miembro anterior del Grupo de trabajo de desarrollo de elementos para el examen CGEIT de ISACA. Es el líder de la comunidad para las discusiones sobre bases de datos de Oracle, bases de datos de SQL Server y herramientas y técnicas de auditoría en el Centro de conocimiento de ISACA®. Cooke apoyó la actualización del Manual de Preparación para el Examen CISA para las prácticas de trabajo de 2016 y fue un experto en la materia para el desarrollo de los cursos de revisión en línea de CISA y CRISC de ISACA. Recibió el Premio al Cuerpo Común de Conocimiento (Common Body of Knowledge) John W. Lainhart IV 2017 por sus contribuciones al desarrollo y la mejora de las publicaciones de ISACA y los módulos de capacitación en certificación. El da la bienvenida a los comentarios o sugerencias de artículos por correo electrónico (Ian_J_Cooke@hotmail.com), Twitter (@COOKEI) o sobre el tema de herramientas y técnicas de auditoría en el Centro de conocimiento de ISACA. Las opiniones expresadas son las suyas y no representan necesariamente las opiniones de An Post.

R. V. Raghu, CISA, CRISC
Es director de Versatilist Consulting India Pvt. Ltd. Raghu cofundó Versatilist, que brinda servicios de consultoría, capacitación y auditoría en seguridad de la información, gestión de servicios de TI, continuidad de negocios y gestión de riesgos empresariales. Raghu tiene más de 15 años de experiencia extensa, práctica y global en varios verticales, como ingeniería; fabricación; TI; Servicios habilitados para TI (ITeS); banca, servicios financieros y seguros; productos químicos, minería; y telecomunicaciones. Ha brindado capacitación, consultoría y soporte de implementación para establecer sistemas de gestión que cumplan con los estándares de la Organización Internacional de Normalización y otros marcos, como CMMI y COBIT®. Raghu es un miembro de cuatro períodos de la Junta Directiva de ISACA. Es miembro de ISACA a nivel de Platino y es ex presidente del Capítulo de Bangalore de ISACA, donde anteriormente se desempeñó como director de membresía, secretario y vicepresidente.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.