La seguridad en el área de las Tecnologías de la Información ha dejado de ser un tema de moda, creo que llego para quedarse. Aunque hay empresas que ya adoptaron políticas y lineamientos para garantizar una administración sin riesgos de los activos del área de sistemas (servidores, redes, aplicaciones, bases de datos, repositorios de información, etc.) sin sacrificar su disponibilidad, existen bastantes mas, principalmente medianas y pequeñas empresas, que no tienen implementada ni una sola directiva de seguridad.

Cuente o no con una política eficiente de seguridad, si una empresa se somete a una auditoria técnica es con el propósito de evaluar que tan bien esta haciendo las cosas. Es entonces cuando se pone de manifiesto un punto muy importante en todo este rollo: quien resulta responsable si la compañía es victima de un ataque.

Una omisión en la auditoria puede tener consecuencias posteriores sumamente peligrosas. Oscar Viniegra, secretario del capítulo Guadalajara de ISACA nos ilustra por medio de la revista especializada b:Secure con algunos casos reales de vulnerabilidades o falta de controles no detectados en auditorias de seguridad. A continuación uno de los ejemplos que detalla la situación inicial, como se realizó el fraude y la responsabilidad del auditor.

Situación
  • Empresa de manufactura
  • Monto de fraude: $20,000 dólares
  • División: Finanzas
  • Tiempo: horas
  • Descubrimiento: 24 horas
  • Tipo de fraude: Robo de identidad

¿Cómo se realizó el fraude?
  • Pharming (local)
  • Un usuario de finanzas acceso a un sitio Web, donde se ejecutó un código que modificó el archivo LHOST y la dirección del sitio del banco
  • Cuando el usuario entró al sitio de banca electrónica, los defraudadores entraron con él y al terminar la sesión ellos se “quedaron en el banco”
  • Sólo pudieron acceder una vez al banco y únicamente a una cuenta para pagos menores, de lo contrario el monto del fraude podría haber sido mayor.

Lo que auditoría de IT debió haber hecho
  • Análisis de vulnerabilidades de equipos de tesorería
  • Revisión de cumplimiento de recomendaciones de la institución bancaria con respecto a la seguridad en banca electrónica
  • Revisión de antivirus/antispyware instalados en computadoras de la empresa o en gateway (al menos una de las dos opciones)

¿Cómo podría auditoría de IT haber ayudado?
  • La revisión de vulnerabilidades debió revelar que no se contaba con una antispyware
  • Las instituciones bancarias cuentan ya con una lista de puntos de control sugeridos para reducir la posibilidad de fraude en banca electrónica. Esto debió haberse atendido.