El New York Times informó la semana pasada sobre lo que llamó un verano de los devastadores ataques de “ransomware» en las ciudades de Texas. Los hackers están reteniendo simultáneamente sistemas informáticos de rehenes en 22 ciudades de todo el estado y exigiendo millones de dólares. La mayoría de los objetivos son pequeñas ciudades con recursos limitados y son las menos propensas a actualizar sus sistemas de ciberseguridad o a realizar copias de seguridad de sus datos, según el Times.
Este es otro recordatorio de la vulnerabilidad de los sistemas de TI. Los presupuestos ajustados de ciberseguridad en el sector público hacen que esos sistemas sean particularmente susceptibles a las infracciones. A la luz de estas últimas incidencias, aquí hay una publicación de blog que divulgué el año pasado sobre un ataque de “ransomware” en el sistema de TI de Atlanta. Entonces y ahora, ofrece varias lecciones y conocimientos valiosos para auditores internos.
En el verano de 2017, los auditores internos de la ciudad de Atlanta advirtieron a los funcionarios que sus sistemas de TI podrían verse fácilmente comprometidos si no se corrigieran de inmediato. El informe de auditoría no omitió mensajes, destacando la falta de recursos (herramientas y personas) disponibles para abordar las «miles de vulnerabilidades» y caracterizando la situación como un «nivel significativo de exposición al riesgo previsible», según informes de los medios de comunicación.
Aparentemente, la ciudad comenzó a implementar ciertas medidas de seguridad, pero fue un caso clásico muy raro y demasiado tarde. Un ataque de “ransomware”, esencialmente una extorsión digital, paralizó la red de computadoras de la ciudad y llevó a muchos departamentos a la «Edad Oscura» de la pluma y el papel. La violación incluso cerró el servicio de Wi-Fi en el Aeropuerto Internacional de Atlanta. Afortunadamente, los servicios críticos como los que brindan asistencia a los servicios de emergencia (y los vuelos en el aeropuerto más activo del país) no se vieron afectados.
Fue un ejemplo de libro de texto de un ataque de “ransomware”. Y después de años de tales violaciones en todo el mundo, la respuesta de la ciudad a las advertencias de los auditores internos también debería haber sido un manual de procedimientos. Claramente no lo era.
¿Qué pasó? ¿Por qué Atlanta, incluso con una amplia advertencia, no implementó los controles recomendados para fortalecer sus sistemas?
Si bien las razones son indudablemente numerosas y complejas, todo apunta a una anulación del modelo de gestión de riesgos de tres líneas de defensa. El modelo requiere que la administración, la primera línea de defensa, posea y administre los riesgos manteniendo y ejecutando controles internos efectivos, incluidas las acciones correctivas que la auditoría interna identifica para abordar las deficiencias del proceso y el control.
La segunda línea abarca las funciones de riesgo y cumplimiento. Estos varían según la industria y afectan la naturaleza de sus responsabilidades diligentes. Sin embargo, en general, admiten la primera línea al ayudar a construir o monitorear los controles de la primera línea.
La tercera línea, como sabemos, es la auditoría interna, que proporciona al organismo rector y a la alta gerencia una garantía integral sobre la efectividad de la gobernanza, la gestión de riesgos y los controles internos, incluidas las recomendaciones para abordar las vulnerabilidades. Es un modelo efectivo, pero sólo cuando las tres líneas juegan su papel, y la gerencia escucha la tercera línea.
En el caso de Atlanta, la administración falló en su responsabilidad de abordar rápidamente las recomendaciones hechas por la auditoría interna, haciendo que el modelo fuera ineficaz. Por supuesto, la auditoría interna a veces puede contribuir a la dificultad del papel de la administración al no comunicar el valor o la importancia de una recomendación, priorizar los informes de acuerdo con los riesgos más críticos o ganar la aceptación de la administración al principio del proceso.
Pero es por eso que en la profesión de auditoría interna debemos hacer lo necesario para que sea fácil, casi inevitable, que la gerencia comprenda la magnitud de tales riesgos, reconozca nuestras recomendaciones y las ponga en marcha.
La capacidad de una organización para actuar sobre lo que sabe, se vuelve aún más importante a medida que la frecuencia y el impacto de los ataques cibernéticos continúan aumentando. No mucho después del ataque de ransomware de Atlanta, supimos que una violación de datos de la aplicación MyFitnessPal de Under Armour comprometió potencialmente 150 millones de cuentas. Los correos electrónicos de phishing son ampliamente reconocidos como un vehículo común de transmisión de virus, sin embargo, algunas empresas no instruyen a los empleados sobre qué buscar y cómo responder a un mensaje sospechoso.
Muchas compañías saben que los piratas informáticos encuentran y explotan incesantemente vulnerabilidades de software, por lo que los desarrolladores del software emiten parches tan pronto como se descubre cada nuevo «crack». Aún así, los parches a menudo no se aplican. También se sabe que las contraseñas son una puerta abierta a las infracciones de datos (de acuerdo con el Informe de investigaciones de violación de datos de 2017 de Verizon, el 80 por ciento de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas, débiles o descifrables), aunque algunas organizaciones no establecen una política que requiera contraseñas seguras, que son cambiadas con frecuencia.
Es fácil suponer que la piratería es algo que le sucede a otra persona: «Somos demasiado pequeños para atraer la atención de los piratas informáticos». «No tenemos ninguna información que valga la pena robar». Pero ese es el pensamiento clásico de «enterrar la cabeza en la arena». Prácticamente cualquier organización que tenga datos está en riesgo, lo que significa que todas las organizaciones están en riesgo, menos una en una isla pequeña y aislada que ha encontrado una manera de mantenerse fuera de la red.
Hace casi dos años, después de un ataque cibernético aún mayor que golpeó las redes de computadoras en todo el mundo, escribí una publicación en el blog titulada «¿La cultura cibernética de su organización lo hace #Wannaaudit? Escribí entonces: «Es indiscutible para mí que tales ataques continúen teniendo éxito». En estos días, la posibilidad de un ataque cibernético debe estar continuamente en nuestro radar, y las recomendaciones de auditoría interna cuando se encuentran vulnerabilidades deben escucharse y recibir atención inmediata.
A medida que las organizaciones continúan sufriendo las consecuencias de los ataques cibernéticos, lo menos que podemos hacer es sacar algunas lecciones de su experiencia:
- Establezca un modelo de defensa en profundidad en su organización. Asegúrese de que todos conozcan sus responsabilidades y se adhieran a ellas.
- Asegure la experiencia o contrate buenas personas para los equipos de auditoría interna y seguridad de la información y responda con prontitud a sus inquietudes y sus acciones de mitigación recomendadas.
- Aplique medidas de seguridad fundamentales, como parches, endurecimiento de contraseñas, cifrado de datos y autenticación multifactor.
- Enseñe a los empleados cómo reconocer y responder a los intentos de piratería.
Las organizaciones enfrentan suficientes riesgos para los cuales no tienen mecanismos de advertencia o defensa. El cibercrimen no necesita ser uno de ellos.
Como siempre, espero sus comentarios.
Declaración:
Richard F. Chambers, Presidente y Director General del Instituto Global de Auditores Internos, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de Auditoría Interna.
