Auditoría Interna y los hackers

martes, 15 de marzo de 2016

Dentro de una misma empresa u organización hay “mundos” que no se cruzan, o si se cruzan, literalmente explotan…

Lamentablemente es muy normal que las áreas de seguridad, tecnología, desarrollo y/o auditoría se encuentren en conflictos permanentes entre sí, y sobre todo que se confundan los alcances de sus funciones, aunque todos conocemos la teoría de cómo deberíamos trabajar ( en equipo, empujando todos hacia el mismo objetivo, etc. etc.), pero las verdaderas preguntas son: “¿realmente debemos llevarnos mal? ¿Tan malo es que el área de auditoría interna participe en los informes de Ethical Hacking?”

Muchos deben pensar inmediatamente que no es función de Auditoria Interna, que no tiene los conocimientos necesarios, que el área de Seguridad posiblemente tenga dentro de sus objetivos la realización de los diferentes tipos de test de intrusión de forma periódica, etc. Sin embargo, mi planteo no apunta a que la ejecución de las tareas la realice auditoría interna sino a que los resultados puedan ser utilizados por ella para un proceso más global. Como técnico, a veces nos centramos en problemas meramente técnicos para identificar y señalar una falla, pero muchas veces esa falla responde a problema en un proceso (por no existir, por ser ineficiente, o por lo que sea), y en la mayoría de los casos ese proceso es demasiado grande y parece ser ajeno a nosotros. Claramente, no podemos desconocer que los controles técnicos no son ni serán en un corto plazo, lo suficientemente buenos como para no depender de las personas en algún punto, aunque a veces diminuto.

Desde una óptica mucho más amplia, un área de auditoria interna puede aprovechar un test de intrusión para:
  • Evaluar controles técnicos y estrategias de IT, compras, etcétera. A priori, este es el más obvio de todos porque todo aquel que contrata quiere evaluar controles técnicos. Pero los resultados de los informes, reflejan eso? Por lo general: NO. Solo reflejan agujeros de seguridad. Si el área de auditoria toma un informe de estos difícilmente entienda algo, pero si las áreas interesadas se reúnen, el resultado podría aportar información a la empresa sobre gestión, como por ejemplo: ¿Qué equipos o servicios se han comprado durante el año en el área ( IT/Seguridad/Infraestructura/Comunicaciones/Operaciones/etcétera)? En caso de poder hacer una comparación, esas compras o contrataciones ¿han permitido reducir brechas respecto a años anteriores? En caso de no poder hacer esa comparación, esas compras o contrataciones ¿han permitido mitigar de alguna manera la aparición de nuevas debilidades? En un informe técnico el nivel de detalle es importante para ir corrigiendo las pequeñas cosas que pueden causar grandes problemas. En un informe ejecutivo de auditoría, los detalles no importan, lo que importa es lo que se quiere medir más allá de un control determinado, como por ejemplo si la empresa invirtió bien o no.
  • Evaluar procesos y procedimientos. Un informe técnico de un test de intrusión entrega resultados del tipo: “Hemos detectado la vulnerabilidad conocida como MS08-067 por la cual hemos podido tomar control remoto del equipo tras su ejecución…”. El informe ejecutivo realizado por un técnico diría algo como: “se ha detectado la falta de parches de seguridad y/o actualización de algunos de los sistemas…” Pero si nos alejamos un poco y miramos el proceso macro, podríamos diferenciar e identificar si éste es un problema de un solo parche en un equipo, o si la ausencia de actualizaciones en varios de ellos y con un tiempo excesivo desde que fue desarrollado nos está indicando que no existe, o es ineficiente, un procedimiento adecuado para el monitoreo e implementación de parches dentro de la compañía (o en un sector de ella).
  • Evaluar campañas de concientización, métricas. Siempre se discute si las campañas de concientización son efectivas o no, si son un gasto necesario o si son un gasto absurdo, si los usuarios pueden cambiar sus hábitos o si es una mentira de las consultoras.  Lo importante no es solo armar campañas dando charlas, videos y demás, sino medir su efectividad. En un test de ingeniería social esto se puede lograr, pero de nuevo, el área ejecutora difícilmente sea auditoría, sin embargo sería positivo que pueda evaluar como se diseño, quienes participaron en el diseño, si se tuvieron en cuenta las edades del publico objetivo como también sus usos y costumbres, la estructura organizacional, la forma en que se midió, etcétera.
 
Casi todo técnico (o todo) odia escribir reportes y por eso los automatizamos tanto como sea posible, y los informes ejecutivos no son nuestra especialidad, aunque claramente éstos son importantes para que la Alta Dirección los entienda. Si pudiéramos trabajar en equipo, auditoría podría tomar nuestros resultados, hacer unas cuentas preguntas más básicas, sin detalles técnicos y volcar información más que valiosa que permita a la cúpula evaluar y gestionar de una manera más eficiente. Durante años se dijo que las personas de seguridad debemos hablar el mismo idioma que el negocio, para mi, eso es utópico, desde mi óptica los resultados son mejores cuando las áreas pueden interactuar entre sí para hablar un idioma común y entregar información que sea de utilidad para la toma de decisiones.

Aunque a los técnicos no le gusten los auditores porque no nos entienden y a los auditores no les gustan los técnicos porque hablan raro, podemos complementarnos, ya lo decía A. Einstein: "Todos somos ignorantes, pero no todos ignoramos las mismas cosas".
 
 
Claudio B. Caracciolo
CSA – Chief Security Ambassador at ElevenPaths
@holesec

No hay comentarios:

Publicar un comentario en la entrada