planes de auditoria y buenas practicas para entornos cloud computing y bring your own device

MÁSTER UNIVERSITARIO EN SEGURIDAD DE LAS

TECNOLOGÍAS DE LA INFORMACIÓN Y LAS

COMUNICACIONES

TRABAJO FIN DE MÁSTER

PLANES DE AUDITORÍA Y BUENAS PRÁCTICAS

PARA ENTORNOS CLOUD COMPUTING Y

BRING YOUR OWN DEVICE

FERNANDO GALINDO MERINO

GUILLERMO MARTÍN VIDAL

BEATRIZ PUERTA HOYAS

UMBERTO FRANCESCO SCHIAVO

CURSO 2012-2013

Agradecimientos

Nos gustaría en estas líneas expresar un agradecimiento a todas aquellas personas que

nos han ayudado en la realización de este proyecto y que han colaborado de manera

activa con nuevas ideas y/o aportando documentación e información de interés para el

mismo. Sin su ayuda, la realización del proyecto hubiera sido mucho más difícil.

Queremos expresar un especial reconocimiento a Pilar Santamaría, directora de este

proyecto, por el interés que ha mostrado en todo momento, dándonos sugerencias y

ánimos para terminar el trabajo.

Y, por supuesto, mencionar a nuestros compañeros de Máster que, gracias a sus ánimos,

todo ha resultado más sencillo.

¡Gracias a todos por vuestro apoyo!

Resumen

El concepto de Cloud Computing se remonta a los años cincuenta cuando se utilizaban

servidores “mainframe” de los que dependían terminales muy simples sin apenas

capacidad de cómputo. Sin embargo, es actualmente cuando muestra un mayor auge

empresarial. Un proceso similar sucede con Bring Your Own Device, los empleados han

estado utilizando algunos recursos propios desde varios años atrás, pero ahora es común

encontrarlo en gran número de empresas y negocios. Observando en el pasado y en el

presente, se puede extraer que la tecnología evoluciona y las personas con ella.

Es conveniente emplear una manera inteligente de pensar, en vez de rehuir de una

tecnología de vanguardia, que se está instaurando cada vez con más fuerza en la

sociedad actual. Para ello, se deben afrontar las posibles dificultades que puedan surgir

al implantar una tecnología de esta envergadura en una empresa, especialmente en lo

referido al ámbito de seguridad.

En este trabajo se estudian las dos tecnologías propuestas haciendo uso de los

principales estándares y marcos de referencia de los Sistemas de la Información. Se

identifican los principales riesgos de ambos entornos y se desarrolla un plan de auditoría

para cada uno de ellos con el fin de facilitar un posible proceso de auditoría sobre dichas

tecnologías.

Para valorar la eficacia de los controles desarrollados en los planes de auditoría

propuestos, se procede a su comparación con otros estándares (COBIT 4.1, ITIL v3,

ISO/IEC 27002:2005, NIST SP 800-53 Revisión 3 y los 20 Controles Críticos de Seguridad

propuestos por SANS Institute para el año 2013) y, de esta forma, localizar los puntos

fuertes y débiles de los planes de auditoría propuestos. Además, con este método, se

establece una clara relación entre los diferentes controles y dominios, obteniéndose una

interesante comparativa con gran utilidad para todas aquellas empresas o instituciones

que deseen auditar sus entornos Cloud Computing y Bring Your Own Device, puesto que

podrán adaptar fácilmente los planes de auditoría a sus tecnologías e infraestructuras,

pudiendo seleccionar aquellas áreas y controles que mejor se adapten a sus entornos

corporativos.

Abstract

Cloud Computing concept dates back to the fifties when mainframe servers were used

with simple terminals with barely computing capacity. However, nowadays it has a

higher business boom. A similar process happens with Bring Your Own Device, employees

have been using their own devices for several years, but it is now commonly found in

many companies and businesses. Noting in the past and in the present, you can see how

technology evolves and people with it.

It is convenient to use a smart way of thinking, rather than giving up from a cutting-edge

technology which is being established with an increasing force in today's society. To

achieve this goal, we must deal with possible difficulties that may arise when

implementing this technology with such an impact in the company, especially regarding

to the security field.

In this paper, the two proposed technologies are studied using key standards and

frameworks of Information Technology Systems. The main risks of both environments are

identified and two audit frameworks (one for each) are developed in order to facilitate a

possible audit processes regarding such technologies.

To assess the effectiveness of the developed controls in the proposed frameworks,

controls are mapped with the main Information Technology Systems standards and

frameworks such as COBIT 4.1, ITIL v3, ISO / IEC 27002:2005, NIST SP 800-53 Revision 3

and the 20 Critical Controls proposed by SANS Security Institute in 2013. This process

allows us to locate the strengths and weaknesses of the proposed frameworks.

Moreover, with this methodology, there is a clear relationship between the identified

controls and domains, obtaining an interesting comparative focused on being useful for

those companies or institutions wishing to audit their Cloud Computing and Bring Your

Own Device environments. They will be easily able to customize their frameworks

according to their infrastructure technologies, selecting those areas, domains and

controls which are more suitable with their corporate environments.

Autobiografía de los Autores

Guillermo Martin Vidal, Auditor Interno de TI en MAPFRE, estudió

Ingeniería Superior Informática en la Universidad Politécnica de Madrid

(UPM). Continuó su formación de post-grado con el Máster Universitario

en Seguridad de las Tecnologías de la Información y Comunicaciones de la

Universidad Europea de Madrid (UEM). Durante sus últimos años de

formación, trabajó como Programador Java en Alcatel-Lucent (Amberes,

Bélgica) y como Becario de Seguridad en Oesía Networks (Madrid).

Beatriz Puerta Hoyas, Técnica de Investigación en la Universidad Carlos III

de Madrid, estudió en la misma la titulación de Grado en Ingeniería

Informática. Continuó su formación de post-grado con el Máster

Universitario en Seguridad de las Tecnologías de la Información y

Comunicaciones de la Universidad Europea de Madrid (UEM). Durante sus

últimos años de formación, trabajó como Formadora en el Instituto de

Formación y Estudios del Gobierno Local de Madrid.

Fernando Galindo Merino, Consultor Arquitectura SAP en Accenture,

estudió Ingeniería Informática en la Universidad de Valladolid. Realizó el

Máster de Profesor de Educación Secundaria Obligatoria en la Universidad

de Valladolid. Continuó su formación con el Máster Universitario en

Seguridad de las Tecnologías de la Información y Comunicaciones de la

Universidad Europea de Madrid (UEM). Trabajó como profesor de

Formación Profesional en el Centro Don Bosco – Villamuriel de Cerrato

(Palencia).

Umberto Francesco Schiavo, Becario en Telefónica digital, estudió

Licenciatura en Informática en la Universidad de Oriente de Venezuela.

Continuó su formación de post-grado con el Máster Universitario en

Seguridad de las Tecnologías de la Información y Comunicaciones de la

Universidad Europea de Madrid (UEM).

I

Índice de contenidos

CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS 1

1. INTRODUCCIÓN 1

1.1 CONTEXTO Y MOTIVACIÓN 1

1.2 OBJETIVOS PRINCIPALES DEL PROYECTO 2 1.3 FASES DEL PROYECTO 3

CAPÍTULO II: ESTADO DEL ARTE 5

2. INTRODUCCIÓN 5 2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO 5

2.1.1 PRIMERA L ÍNEA DE DEFENSA: GESTIÓN OPERATIVA 6

2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE CUMPLIMIENTO Y

SUPERVISIÓN 6

2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA 7

2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA 9

2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES 9 2.1.4.1 PRÁCTICAS RECOMENDADAS 10

2.2 MARCOS DE REFERENCIA ACTUAL ES, ¿CUAL ELEGIR? 11

2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD 13 2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 17

2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING 17

2.4.1.1 MODELOS DE DESPLIEGUE 18

2.4.1.2 MODELOS DE SERVICIO 18 2.4.2 DOCUMENTACIÓN DE REFERENCIA 20

2.4.2.1 ENISA 20

2.4.2.2 Cloud Computing Alliance (CSA) 21 2.4.2.3 NIST 21

2.4.3 CERTIFICACIONES 21

2.4.3.1 Certificate of Cloud Security Knowledge 22

2.4.4 RIESGOS DEL CLOUD COMPUTING 22 2.4.4.1 CLASIFICACIÓN DEL RIESGO 26

2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE) 28

2.5.1 INTRODUCCIÓN AL BYOD 28 2.5.2 PRINCIPALES RETOS DEL BYOD 30

2.5.2.1 GESTIÓN DE RIESGOS 30

2.5.2.2 TELETRABAJO 30

2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN 30 2.5.2.4 GESTIÓN DE APLICACIONES 31

2.5.2.5 GESTIÓN DE AUTORIZACIONES 31

2.5.2.6 DISPOSITIVOS PERMITIDOS 31 2.5.2.7 DISPONIBILIDAD DE SERVICIOS 32

II

2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE 32

2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO 32 2.5.2.10 SEGURIDAD Y CONFORMIDAD 32

2.5.3 DOCUMENTACIÓN DE REFERENCIA 33

2.5.3.1 CISCO 33

2.5.3.2 GARTNER 35 2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD 37

2.5.4 CERTIFICACIONES 37

2.5.4.1 ARUBA NETWORKS 37 2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING 38

2.5.5 RIESGOS DE BYOD 40

2.5.5.1 RIESGOS ECONOMICOS 40

2.5.5.2 RIESGOS RELACIONADOS CON LEYES Y REGULACIONES 41 2.5.5.3 RIESGOS EN LOS DATOS 42

2.5.5.4 CLASIFICACIÓN DEL RIESGO 43

CAPÍTULO III: PLANTEAMIENTO Y SOLUCIÓN 45

3. INTRODUCCIÓN 45

3.1 PLANIFICACIÓN DE LA AUDITORÍA 54

3.1.1 ALCANCE Y OBJETIVO DE LA AUDITORÍA 54 3.1.2 TRABAJO DE CAMPO 54

3.1.2.1 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 56

3.1.2.1.1 PLAN DE AUDITORÍA 57

3.1.2.2 AUDITORÍAS DE BYOD (BRING YOUR OWN DEVICE) 107 3.1.2.2.1 PLAN DE AUDITORÍA 107

3.1.3 ELABORACIÓN Y PRESENTACIÓN DEL INFORME DEFINITIVO 135

3.2 ANÁLISIS PLAN DE AUDITORÍA CLOUD COMPUTING 137

3.2.1 VISIÓN GENERAL POR ESTÁNDAR 137 3.2.1.1 COBIT 4 .1 137

3.2.1.2 ITIL v3 138

3.2.1.3 ISO/IEC 27002:2005 139 3.2.1.4 NIST: Recommended Security Controls for Federal Information Systems and

Organizations 139

3.2.1.5 SANS: 20 Critical Security Controls 140

3.2.2 VISIÓN POR DOMINIOS DE CONTROL 142 3.2.2.1 COBIT 4 .1 142

3.2.2.2 ITIL v3 143

3.2.2.3 ISO/IEC 27002:2005 144 3.2.2.4 NIST: Recommended Security Controls for Federal Information Systems and

Organizations 145

3.2.2.5 SANS: 20 Critical Security Controls 146

3.2.3 PUNTOS FUERTES PLAN DE AUDITORÍA 148 3.2.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 149

3.3 ANÁLISIS PLAN DE AUDITORÍA BRING YOUR OWN DEVICE 151

3.3.1 VISION GENERAL POR ESTÁNDAR 151 3.3.1.1 COBIT 4 .1 152

3.3.1.2 ITIL v3 152

3.3.1.3 ISO/IEC 27002:2005 153

III

3.3.1.4 NIST: Recommended Security Controls for Federal Information Systems and

Organizations 154 3.3.1.5 SANS: 20 Critical Security Controls 154

3.3.2 VISIÓN POR DOMINIOS DE CONTROL 156

3.3.2.1 COBIT 4 .1 156

3.3.2.2 ITIL v3 157 3.3.2.3 ISO/IEC 27002:2005 158


Organizations 159 3.3.2.5 SANS: 20 Critical Security Controls 160

3.3.3 PUNTOS FUERTES PLAN DE AUDITORÍA 162

3.3.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 163

3.4 ANÁLISIS FINAL DEL PROYECTO (CLOUD COMPUTING & BYOD) 165 3.4.1 COBIT 4.1 165

3.4.2 ITIL v3 165

3.4.3 ISO/IEC 27002:2005 166 3.4.4 NIST: Recommended Security Controls for Federal Information Systems and Organizations 167

3.4.5 SANS: 20 Critical Security Controls 168

CAPÍTULO IV: CONCLUSIONES 169

4. RESUMEN DEL TRABAJO REALIZADO 169

4.1 CONCLUSIONES FINALES DEL PROYECTO 171

4.2 DESCRIPCIÓN OBJETIVOS 173

4.3 FUTURAS LÍNEAS DE DESARROLLO 174

BIBLIOGRAFÍA 177

GLOSARIO DE TÉRMINOS 179

V

ÍNDICE DE TABLAS

Tabla 1: Esquema tres líneas de defensa ................................................................................................................... 10

Tabla 2: Marcos de Referencia .................................................................................................................................... 12

Tabla 3: Estimación Riesgo ISO/IEC 27005:2008...................................................................................................... 15 Tabla 4: Niveles .............................................................................................................................................................. 15

Tabla 5: Efecto en caso de materialización ............................................................................................................... 16

Tabla 6: Valoración de la Probabilidad ...................................................................................................................... 16

Tabla 7: Valoración del Riesgo..................................................................................................................................... 16 Tabla 8: Valoración de los Riesgos Cloud Computing .............................................................................................. 27

Tabla 9: Valoración del riesgo BYOD .......................................................................................................................... 43

Tabla 10: Áreas de Control BYOD .............................................................................................................................. 107

VII

ÍNDICE DE IMÁGENES

Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD .................................................................2

Imagen 2: Fases del proyecto .........................................................................................................................................3

Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper) ...............................6 Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal

Audit.pdf” Gartner [5] ......................................................................................................................................................8

Imagen 5: Comparativa de marcos, guías y estándares. ........................................................................................ 13

Imagen 6: Clasificación del Riesgo .............................................................................................................................. 14 Imagen 7: Modelos de Servicio .................................................................................................................................... 19

Imagen 8: Diferentes Entornos de Cloud, .................................................................................................................. 20

Imagen 9: Restricciones BYOD ..................................................................................................................................... 29 Imagen 10: Aspectos a tener en cuenta en base al nivel de acceso permitido a la red .................................... 39

Imagen 11: Estudio Estándares y Marcos de Buenas Prácticas ............................................................................. 47

Imagen 12: Dominios Estándares ................................................................................................................................ 48

Imagen 13: Resultados COBIT 4.1 Cloud Computing ............................................................................................. 137 Imagen 14: Resultados ITIL v3 Cloud Computing ................................................................................................... 138

Imagen 15: Resultados ISO/IEC 27002:2005 Cloud Computing ........................................................................... 139

Imagen 16: Resultados NIST Cloud Computing....................................................................................................... 139

Imagen 17: Resultados SANS Cloud Computing ..................................................................................................... 140 Imagen 18: Detalle Dominios COBIT 4.1 Cloud Computing .................................................................................. 142

Imagen 19: Detalle Resultados ITIL v3 Cloud Computing ..................................................................................... 143

Imagen 20: Resultados ISO/IEC 27002:2005 Cloud Computing ........................................................................... 144 Imagen 21: Resultados NIST Cloud Computing....................................................................................................... 145

Imagen 22: Imagen 24: Resultados SANS Cloud Computing ................................................................................ 146

Imagen 23: Principales Puntos de Control del Plan de auditoría Cloud Computing ......................................... 148

Imagen 24: Puntos Débiles Plan Trabajo Cloud Computing ................................................................................. 149 Imagen 25: Resultados COBIT 4.1 BYOD .................................................................................................................. 152

Imagen 26: Resultados ITIL v3 BYOD ........................................................................................................................ 152

Imagen 27: Resultados ISO/IEC 27002:2005 BYOD................................................................................................ 153 Imagen 28: Resultados NIST BYOD ........................................................................................................................... 154

Imagen 29: Resultados SANS BYOD .......................................................................................................................... 154

Imagen 30: Detalle Dominios COBIT 4.1 BYOD ....................................................................................................... 156

Imagen 31: Detalle Resultados ITIL v3 BYOD .......................................................................................................... 157 Imagen 32: Resultados ISO/IEC 27002:2005 BYOD................................................................................................ 158

Imagen 33: Resultados NIST BYOD ........................................................................................................................... 159

Imagen 34: Resultados SANS BYOD .......................................................................................................................... 160 Imagen 35: Principales Puntos de Control del Plan de auditoría BYOD ............................................................. 162

Imagen 36: Puntos Débiles Plan Trabajo BYOD ...................................................................................................... 163

Imagen 37: Tipos de Auditorías Informáticas ......................................................................................................... 175

1

CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS

1. INTRODUCCIÓN

1.1 CONTEXTO Y MOTIVACIÓN

Dentro del ámbito de la seguridad de las tecnologías de la información y comunicaciones

(TIC), este trabajo surge previa identificación de una carencia o falta de información

relativa a procesos de auditoría de las nuevas tecnologías de vanguardia tales como el

Cloud Computing o el Bring Your Own Device (BYOD).

Cada vez son más las empresas que migran sus datos a la “nube” intentando aprovechar

al máximo las ventajas que Cloud Computing pone a su servicio. Esto supone trasladar la

información de un centro controlado por la propia empresa a otro lugar gestionado por

terceros. Muchas son las medidas de seguridad que deben establecerse tanto desde el

lado del cliente como por parte de los proveedores para poder asegurar la seguridad

tanto en el proceso de migración como durante la gestión y supervisión de la misma. De

no ser así, las empresas pueden llegar a perder la traza de su información y de sus

principales datos de negocio. Dentro de este proceso de globalización, cabe formularse

numerosas preguntas tales como ¿dónde estará mi información?, ¿a qué riesgos

estamos expuestos ante una migración a un sistema de Cloud Computing?, ¿cómo viaja

nuestra información por la red?, ¿cómo podemos asegurar la confidencialidad,

integridad y el no-repudio de la información?, ¿podemos realizar revisiones a los

sistemas físicos en los que están contenidos nuestra información?, si los sistemas físicos

se encuentran en otros países ¿cómo se ve afecta nuestra empresa por la jurisdicción de

dichos países?, etc.

Ligado al Cloud Computing nace el término “Bring Your Own Device” (BYOD) en

respuesta a la necesidad de permitir a los empleados de las organizaciones trabajar en

cualquier momento y desde cualquier lugar y/o sistema. Según Gartner, la tendencia

BYOD también conocida como consumerización, será la tendencia más significativa que

afectará a la TI durante los próximos diez años. El paradigma de seguridad al que

estamos expuestos es completamente diferente y la diversidad de equipos que acceden

a nuestra red crecerá de manera exponencial. Cada uno de estos equipos tendrá sus

propias configuraciones y aplicaciones, sin embargo, debemos ser capaces de establecer

las políticas y controles de seguridad necesarios para permitir su acceso sin

comprometer la red corporativa.

Actualmente, existen diferentes tipos de BYOD basados en los sistemas a los que se les

permite el acceso al entorno corporativo. El estudio “Key Strategies To Capture And

Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones

2

Measure The Value Of Consumerization Of IT” [1] de la consultora “Forrester Consulting”

durante el 2012 muestra las siguientes tendencias BYOD:

Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD

Si bien puede observarse cómo actualmente un 60% de los programas BYOD están

enfocados a teléfonos móviles de última generación, la tendencia indica que terminará

extendiéndose de manera generalizada a cualquier dispositivo móvil. Es por ello que las

empresas deben posicionarse ante el fenómeno BYOD y comenzar a desarrollar políticas

de seguridad que permitan trabajar de manera segura con independencia del sistema

empleado.

La principal motivación del presente trabajo es presentar un plan de auditoría que

permita llevar a cabo auditorías de entornos Cloud Computing y BYOD con el fin de

aumentar el control, la seguridad corporativa y reducir los riesgos a los que estamos

expuestos.

1.2 OBJETIVOS PRINCIPALES DEL PROYECTO

Como parte de presente proyecto, se han identificados los siguientes objetivos para su

cumplimiento:

Mostrar cual es la situación actual en cuanto a entornos Cloud Computing y BYOD

desde un punto de vista de la seguridad y el riesgo.

Analizar los principales riesgos de Cloud Computing y BYOD.

Realizar un plan de auditoría que permita abordar de manera clara y concisa

auditorías de entornos Cloud Computing y BYOD.

Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia

3

1.3 FASES DEL PROYECTO

Se han identificado tres grandes grupos que se muestran de manera gráfica a

continuación:

Imagen 2: Fases del proyecto

1. Investigación Cloud Computing y BYOD:

Es la parte introductoria del proyecto en la cual se presenta el estado del arte de los

entornos Cloud Computing y BYOD.

Como punto de partida del trabajo se ha considerado relevante realizar una descripción

del modelo de “Las tres líneas de defensa” en el control del riesgo. En dicho modelo, se

plantea desde un punto de vista corporativo, tres líneas de defensa para tratar de

reducir los principales riesgos de negocio. Encontramos a auditoría interna como la

tercera línea defensa, con una visión independiente del resto de áreas y una

comunicación directa con la dirección.

Una vez introducido el concepto de auditoría en la gestión del riesgo, el siguiente paso

consiste en realizar un estudio del estado del Cloud Computing y BYOD en la actualidad.

Para ello, se realizará un análisis de los principales modelos de servicio, soluciones y

riesgos para asociados a cada uno de los entornos.


Auditorías BYOD

Auditorías entornos

Cloud Computing

Investigación Cloud

Computing y BYOD


4

2. Auditorías de entornos Cloud Computing:

En este bloque presentaremos un plan de auditoría para llevar a cabo auditorías de

seguridad de entornos Cloud Computing. Este plan de auditoría estará enfocado a

reducir el impacto de los riesgos identificados en la sección 2.4.4 Riesgos. Para su

elaboración, nos basaremos en el programa que ISACA presenta en “Cloud Computing

Management Audit/Assurance Program” [2]. Avanzaremos a lo largo del proceso de una

auditoría, desde la propuesta hasta la ejecución del plan de auditoría terminando en el

informe final.

3. Auditorías BYOD:

En este bloque, al igual que en el anterior, será presentado un plan de auditoría para

llevar a cabo auditorías de seguridad de BYOD. En este caso, el plan de auditoría estará

diseñado para reducir el impacto de los riesgos identificados en la sección 2.5.4 Riesgos.

Nos basaremos en el programa “Bring Your Own Device (BYOD) Security Audit/Assurance

Program” de ISACA [3].

Los planes de auditoría que serán desarrollados a los largo del proyecto tienen como

objetivo servir como base para la realización de trabajos específicos en todos aquellos

entornos y/o entidades en las que se quieran aplicar. Para la consecución de este

objetivo, se realizarán planes genéricos, fácilmente adaptables a los diferentes entornos

y comprensibles para destinatarios con un nivel de formación técnica baja-media.

5

CAPÍTULO II: ESTADO DEL ARTE

2. INTRODUCCIÓN

2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO

El “The institute of internal Auditors” presenta en su artículo “IIA Position Paper_the

three lines of defense in effective risk management and control.pdf” [4] el modelo de las

tres líneas de defensa como forma de prevención y protección frente al riesgo. A lo largo

de esta sección, podrán encontrarse algunas de las ideas que el IIA plantea.

Actualmente, es común encontrar diferentes equipos de auditores internos,

especialistas en la gestión de riesgos, especialistas en control interno, inspectores de

calidad, investigadores del fraude u otros profesionales enfocados al control del riesgo

empresarial trabajando de forma conjunta y coordinada con el fin de mitigar los

principales riesgos empresariales. Los riesgos presentes en las compañías no se

encuentran centralizados sino que se extienden a lo largo de las distintas divisiones y

departamentos, es por ello que resulta fundamental una apropiada coordinación para

asegurar que los procesos y controles de riesgos funcionan de manera adecuada.

No es suficiente con la existencia de diferentes controles y funciones de riesgo. El reto

reside en alinear y coordinar sus operaciones de manera efectiva y eficiente sin crear

duplicidades en la definición de funciones y responsabilidades. Cada profesional debe

conocer sus responsabilidades y entender de manera global cómo afecta su desempeño

dentro de la estructura de control y riesgos definida. Sin cohesión y enfoques

coordinados, los controles sobre riesgos no serán efectivos, pudiendo dejar de detectar

posibles fuentes de riesgo o gestionarlos de manera equívoca.

El modelo “Tres Líneas de Defensa” proporciona una manera simple y efectiva de

mejorar las comunicaciones en la gestión y control del riesgo clarificando roles y

responsabilidades. Puede ser aplicable a cualquier tipo de compañía con independencia

del tamaño y de la existencia de un marco de riesgos definido.

En este modelo, los controles para la gestión y medición del riesgo suponen la primera

línea de defensa. La segunda de defensa estaría formada por todos aquellos controles

financieros, de seguridad, de calidad, de inspección, de supervisión y de calidad.

Finalmente, auditoría interna supondría una tercera línea de defensa que se encuentra

coordinada con las dos anteriores pero con operativa independiente.

La dirección y el área de gobierno tienen la responsabilidad de establecer los objetivos

de la organización, definiendo las estrategias para la consecución de los objetivos y


6

estableciendo las estructuras y procesos adecuados para gestionar los riesgos asociados

a éstos.

Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper)

Partiendo de este modelo, se dará una explicación genérica sobre las funciones de cada

una de las líneas comentadas, centrándonos especialmente en la tercera línea de

defensa, la auditoria interna.

2.1.1 PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA

En la primera línea de defensa, los directores operaciones poseen y gestionan los

riesgos. Es su responsabilidad la aplicación de acciones preventivas y correctivas para el

control de deficiencias.

La gestión operacional abarca la ejecución y el mantenimiento diario de los

procedimientos de control de riesgos. Identifica, evalúa, controla y mitiga riesgos ,

guiando la implementación y desarrollo de políticas y procedimientos internos y

asegurando que las actividades son consistentes con los objetivos marcados. Debe

existir una administración y supervisión adecuada que asegure el cumplimiento, detecte

procesos inadecuados y se anticipe posibles fuentes de riesgo.

2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE

CUMPLIMIENTO Y SUPERVISIÓN

Las funciones de esta línea de defensa pueden variar dependiendo del tipo de

organización y los objetivos definidos, sin embargo, las siguientes funciones deberían

estar definidas:


7

Una función de dirección de riesgos (y/o comité) que facilite y monitorice la

implementación de los procesos realizados por la gestión operativa. Además,

ayudará a los propietarios de los riesgos en la adecuada definición, redacción y

transmisión a toda la compañía de los principales objetivos expuestos al riesgo.

Función de cumplimiento para monitorizar riesgos específicos asociados a leyes y

regulaciones. Dependiendo del sector y el tipo de empresa, los reportes de este

tipo de riesgos pueden dirigirse a la dirección o bien directamente al área de

gobierno.

Una función para monitorizar riesgos financieros y gestionar los reportes

financieros asociados.

Cada una de estas funciones tiene un cierto grado de independencia de la primera línea

de defensa, sin embargo, al ser funciones de dirección, deben intervenir directamente

en el desarrollo y modificación de controles internos y sistemas de riesgos. Las

responsabilidades de estas funciones pueden variar, sin embargo, podrían incluir:

Apoyo y supervisión de las políticas de dirección, definiendo roles y

responsabilidades y estableciendo los objetivos para la implementación.

Proporcionar un marco de gestión del riesgo.

Identificar casos de emergencia.

Identificar cambios en las posibles fuentes de riesgo.

Apoyar a la dirección en la definición y desarrollo de procesos y controles de

gestión de riesgos.

2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA

Auditoría interna aporta al órgano de gobierno y la alta dirección una garantía de

seguridad global basada en un carácter objetivo para el cual se le otorga una

independencia del resto de procesos con el fin de evitar que su implicación en los

mismos pueda condicionar las revisiones. Esta seguridad abarca, de manera trasversal,

las áreas de gobierno, la gestión de los riesgos, el control interno, los objetivos de

negocio y las estrategias de TI (sistemas, prácticas de control e iniciativas de

cumplimiento legal y regulatorio). Los procedimientos seguidos en la primera y segunda

línea de defensa se encuentran dentro del campo de actuación de auditoría. Los

reportes se realizan al órgano de gobierno y la alta dirección y habitualmente dentro de

su alcance se encuentran:

Eficiencia y eficacia de las operaciones, evaluación de sistemas de protección de

la información, confianza e integridad en los procesos de reporte, cumplimiento

con leyes, marcos regulatorios, políticas, procedimientos y contratos.

Todos los elementos de gestión de riesgos (identificación, evaluación y plan de

acción) y el marco de control interno.


8

La entidad en su conjunto: divisiones, departamentos, unidades etc., incluyendo

tanto procesos de negocio (ventas, marketing, producción, proveedores…) como

funciones de soporte (recursos humanos, contabilidad de expedientes,

infraestructuras, inventarios…).

Las mejores prácticas recomiendan tener y fomentar un personal competente, adecuado

y objetivo para el desarrollo de las funciones de auditoría interna. Se debe:

Actuar de acuerdo a los estándares internacionales.

Reportar a alto nivel, permitiendo así su independencia del resto de áreas.

Mantener una vía de comunicación y reporte adecuada con la dirección y áreas

de gobierno. Cuanto más cerca se encuentre el área de auditoria interna a la alta

dirección, mayor será la independencia, la cobertura de actuación y la facilidad

de comunicación. El área de auditoria interna pierde valor si se encuentra,

dentro del organigrama corporativo, dependiendo de otras áreas, secciones o

departamentos.

La siguiente imagen muestra, de manera genérica, una posible organización de la

planificación de un departamento de auditoría interna:

Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal Audit.pdf” Gartner [5]

En primer lugar, se muestran algunos ejemplos de “inputs” o entradas de información.

Como ya se ha mencionado, las coberturas de estas entradas deberían ser globales y

aplicables sobre cualquier ámbito de la empresa. Esta información está directamente


9

relacionada con cada una de las auditorías planificadas de forma anual en el plan de

auditoria interna. En este plan, se registran cada uno de los trabajos de revisión que se

van a llevar a cabo durante el periodo de tiempo establecido y suele someterse a la

aprobación de un comité global de auditoría. Cada una de estas auditorías, debería

poder relacionarse con objetivos y riesgos específicos de negocio. Una vez establecido el

plan de auditoría interna, se debe definir la estrategia para acometer dicho plan. Dentro

de esta estrategia, se definen, entre otros, equipos de trabajo, recursos necesarios,

plazos, procedimientos, controles, planes de auditoría… Finalmente, obtendremos una

serie de proyectos que cubrirán los objetivos inicialmente establecidos.

2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA

Requerimientos de auditoría:

Son habituales casos en los cuales ciertas áreas o grupos como miembros de la junta,

organismos reguladores, proveedores o socios son excluidos de los planes de

auditoría. Esto puede provocar variaciones considerables en los resultados y las

conclusiones obtenidas.

Auditorías no basadas en riesgos:

Existen compañías en las cuales la planificación de auditorías no se basa en un

análisis de riesgos previo, sino que su planificación se realiza bajo petición y/o

controles específicos de diferentes departamentos. Este tipo de decisiones están

influenciadas por la dirección y su enfoque, en algunas ocasiones, falla al alinear el

plan de auditoría con las principales necesidades de negocio

Priorización:

Muchos equipos de auditoría fallan al no darse cuenta de la importancia del proceso

de priorización y el enfoque de cada auditoría. Este enfoque debe ir a la par que los

requisitos asociados a los riegos de TI de la compañía. Una falta de priorización

desencadena en una pérdida de oportunidades de control, cambios y/o mejoras así

como en un notable incremento del tiempo de dedicación a cada auditoría.

2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES

Auditorías, organismos reguladores u otras entidades externas a la propia organización

pueden tener una importancia muy relevante dentro del marco de gobierno y control

interno. Este es el caso particular de industrias reguladas tales como servicios

financieros o aseguradores (Basilea, Solvencia…). Los organismos reguladores, en

algunas ocasiones, establecen requerimientos para fortalecer los controles

organizacionales y en otras para evaluar parte o el conjunto de las tres líneas de

defensa. Cuando las acciones de los organismos externos se coordinan de manera

efectiva, se pueden considerar como una línea de defensa adicional que provee

seguridad a la dirección y el cuerpo de gobierno. No obstante, definidos los objetivos y el


10

alcance de trabajo, la información de riesgos proporcionada por organismos externos

suele ser menor que la reportada por las tres líneas de defensa internas.

COORDINACIÓN DE LAS TRES LÍNEAS DE DEFENSA

Debido a la organización interna de cada compañía, no un existe único modo de

coordinar las tres líneas de defensa. Sin embargo, a la hora de asignar responsabilidades,

tareas y realizar la coordinación entre las diferentes funciones de dirección de riesgos,

conviene recordar las funciones específicas de cada línea de defensa en el proceso de

gestión del riesgo:

Tabla 1: Esquema tres líneas de defensa

Las tres líneas de defensa deben existir, de una u otra forma, en todas las organizaciones

con independencia de su tamaño o complejidad. Mantener las líneas s eparadas y

claramente identificadas ayuda a fortalecer la gestión de los riesgos. Existen situaciones

concretas, especialmente en organizaciones pequeñas, en las cuales ciertas funciones se

combinan. Se dan casos en los cuales la dirección y/o área de gobierno pide a auditoría

interna que gestione y administre los riesgos. En estos casos, auditoría interna debe

comunicar el impacto que supone dicha combinación. En la medida de lo posible, debe

evitarse la dualidad de funciones.

Sin tener en cuenta la implementación del modelo, la dirección y el área de gobierno

deben comunicar de manera eficaz a toda la compañía cuales son los objetivos y que se

espera del modelo establecido, resaltando la importancia de una buena gestión de la

información compartida entre las diferentes líneas así como la coordinación de los

diferentes grupos de dirección responsables de la gestión de los controles y riesgos

corporativos.

2.1.4.1 PRÁCTICAS RECOMENDADAS

1. Los procesos de control y riesgo se deben estructurar de acuerdo al modelo

presentado de “Tres líneas de defensa”.

2. Cada línea debe estar apoyada por una definición apropiada de roles y políticas.

3. Debe existir una coordinación adecuada entre las diferentes líneas de defensa

que fomente la eficiencia y efectividad en el proceso.

Dirección OperacionalIndependencia limitada

Reportes a dirección

Auditoría interna

Mayor independencia

Reportes a el área de gobierno

TRES LÍNEAS DE DEFENSA

PRIMERA LÍNEA SEGUNDA LÍNEA TERCERA LÍNEA

Propietarios de riesgos/

gerentes

Control de riesgos y

cumplimientoGarantía de riesgos


11

4. Las funciones y controles de riesgo de las diferentes líneas deben compartir el

conocimiento e información lograr mayor eficiencia en el resto de funciones.

5. Las líneas de defensa no se deben combinar y coordinar de manera que se

dificulte o comprometa su efectividad.

6. En situaciones en las cuales se combinan diferentes líneas, el área de gobierno

debe ser advertida de la estructura y el impacto que supone. Asimismo, para

aquellas entidades en las cuales no se haya establecido un área de auditoría

interna, la dirección y/o área de gobierno deberá explicar a presidencia el plan

establecido para conseguir garantía y efectividad en cuanto a la gestión y control

del riesgo.

2.2 MARCOS DE REFERENCIA ACTUALES, ¿CUAL ELEGIR?

Normalmente, los equipos de auditoría y las organizaciones de TI conocen los principales

marcos y estándares internacionales, sin embargo, no siempre son capaces de obtener

el máximo rendimiento de los mismos. Beneficios como reducción de costes, agilización

de los procesos de TI y una optimización en la gestión y revisión del riesgo pueden

lograrse entendiendo el alcance de los estándares, mapeando los controles con las

necesidades reales de TI, mejorando su aplicabilidad en el contexto TI de la organización

y comprendiendo cómo reportar de manera adecuada los resultados obtenidos de la

implementación de los estándares.

Como hemos visto, el criterio establecido para la apropiada selección del estándar y/o

marco de referencia que vamos a emplear puede resultar muy relevante para los

resultados finales de la auditoría. Algunas cuestiones que podrían ayudar para la

elección de un criterio apropiado, serían las siguientes:

1. ¿Qué vamos a auditar?: Desde una visión de alto nivel, debemos ser capaces de

identificar que partes y componentes de TI van a ser revisados. Algunos ejemplos

serían: cumplimiento normativo, gestión de riesgos, gestión de la seguridad de la

información, desarrollo de software, proveedores de servicios de TI etc.

2. ¿Cómo auditar la materia?: El objetivo consiste en el entendimiento de los

conceptos y las tecnologías específicas (análisis de datos, gestión de accesos,

controles biométricos, sistemas ERP…) que van a ser auditadas. Estos conocimientos

previos son necesarios para decidir la mejor manera de llevar a cabo la auditoría y

conforme a qué estándares y controles se realizará.

3. ¿Qué y cómo reportar?: Debemos entender hacia quien se reporta y adaptar el

informe en consecuencia. El lenguaje incluido en un informe a dirección puede

diferir del empleado en un informe dirigido a un área técnica. No obstante, es una

buena práctica la redacción de informes cuya comprensión pueda realizarse por

cualquier persona con independencia de su formación técnica.


12

4. ¿Quién se beneficia del estándar?: Todos los marcos no están destinados

exclusivamente a auditores o auditados. En muchos casos, su contenido puede

beneficiar a ambos:

a. Auditor: Plan de auditoría, planificación, controles, roles.

b. Auditado: Preparar a los auditados para un mejor entendimiento de los

enfoques de auditoría.

A continuación se incluye de manera esquemática los principales marcos, guías y

estándares que existen en la actualidad. Se encuentran resaltados aquellos cuyo

contenido ha sido de especial relevancia para la realización del presente documento:

Tabla 2: Marcos de Referencia

De acuerdo con las cuestiones anteriormente mencionadas, el análisis “IT Audit

Standards, Frameworks, and Guidelines for Auditees and Auditors” [6] de la compañía

Gartner muestra los siguientes resultados:

IT Audit and Assurance

StandardsISACA Estandar Industrial, Empresarial Global

Global Technology Audit

GuidesIIA Guía Industrial, Empresarial Global

COBIT, ITAF ISACAMarco de

referenciaIndustrial, Empresarial Global

IT Assurance Guide Using

COBITISACA Guía Industrial, Empresarial Global

COBIT Assesment

ProgrammeISACA

Modelo, guía,

herramientaIndustrial, Empresarial Procesos TI

AICPA Guide for SOC 2

ReportAICPA Guía Proveedores

Gestión de riesgos de

TI en proveedores

ISO 20000 ISO Estandar Industrial, Empresarial Gestión servicios TI

ITILUnited Kingdom´s

Cabinet Office

Marco de

referenciaIndustrial, Empresarial Gestión servicios TI

Shared Assessments Santa Fe Group Herramienta ProveedoresGestión de riesgos de

TI en proveedores

Goverment Auditing

Standards (not specific to

IT)

U.S. Government

Accountability

Office

EstandarOrganización

gubernamental

Controles de TI

relacionados con la

contabilidad

ISO 2700X ISO Estandar Industrial, EmpresarialSeguridad de la

información

GUÍA PROPIEDAD TIPO ADECUADA PARA DOMINIO IT


13

Imagen 5: Comparativa de marcos, guías y estándares.

Como se puede apreciar, en su mayoría los documentos que ISACA propone son guías

que pretenden beneficiar tanto al auditor como al auditado y describen, generalmente,

detalles de cómo se puede llevar a cabo el proceso de auditoría. Por el contrario, otros

marcos como las ISOs o ITIL se centran en el “qué auditar” y en un posible beneficio del

auditado más que en explicar cómo llevar a cabo dicha tarea.

Son comunes los casos donde las guías, marcos o metodologías son tan extensas que su

implantación completa supondría una inversión muy superior a los beneficios que

aportaría. Es por ello que, si bien es recomendable seguir las pautas de organismos

internacionales contrastados, no debe ser nunca motivo de “preocupación” u “obsesión”

el no seguir al completo lo expuesto en dichas guías. En otras ocasiones, las compañías

desarrollan sus propias metodologías apoyadas en los procesos y recomendaciones de

marcos internacionales.

2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD

Antes de realizar la clasificación del riesgo, conviene aclarar que los riesgos de los dos

entornos presentados en este trabajo se encuentran dentro del ámbito de riesgos de las

tecnologías de la información (TI).

Un riesgo, sea cual sea su tipología, se define como aquellas amenazas asociadas a

vulnerabilidades cuya explotación puede causar un impacto sobre la compañía. Si nos

centramos en el riesgo TI, se trata de un riesgo trasversal a toda la organización que

deriva del uso, propiedad, operación, distribución y la adopción de las tecnologías de la

Información. Existen diferentes metodologías para gestionar los riesgos que convergen

en la necesidad de tener un proceso estructurado, sistemático y riguroso en nuestro

plan de gestión y administración de riesgos.


14

Imagen 6: Clasificación del Riesgo

Al tratarse de dos entornos diferentes, se ha decidido establecer un criterio común para

conseguir una clasificación homogénea de los riesgos asociados a Cloud Computing y

BYOD. Para ello, se ha realizado un análisis de riesgos según la norma ISO/IEC

27005:2008, "Information technology - Security techniques - Information security risk

management". Esta norma es una guía para la gestión de riesgos de seguridad de la

información, de acuerdo con los principios ya definidos en otras normas de la

serie 27000.

La tabla que se muestra a continuación, realiza una valoración de los riesgos basada en

dos parámetros:

1. Probabilidad de que el riesgo se materialice.

2. Impacto que causaría sobre los activos de la organización.

http://es.wikipedia.org/wiki/ISO/IEC_27000-series


15

ISO/IEC 27005:2008 Probabilidad

Muy baja

Leve Media Alta Muy Alta

Impacto

Muy bajo 0 1 2 3 4

Leve 1 2 3 4 5

Medio 2 3 4 5 6

Alto 3 4 5 6 7

Muy alto 4 5 6 7 8

Tabla 3: Estimación Riesgo ISO/IEC 27005:2008

Para cada uno de estos parámetros, se establecen los siguientes niveles:

Tabla 4: Niveles

Para comprender la tabla anterior, se hace necesario explicar los diferentes umbrales

establecidos para la probabilidad y el impacto así como los valores del riesgo obtenidos

en la matriz.

A continuación se detalla, para cada umbral, qué implicaciones podría tener sobre

nuestra compañía:

Alta 3

Muy Alta 4

Niveles

Muy Bajo 0

Leve 1

Media 2


16

Efecto en caso de materialización

Impacto Valor Descripción

Alto 3-4

Efecto alto en los servicios de la organización

Degradación de activos mayor del 60%

Visibilidad alta en cliente

Afecta a la productividad a más del 50% de los empleados

Compromete la entrega del ANS del cliente

Medio 2

Afecta a los servicios de la organización

Degradación de activos entre el 30% y 60%

Visibilidad baja en cliente

Afecta a la productividad de menos del 50% de los empleados

Puede comprometer la entrega del ANS del cliente

Asumible 0-1

Efectos aislados en el funcionamiento de la organización

Degradación de activos < 30%

Visibilidad baja en cliente

Afecta a la productividad de menos del 5% de los empleados

No compromete la entrega del ANS del cliente Tabla 5: Efecto en caso de materialización

Valoración de la Probabilidad

Probabilidad Valor Descripción

Alta 3-4 Depende de la relación entre la vulnerabilidad y la amenaza con el

entorno alrededor del activo Media 2

Baja 0-1 Tabla 6: Valoración de la Probabilidad

Finalmente, la valoración del riesgo obtenido, se interpreta de la siguiente manera:

Valoración del Riesgo

Riesgo Valor Acción

Alto 6-8 Mitigación inmediata

Medio 3-5 Tratar de mitigarlo/Transferirlo

Bajo 0-2 Asumible Tabla 7: Valoración del Riesgo

Cabe destacar que, una vez establecidos los valores del riesgo, pueden ser reducidos

mediante el uso de salvaguardas, si bien el ámbito de las mismas queda fuera del

alcance del presente proyecto.

En los apartados 2.4.4.1 y 2.5.5.4 se realiza la clasificación del riesgo para entornos Cloud

Computing y BYOD. Para su comprensión, es necesario entender la metodología

expuesta anteriormente.


17

2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING

2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING

El Cloud Computing se refiere a la tendencia que permite al usuario acceder a un

catálogo de servicios estandarizados y responder a las necesidades de su negocio, de

forma flexible y adaptativa. Estos entornos están en alza en nuestros días en dónde las

empresas utilizan los recursos que los proveedores de Cloud ofrecen.

Algunas de las ventajas que estos entornos permiten son las siguientes:

1. Flexibilidad: Las soluciones Cloud se caracterizan por su alta escalabilidad, crecen

y se modifican en función de las necesidades de cada proyecto en tiempo real.

Esto permite ofrecer servicios evolutivos y soportar aumentos de carga

considerables.

2. Potencia: Dependiendo del proveedor, las infraestructuras Cloud suelen ofrecer

soluciones potentes de máximo rendimiento sin requerir inversiones de

despliegue y/o mantenimiento. Cada servicio obtiene el cómputo necesario en

cada momento. En definitiva se trata de servicios granulables que permiten

contratar recursos (CPU, RAM, almacenamiento) en periodos de tiempo

determinados.

3. Estabilidad: Muchos de los servidores Cloud se apoyan sobre una estructura de

hardware común si bien a nivel de sistema operativo cada uno conforma una

máquina independiente. Esto permite fortalecer las medidas de seguridad y

estabilidad usando sistemas como: balanceadores de carga, sistemas de

almacenamiento, recuperación automática, sistemas replicados …

4. Ahorro: Existen diversas formas de facturación en función de las necesidades

particulares de cada cliente. Es común la facturación por el uso del servicio,

ahorrando los costes derivados del hardware, de la disposición de un entorno

físico apropiado para el correcto funcionamiento de todos los sistemas

(refrigeración, sistemas anti-incendios…) y de mantenimiento. Además, también

se reducen costes en cuanto a licencias de Software. Uno de los principales

objetivos en las migraciones hacia sistemas en la “nube” es conseguir reducir

gastos a través del aprovechamiento de las estructuras y la energía.

Sin embargo no todo son ventajas, presentan también riesgos que serán analizados en

este documento. Antes de ello, es necesario describir las diferentes posibilidades que se

ofrecen a las empresas para migrar sus aplicaciones a la nube. Se detallarán los

diferentes modelos de despliegue de los mismos que pueden ser; públicos, privados o

híbridos. No todos los modelos de despliegue para entornos Cloud presentan los mismos

riesgos, por lo que es necesario clasificarles.

Una vez presentados las diferentes características de los cada uno de los entornos, se

mostrarán los diferentes riesgos existentes en los entornos de Cloud Computing.


18

2.4.1.1 MODELOS DE DESPLIEGUE

Los modelos de despliegue son las diferentes posibilidades que se ofrecen a los clientes

a la hora de elegir el Proveedor de Servicios del Cloud CSP (Cloud Service Provider). La

agencia NIST define cuatro posibles modelos de despliegue: privados, públicos, híbridos

o comunitarios. En este documento sólo nos centraremos en los modelos privados y

públicos.

Los modelos de despliegue privados, usan aplicaciones virtualizadas donde la

información de la empresa se encuentra dentro de los CPDs de la empresa o en

servidores contratados a terceros. Este modelo privado de Cloud, presenta unos riesgos

similares a los entornos de datos tradicionales.

Por otro lado, en un modelo público, muchos clientes (diferentes) utilizan los mis mos

recursos que ofrece el proveedor de servicios de Cloud compartiendo servidores. En este

caso los clientes comparten el mismo CPD donde se encuentran las aplicaciones y datos

que necesita cada uno de los clientes. La localización de los servidores del proveedor de

Cloud está continuamente cambiando, y los datos almacenados se encuentran en la

nube donde no se sabe cuál es su localización.

Cuando un gran número de usuarios comparten los mismos recursos, resulta complejo

establecer perímetros entre los usuarios y las diferentes necesidades que necesitan en

términos de virtualización. Establecer estos límites o perímetros entre los usuarios,

compartiendo los mismos recursos es complicado, y además presenta un riesgo mucho

mayor en los modelos públicos.

Llegado a este punto es fácil ver que los riesgos en los modelos públicos desplegados en

la nube son mucho más significativos y diferentes que los riesgos existentes en entornos

Cloud privados que son más similares a los entornos de datos tradicionales.

Una comparación de un entorno público, puede ser visto como el transporte público,

donde cada uno de los usuarios tiene un billete con características diferentes. Sin

embargo, los usuarios comparten el mismo medio de transporte, donde cada uno lleva

datos personales de valor.

2.4.1.2 MODELOS DE SERVICIO

Los clientes de Cloud Computing deben de estar al tanto de todos los riesgos que

pueden padecer. Estos riesgos pueden variar en función del tipo de servicio contratado. A

grandes rasgos, existen tres tipos de servicios Cloud: Infrastructure as a service (IaaS),

Platform as a service (PaaS), y Software as a Service (SaaS). En muchos casos, los

controles sobre los riesgos a tener en cuenta están compartidos entre los proveedores

de los servicios y los clientes. En las ilustraciones 7 y 8 puede verse una explicación de

los diferentes tipos de Cloud y los diferentes modelos que pueden prestar.


19

Los proveedores de servicios de Cloud y los clientes establecen responsabilidades

compartidas entre los riesgos, y estas responsabilidades varían. Estas variaciones se

deben a los servicios del cliente, el proveedor del Cloud, los requisitos del cliente para el

entorno Cloud y las consideraciones de seguridad para el cliente de migrar los datos a un

entorno Cloud.

En general, un servicio del tipo IaaS, los proveedores ofrecen a sus clientes un entorno

físico básico, dotados con servicios seguros, es decir, en los servidores se encuentran

sistemas de detección de intrusos, sistemas de prevención de intrusión, monitorización

e información sobre la seguridad y gestión de eventos (SIEM).

Por otro lado un servicio PaaS, ofrece al cliente la posibilidad de desarrollar aplicaciones

creadas por bajo entornos de desarrollo o herramientas soportadas por el proveedor.

El tercero modelo Saas, los clientes pueden usar aplicaciones que corren dentro del CSP.

Estas aplicaciones son accesibles a través de diferentes dispositivos o desde el

navegador, como el correo electrónico.

Imagen 7: Modelos de Servicio


20

Imagen 8: Diferentes Entornos de Cloud,

basado en Visual Model Of NIST Working Definition Of Cloud Computing [7]

2.4.2 DOCUMENTACIÓN DE REFERENCIA

2.4.2.1 ENISA

"European Network and Information Security Agency" (ENISA) es la Agencia Europea de

Seguridad de las Redes y de la Información cuyo objetivo es mejorar las redes y la

seguridad de la información. Dentro de la información disponible de ENISA cumpliendo

sus objetivos, dispone de documentación acerca de los entornos de Cloud Computing. El

documento que se va a comentar en este punto es el siguiente “Cloud Computing -

Benefits, risks and recommendations for information security” [8].

Este documento ha sido desarrollado por un gran grupo de expertos de los entornos de

Cloud Computing, que representan diferentes Industrias u organizaciones, donde han

tratado de contextualizar los diferentes riesgos existentes de los entornos Cloud. El

resultado de este informe es un estudio en profundidad y un análisis sobre los beneficios

en y los riesgos desde una perspectiva de la seguridad de la información en los entornos

de Cloud Computing. Este informe es también una guía con recomendaciones de ENISA

para aplicar en entornos de Cloud Computing.


21

2.4.2.2 Cloud Computing Alliance (CSA)

“Cloud Security Alliance”(CSA) es una organización sin ánimo de lucro con la misión de

promover el uso de buenas prácticas con el fin de ofrecer seguridad dentro de los

entornos de Cloud Computing, además de dar una “educación” sobre los usos de los

entornos Cloud, ayudando a establecer entornos de Cloud más seguros. La CSA está

liderada por una amplia coalición de industrias, asociaciones y corporaciones

relacionadas con los Cloud.

La CSA tiene unos 40000 miembros afiliados en todo el mundo, esta organización obtuvo

una gran popularidad en el 2011 cuando la Casa Blanca seleccionó a CSA como centro

para anunciar las estrategias del gobierno en los entornos de Cloud Computing.

CSA dispone de una gran variedad de documentos para los entornos Cloud Computing,

tanto a nivel de guías de referencia, controles de seguridad e investigaciones sobre

entornos Cloud.

El documento que vamos a tomar como referencia es el siguiente "Guía para la

Seguridad en áreas críticas de atención en Cloud Computing, V2.1” [9] que contiene las

claves a tener en cuenta para comprender los principios y procesos que rigen el Cloud

Computing, los modelos a los que el Cloud Computing se acoge, y sobre todo, las áreas

críticas que se deben tener en cuenta y las medidas que deberían tomar los

responsables de seguridad de la información para que las organizaciones puedan

trabajar “en la nube” con la máxima garantía y confianza y los mínimos riesgos posibles.

2.4.2.3 NIST

"National Institute of Standards and Technology" (NIST) es una agencia de la

Administración de Tecnología del Departamento de Comercio de los Estados Unidos. Su

misión es la promover la innovación y la competencia industrial mediante avances en

normas, metrología y tecnología.

NIST también tiene documentación sobre los entornos de Cloud Computing que merece

la pena mencionar en este trabajo. Los documentos son los siguientes: "NIST Cloud

Computing Reference Architecture" [10] "Recommended Security Controls for Federal

Information Systems and Organizations" [11]. Estos documentos son más genéricos que

los anteriores, describiendo los entornos Cloud y dando unas recomendaciones

genéricas, sin embargo son informes a los que se hace referencia cuando se habla de

entornos de Cloud Computing y que se han utilizado para la realización del trabajo.

2.4.3 CERTIFICACIONES

Entre las diferentes certificaciones existentes especializadas dentro de los entornos

Cloud, merece la pena comentar la certificación “CCSK Certification Board” que será

tratada en el siguiente apartado.


22

2.4.3.1 Certificate of Cloud Security Knowledge

“Certificate of Cloud Security Knowledge”(CCSK) es una certificación que pertenece a la

organización CSA. Esta certificación proporciona una formación y una certificación de

profesionales para asegurar que el Cloud Computing se lleve bajo unos controles de

seguridad adecuados.

Esta certificación toma como documentación de referencia dos documentos

importantes dentro de los entornos Cloud. El primer documento es la "Guía para la

Seguridad en áreas críticas de atención en Cloud Computing, V2.1”, este documento

pertenece a la CSA. El otro documento es "Cloud Computing: Beneficios, Riesgos y

Recomendación para la Seguridad de la Información" de ENISA. Estos documentos

constituyen una gran contribución a la seguridad en la base de conocimientos de Cloud

Computing.

La certificación CCSK se obtiene completando un examen que comprende los conceptos

fundamentales de la Guía CSA y el documento de ENISA.

2.4.4 RIESGOS DEL CLOUD COMPUTING

Entre la inmadurez de la industria y la falta de modelos estándar de Cloud, hay una

disparidad muy amplia de la cualidad y la madurez de los controles de riesgo de los CSPs.

Los clientes de Cloud necesitan ganar una visión más amplia del alcance y los detalles

específicos de los controles de seguridad que los CSPs proveen. Durante las

negociaciones, se deben especificar responsabilidades sobre los riesgos y los CSPs deben

ser capaces de determinar las necesidades de cada uno de los riesgos y las decisiones

que se deben tomar si se adecuan a los intereses de los clientes y cubren las necesidades

de los riesgos.

Las herramientas y procesos que actualmente se llevan a cabo para ofrecer eficiencia y

deben ser implementados son:

Control de identidades y accesos

Controles sobre la seguridad física

Sistemas para el control de cambios

Programas para el desarrollo del ciclo de vida

Recuperación en caso de desastre

Controles perimetrales

Prevención de pérdida de datos

Firewalls

IPS

Sistemas SIEM (pueden que no sean tan efectivos) pues los datos que estaban

siendo monitorizados internamente ahora se han movido fuera.


23

Estos cambios requieren cambios en los procesos y procedimientos para asegurar que

los incidentes sobre la seguridad no ocurran.

Para cada proceso de migración al Cloud es muy importante entender primero qué

información va estar en el Cloud, dónde va estar dicha información y cuál es impacto de

que haya una brecha en la seguridad. Es necesario tener un inventario de la información,

que esté clasificada y etiquetada. Toda información que no está controlada por la

empresa, y que puede ser accedida de forma incontrolada, pasa de ser una información

valiosa a algo que no merezca la pena guardar, dado que se ha podido acceder a una

información alguien que no estaba autorizado para hacerlo. Es especialmente crítico que

los responsables de los datos entiendan que los datos que actualmente están alojados

dentro de la empresa, pueden ser movidos a un entorno Cloud, a la hora de establecer

los controles necesarios de acceso a la información.

A continuación se van a enumerar los diferentes riesgos que se presentan en los

entornos Cloud, y una descripción de los mismos.

1. Pérdida del gobierno de los datos. Al estar los datos en un servidor externo de la

empresa el cliente pierde el control de los datos y por lo tanto puede generar

incompatibilidades con requisitos de confidencialidad, integridad y disponibilidad

de los datos.

2. Adquisición del proveedor del Cloud . Puede que se produzcan cambios en la

estrategia del proveedor del Cloud y pueda amenazar los acuerdos tomados que

se habían tomado con el cliente. El impacto final podría generar desconfianza en

el cliente sobre ciertos activos cruciales.

3. Error o cancelación del servicio de la nube. Siempre que se haya contratado el

servicio Cloud con un proveedor externo, este proveedor puede dejar de prestar

el servicio Cloud en cualquier momento afectando a los servicios o datos que

esos clientes tienen en el servido.

4. Falta de recursos de la nube. Los servicios de la nube es un servicio que se ofrece

bajo demanda, es decir, que los recursos que necesita el cliente se van asignando

según estadísticas. Un modelo que no haga una buena previsión de los recursos

que se necesitan, puede llevar a grandes pérdidas. Por un lado, una estadística

sobredimensionada puede llevar a pérdidas económicas del proveedor del Cloud

y que deje de prestar el servicio de una forma adecuada. Por otro lado, si la

previsión se queda corta, no se ofrecerán todos los recursos que el cliente

necesita.


24

5. Proveedor del Cloud malicioso con abuso de sus altos privilegios. El entorno del

Cloud, cuenta con unas estructuras que hay que mantener, estas estructuras

están mantenidas por unos administradores que pueden tener uso privilegios

altos que pueden comprometer la confidencialidad y la integridad de los datos.

6. Interceptar datos en la subida o bajada de la información. Dentro de la

arquitectura Cloud, los datos se suben o se bajan de los servidores Cloud, según

las necesidades del cliente. Para ello es necesario disponer de una conexión

entre el servidor y los clientes. Esta conexión es uno de los puntos que hay que

vigilar ya que estos datos que viajan entre clientes y servidores pueden ser

interceptados por terceras personas, comprometiendo la confidencialidad de los

datos.

7. Fugas de información en los movimientos de datos dentro del ento rno Cloud.

La arquitectura Cloud es una arquitectura distribuida. Esto implica que hay un

tránsito mayor de los datos dentro de los servidores que forman el Cloud.

Durante este tránsito de información hay que vigilar que no haya pérdidas de

información, los datos dejen de estar disponibles durante un tiempo o los datos

puedan estar interceptados como en el riesgo 6.

8. Eliminar los datos de una forma insegura o ineficaz. La información se almacena

en dispositivos hardware, estos datos pueden reubicarse a lo largo de su vida

útil, pasando por diferentes dispositivos. Si estos dispositivos no se tratan de

forma correcta los datos pueden estar disponibles más tiempo que el

especificado en la política de seguridad. Lo mismo podría ocurrir si se quiere

suprimir los datos de forma definitiva, sería necesario especificar procedimientos

especiales para que esos datos fuesen eliminados completamente.

9. Distribución de Denegación de Servicio (DDoS)1. Este tipo de riesgo siempre está

presente en servicios que se encuentran en la red y por lo tanto también en los

entornos Cloud.

10. Denegación Económica de servicio (EDoS)2. El dinamismo de los entornos Cloud

a la hora de asignar los recursos que son necesarios implica un cambio en el

coste de servicio. Un ataque de tipo EDoS, es cuando el cliente no puede hacer

frente al gasto extra que supone que supone esa ampliación de los recursos que

necesita. Los ataques de EDoS destruyen los recursos económicos; el peor

escenario sería la quiebra del cliente o un impacto económico grave.

1 DDoS: Ataque Distribuido de Denegación de Servicio (Distributed Denial of Service)

2 EDoS: Denegación Económica de Servicio (Economical Denial of Service)


25

11. Perdidas de las claves de codificación. Divulgación de las claves secretas (SSL,

codificación de archivos, etc.) o las contraseñas, la pérdida o corrupción de

dichas claves o su uso indebido para la autentificación y el no repudio.

12. Riesgos derivados del cambio de jurisdicción. Los datos de los clientes pueden

albergarse en múltiples jurisdicciones, que pueden ser de alto riesgo o no

cumplan las políticas de la empresa. Es decir, que si los datos están ubicados en

países de alto riesgo en los que no impera un estado de derecho o no respetan

los acuerdos internacionales, los datos o sistemas podrían ser divulgados o

confiscados por la fuerza. Lo que pondría en compromiso la confidencialidad de

los datos.

13. Riesgos de la protección de datos. Los entornos Cloud presentan riesgos para la

protección de datos tanto para los clientes como para los proveedores del Cloud.

Puede resultar costoso para los clientes comprobar que el procesamiento de

datos que lleva a cabo el proveedor se hace de forma conforme con la ley. El

cliente es el responsable del procesamiento de esos datos personales, aunque el

servicio lo preste un proveedor de Cloud.

14. Riesgos relativos a la licencia. Las condiciones con los que se adquieren las

licencias para trabajar en los programas en las maquinas físicas, pueden no ser

válidas cuando se trata de servicios en la nube o tengan unos costes mucho más

elevados.

15. Brechas en la red. En el caso de que el servicio de la nube tenga un fallo, son

muchos los usuarios que se ven afectados por ese fallo simultáneamente.

16. Gestión de la red. Es uno de los puntos más importantes que hay que controlar,

tanto la configuración como la monitorización. Una red congestionada o con

fallos, da lugar al que el servicio Cloud no se ofrezca de la forma correcta.

17. Modificación del tráfico de la red.

18. Escalada de privilegios. Al encontrarse los usuarios compartiendo los datos en el

mismo servidor de Cloud, una mala asignación de los permisos a los usuarios

podría dar a que los usuarios puedan acceder a datos a los que no tienen

privilegios.

19. Ataques de ingeniería social (suplantación). Este tipo de ataques consiste en

obtener información confidencial a través de la manipulación de usuarios

legítimos.


26

20. Pérdida o robo de las copias de seguridad.

21. Acceso no autorizado a los locales. Los proveedores de la nube suelen

concentrar grandes centros de datos, por lo que requieran de un mayor número

de personas que tengan que acceder físicamente a ellos, comprometiendo la

seguridad de los mismos.

22. Robo de equipos informáticos.

23. Catástrofes Naturales. Es un riesgo que hay que tener siempre en cuenta cuando

se habla de equipos informáticos y que se tienen que encontrar en un lugar

seguro.

24. Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud.

25. Desafíos de Cumplimiento. El proveedor de Cloud no es capaz de demostrar que

cumple los requisitos acordados.

2.4.4.1 CLASIFICACIÓN DEL RIESGO

Una vez presentados los riesgos es necesario valorar los mismos. Para ello se tomará

como base la tabla definida en el apartado 2.3. A través de la valoración de la

probabilidad de ocurrencia así como del impacto que podría causar el riesgo en caso de

materializarse, obtendremos un nivel final para cada uno de los riesgos previamente

identificados. Esta valoración se ha realizado según el documento “Cloud Computing -

Benefits, risks and recommendations for information security” [8] donde se detalla una

descripción de las vulnerabilidades y los activos que se ven afectados para cada riesgo.

A continuación se detalla la valoración final para cada uno de los riesgos identificados en

el apartado 3.1.4.

CLOUD COMPUTING

VALORACIÓN RIESGOS

ID Riesgo Probabilidad Impacto Valoración

Riesgo

1 Pérdida del gobierno de los datos 4 4 8

2 Adquisición del proveedor del Cloud N/A 2 2

3 Error o cancelación del servicio en la nube N/A 4 4

4 Falta de recursos de la nube 1 2 3


27

CLOUD COMPUTING

VALORACIÓN RIESGOS


Riesgo

5 Proveedor del Cloud malicioso con abuso de sus

altos privilegios 2 4 6

6 Interceptar datos en la subida o bajada de la

información 2 3 5

7 Fugas de información en los movimientos de

datos dentro del entorno Cloud 2 3 5

8 Eliminar los datos de una forma insegura o

ineficaz 2 4 6

9 Distribución de Denegación de Servicio (DDoS) 2 1 3

10 Denegación económica de servicio (EdoS) 1 3 4

11 Perdidas de las claves de codificación 1 3 4

12 Riesgos derivados del cambio de jurisdicción 4 3 7

13 Riesgos de la protección de datos 3 3 6

14 Riesgos relativos a la licencia 2 2 4

15 Brechas en la red 1 4 5

16 Gestión de la red 2 4 6

17 Modificación del tráfico de la red 1 3 4

18 Escalada de privilegios 1 3 4

19 Ataques de ingeniería social (suplantación) 2 3 5

20 Pérdida o robo de las copias de seguridad 1 3 4

21 Acceso no autorizado a los locales 0 3 3

22 Robo de equipos informáticos 0 3 3

23 Catástrofes Naturales 0 3 3

24 Conflictos entre los usuarios en el

endurecimiento de las políticas del Cloud 1 2 3

25 Desafíos de Cumplimiento 4 3 7

Tabla 8: Valoración de los Riesgos Cloud Computing


28

2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE)

2.5.1 INTRODUCCIÓN AL BYOD

El término BYOD (Bring Your Own Device) procede del concepto de “consumerización”

[12]3. Dicho concepto hace referencia a la tendencia creciente de las tecnologías de la

información para emerger en el mercado de consumo y propagarse a empresas y

organizaciones gubernamentales.

Así pues, BYOD es un efecto lateral de la consumerización, pues consiste en que los

trabajadores de la organización llevan al trabajo sus propios dispositivos móviles con sus

datos, aplicaciones y sus espacios de trabajo (unificando el uso personal con el laboral).

Actualmente BYOD no sólo hace referencia a los dispositivos electrónicos en sí

(smartphones, tablets, portátiles), sino también a servicios web, redes sociales (desde

Facebook a Dropbox) y servicios de correo electrónico.

Dejando de lado los tipos de negocios de cada empresa y casos particulares, las ventajas

para las empresas vienen dadas directamente de las que reciben sus empleados. Al

utilizar estos sus propios dispositivos para trabajar, estos utilizan un entorno tecnológico

al cual ya están acostumbrados y que llevan consigo en todo momento, pudiendo así

responder rápidamente ante cualquier situación que se presente, resultando de esta

forma más cómodo para el trabajador realizar sus tareas.

La razón por la que muchas empresas están adoptando el fenómeno BYOD es simple, y

siempre la misma: se mejora la productividad de los empleados, ya que utilizan sus

propios dispositivos, con los que están familiarizados, y se reducen costes al no tener

que adquirir dichos dispositivos. No obstante, las herramientas de Cloud Computing

permiten que la empresa pueda ofrecer el mismo acceso al empleado, sin importar qué

dispositivo utilice, facilitando a su vez el manejo y la seguridad de la información, sin ser

necesario que cada dispositivo aloje la información sensible de la empresa para poder

trabajar con ella.

También es cierto que el BYOD no está exento de riesgos ya que al utilizar dispositivos

propios para acceder a redes corporativas, se usa un software que puede no ser el

recomendado por la empresa. El comportamiento de los empleados puede llegar a

escaparse del control del departamento de TI. Estas redes corporativas contienen

información muy importante para las empresas y su seguridad es una prioridad, por lo

que es necesario asegurar la seguridad de los sistemas desde dentro, logrando que todo

el entorno esté altamente protegido, sin importar desde dónde se haga el acceso a la

información.

3 [12] A. Scarfo, “New Security Perspectives around BYOD,” in Broadband, Wireless Computing,

Communication and Applications (BWCCA), 2012 Seventh International Conference on , 2012, pp. 446–451.


29

Que los empleados utilicen sus propios dispositivos para el trabajo es algo que debe

estar controlado en todo momento [13]4. La implantación de esta tendencia debe estar

muy bien planificada, por ello se debe conocer y entender las necesidades de los

empleados, valorando la practicidad y efectividad de implementar un plan de BYOD.

Actualmente, la posición de las empresas respecto a esta tendencia es muy dispar [14]5.

Existen casos distantes en los cuales se considera que la adopción del BYOD supone una

fuente de riesgo y un desembolso que supera al retorno ofrecido, en estos casos se

deriva del concepto de “Bring Your Own Device” el concepto de “Bring Your Own

Disaster”. Otras en cambio, han decido restringir BYOD a ciertos entornos corporativos y

dispositivos, limitando el alcance y el acceso sobre la información sobre grupos

específicos tales como la dirección. La tercera postura, es la de permitir el acceso a la

información desde cualquier dispositivo a cualquier empleado. Esta posición exige unas

medidas de seguridad muy estrictas.

Imagen 9: Restricciones BYOD

Es por ello que la adaptación de esta tendencia trae consigo un cambio en el paradigma

de gestión de la seguridad de la información en las empresas, ya que abarca una amplia

variedad de dispositivos, aplicaciones y sistemas operativos que deben manejarse. Sea

cual sea la opción seleccionada, la empresa siempre debe tener el control de su

información y la traza de la misma nunca debe perderse.

4 [13] K. W. Miller, J. Voas, and G. F. Hurlburt, “BYOD: Security and Privacy Considerations,” IT

Professional, vol. 14, no. 5, pp. 53–55, 2012. 5 [14] “Cisco Study: IT Saying Yes To BYOD.” 16-May-2012.


30

2.5.2 PRINCIPALES RETOS DEL BYOD

2.5.2.1 GESTIÓN DE RIESGOS

Un punto muy importante a la hora de garantizar la seguridad de la información de una

empresa es una adecuada gestión de los riesgos. Para ello necesitamos conocer los

activos de información con que cuenta la empresa. Los análisis de riesgos parten de

clasificarlos activos según su sensibilidad, qué niveles de protección requieren, qué

información puede y debe ser accesible para el entorno laboral y a cual se le debe

restringir el acceso.

A partir de este análisis se llega a establecer qué medidas de control son las más

adecuadas para garantizar la seguridad de información, que van desde dispositivos o

medidas tecnológicas como por ejemplo soluciones antivirus, DLP, VPN, Firewall, IDS,

IPS, entre otros, hasta el establecimiento de políticas para la gestión de los dispositivos,

donde se determina qué tipo de dispositivos y aplicaciones es posible utilizar por los

empleados.

2.5.2.2 TELETRABAJO

Al ser posible el manejo de la información laboral en dispositivos personales, otras

oportunidades como la posibilidad de trabajar desde cualquier lugar en cualquier

momento (movilidad persistente) tienen un impulso importante. Este tipo de

oportunidades hace que las empresas consideren en sus análisis de riesgos implicaciones

legales que pudieran llegar a tener. Por ejemplo, que el empleado utilice sistemas

operativos o aplicaciones no licenciadas para la manipulación de la información laboral.

Este tipo de tendencia fomenta una conexión constante con el ámbito laboral

garantizando así un compromiso mayor por parte de los empleados con el desempeño

de las actividades laborales, además de promover la comodidad y libertad de éstos. Esto

alimenta la satisfacción de los empleados con respecto a sus obligaciones aumentando

la relación entre lo lúdico y lo profesional.

2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN

Si el empleado manipula la información de la empresa en su dispositivo, debe estar claro

cuál será la disposición de la misma una vez terminada la relación contractual, debido a

que es muy complicado tener la seguridad de que esta información será eliminada. Es

necesario tener siempre presente que este tipo de información se puede descargar y

manipular desde dispositivos personales. Además, aspectos contractuales como la firma

de acuerdos de confidencialidad se hacen indispensables para actuar en caso de que la

información sea expuesta. Son comunes casos donde se firman políticas en las cuales se

adquiere el compromiso de que en caso de fin contractual y/o robo del dispositivo, el

empleado acepta que dicho dispositivo sea borrado por completo, perdiendo toda la

información de carácter personal que pudiera contener.


31

2.5.2.4 GESTIÓN DE APLICACIONES

Uno de los retos más importantes para las empresas es la gran diversidad de

aplicaciones que un empleado pudiera llegar a tener instalado en sus dispositivos. El

desafío para las empresas, radica entonces en asegurar que los dispositivos de los

empleados usados para acceder a la información laboral no utilicen aplicaciones que

puedan poner en peligro la integridad de dicha información.

Al mismo tiempo es necesario que la empresa diferencie el uso de sus recursos por parte

de los empleados a través de sus dispositivos personales. En estos casos la gestión de los

recursos de red es básica para impedir la intrusión ilegal en los sistemas de la empresa.

Queda muy claro en este punto que cuando se habla de BYOD se hace referencia a una

tendencia consolidada y ante la cual las empresas deben tomar una posición al respecto.

La implantación de esta tendencia puede traer grandes beneficios a la empresa,

relacionados a la reducción de gastos en infraestructura, la comodidad de los

empleados para el manejo de la información y por lo tanto un aumento en la

productividad, pero a su vez, enfrentan nuevas amenazas que deben ser gestionadas.

Para hacer frente a estos retos, las empresas deben de establecer una mezcla entre

políticas claras para el manejo y control de la información y el uso de herramientas y

tecnologías adecuadas que permitan gestionar la seguridad de la información en todo

momento. Todo esto debería estar alineado con los objetivos del negocio, pues

cualquier decisión que se tome debe estar enfocada en aumentar la productividad y

hacer más ágiles y seguros los procesos internos. Además, se debe complementar con

un adecuado plan de divulgación y educación para todos los niveles de la organización,

logrando así el conocimiento de las restricciones y el correcto manejo de la información

para garantizar la efectividad del trabajo realizado.

2.5.2.5 GESTIÓN DE AUTORIZACIONES

Las empresas deben establecer un criterio firme para decidir que usuarios están

autorizados a utilizar dispositivos personales. Estas necesidades suelen darse en forma

de peticiones de los empleados, como requisitos para ciertos ámbitos o funciones

concretas, como respuesta ante posibles riesgos o bien, de forma genérica, como

combinación de todas o algunas de las anteriores.

2.5.2.6 DISPOSITIVOS PERMITIDOS

En situaciones en las cuales las aplicaciones se instalan sobre los dispositivos, se deben

establecer especificaciones en cuanto al tipo de soporte sobre el sistema operativo,

aplicaciones, rendimientos u otros posibles criterios. Soluciones como la virtualización

suelen eliminar estas consideraciones en tanto en cuanto se puede acceder a cualquier

puesto de trabajo desde cualquier dispositivo.


32

2.5.2.7 DISPONIBILIDAD DE SERVICIOS

BYOD no tiene por qué tratarse de una tendencia en la cual decidamos permitir/no

permitir el acceso a todos/ningún dispositivo. Soluciones intermedias suelen ser las más

adecuadas. Para ello, se deben pensar qué servicios específicos se van a poner al servicio

de BYOD y sobre que grupos/tipos de usuarios y dispositivos se va a aplicar, además de

consideraciones relativas al conjunto de la red disponible.

2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE

Una vez diseñado el plan de actuación e implantación del nuevo paradigma de TI, la

comunicación resulta vital para su correcta aplicación. Se deben hacer llegar

instrucciones detalladas a los empleados para comunicarles el nuevo sistema así como

las condiciones bajo las cuales se llevará a cabo. Se deben transmitir las

responsabilidades que implican el uso de dispositivos personales y los riesgos asociados

a los mismos. Las políticas de uso de la información deberían s er uniformes tanto para

dispositivos BYOD como para sistemas corporativos.

2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO

Como ya se ha introducido, una de las principales ventajas del BYOD es la reducción de

costes haciendo que los usuarios compartan o asuman en su totalidad los costes

derivados de los dispositivos móviles evitando que el departamento de TI cargue con la

responsabilidad de aprovisionar, mantener y renovar dichos sistemas.

Una política adecuada de BOYD debe especificar claramente cómo se llevarán a cabo y

quien deberá hacerse cargo de los costes asociados a intervenciones de soporte y

mantenimiento. En el proceso de sustitución de un dispositivo corporativo por uno

personal, se puede esperar que el soporte lo proporcione la entidad corporativa. Es por

ello que se deben especificar claramente las condiciones con el fin de que la carga de

trabajo sobre los departamentos de sistemas y/o TI no aumente de manera exponencial.

2.5.2.10 SEGURIDAD Y CONFORMIDAD

En situaciones concretas donde la información necesite estar presente en los

dispositivos personales (por ejemplo peticiones de la dirección) los datos pueden ser

protegidos por mecanismos de aislamiento tales como cifrado o borrado/desactivación a

distancia en caso de pérdida o extravío. Para evitar extracciones indebidas, pueden ser

deshabilitados medios de impresión o de almacenamiento locales como unidades USB.

En los casos en los cuales se utilizan sistemas gestionados, los departamentos

responsables administran directamente los dispositivos BYOD, incluyendo la validación,

autorización y acceso a los recursos. El coste de esta solución no solo se multiplica sino

que además es proporcional al crecimiento de la entidad.


33

2.5.3 DOCUMENTACIÓN DE REFERENCIA

Por ser un fenómeno reciente, apenas podemos encontrar marcos de referencia para

este nuevo paradigma/modelo. Sin embargo sí que existen bastantes políticas definidas

y aplicaciones de gestión de los dispositivos diseñadas por diferentes empresas.

Igualmente en el ámbito de la investigación se pueden encontrar distintas guías para

definir un buen plan de gestión de la seguridad en lo que a BYOD se refiere. A

continuación se presentan algunas de las soluciones más representativas:

2.5.3.1 CISCO

Cisco Bring Your Own Device (BYOD) Smart Solution Design Guide [15] es el nombre de la

solución que ofrece Cisco y, posiblemente, es una de las guías más extensas y completas

a fecha actual para mejorar la seguridad en entornos BYOD. En su última revisión, a

fecha actual, data del 20 diciembre del 2012 y en ella presenta la base de BYOD Smart

Solution 1.0 [16] de Cisco. Dicha solución inteligente es un enfoque integral a BYOD que

incluye una guía de diseño validada, servicios profesionales y soporte, un plan de

auditoría integrado y un enfoque modular que sigue los casos de uso definidos en el

diseño validado.

La guía puede consultarse on-line o bien ser descargada en formato .pdf, y en ella se

presentan los siguientes puntos:

Descripción de la solución

o BYOD Smart Solution 1.0 de Cisco

o Controladores del negocio

o Desafíos para organizaciones de TI

o Desafíos para los usuarios finales

o Consideraciones previas a la adopción de BYOD

Diseño general

o Componentes de la solución de Cisco

Entre los que se encuentran: Cisco Access Points, Cisco Wireless Controller, Cisco

Identity Services Engine, Cisco Adaptive Security Appliance, Cisco AnyConnect

Client, Cisco Integrated Services Routers, Cisco Aggregation Services Routers,

Cisco Catalyst Switches y Cisco Prime Infrastructure.

o Acceso seguro a la red corporativa

o Casos de Uso BYOD cubiertos en la guía

o Diseño de una WAN (Wide Area Network) ramificada

o Diseño ramificado de red

o Alta disponibilidad del controlador de red inalámbrica

o Consideraciones de la aplicación

o Requisitos de licencias para una solución BYOD


34

Configurando la infraestructura

o Infraestructura inalámbrica

o ISE (Identity Services Engine)

En el que se explica la necesidad del uso de certificados de identidad, cómo

integrar ISE con Active Directory, el funcionamiento de los portales de registro de

invitados, políticas de autenticación, políticas de autenticación inalámbricas,

cableadas y de dispositivos remotos así como políticas de autorización.

o CAS (Certificate Authority Server)

o Diseño de la infraestructura cableada

Acceso BYOD mejorado

o Identificación de grupos y Active Directory

o Distribución de Certificados Digitales

o Aprovisionamiento de dispositivos móviles

o Flujos de aprovisionamiento

o Almacenamiento de la clave y del certificado

o Perfiles de autorización para dispositivos inalámbricos (acceso total, parcial o

sólo Internet)

o Perfiles de autorización para dispositivos cableados (acceso total, parcial o

sólo Internet)

o Dispositivos Android y perfil de denegación de acceso

o Experiencia de usuario

Acceso BYOD limitado

o Grupos de identidades, Active Directory, y listas blancas

o Dispositivos corporativos (acceso completo)

o Perfiles de autorización para usuarios inalámbricos

o Perfiles de autorización para usuarios cableados

Acceso inalámbrico BYOD como invitado

o Direccionamiento IP y DNS

o Autenticación and Autorización

o Acceso inalámbrico a invitados en la ramificación de red

Diseño de acceso básico

o Extender el acceso inalámbrico de invitados a los dispositivos personales de

los empleados.

o Desarrollar accesos inalámbricos similares a los de invitado para los

dispositivos personales de los empleados

o Accediendo a los recursos corporativos

Acceso de dispositivos remotos

o Componentes de la solución:

o Dispositivos Windows conectándose a la red de forma remota

o Dispositivos iOS conectándose a la red de forma remota


35

Gestión de dispositivos perdidos o robados

o Grupo de identidades en lista negra

o Portal “mis dispositivos”

o Introducción en lista negra de dispositivos manualmente

o Endpoint Protection Services (EPS)

o Revocación de certificados digitales

o Desabilitar tokens RSA SecurID

Gestión de red BYOD

o Acrónimos y terminología

o Infraestructura general Cisco Prime

o Infraestructura Prime y componentes de soporte

o Rastreo de usuarios y dispositivos BYOD

o Configuración BYOD basada en plantilla

Consideraciones de escalabilidad

o Despliegue distribuido ISE

o ISE y balanceo de carga

o Configuración de balanceo de carga en PSN y ACE

o Archivos de configuración para ACE

o Cumplimiento de políticas

Y finalmente tres apéndices, entre los que podemos encontrar una tabla de políticas

junto con las explicaciones y configuraciones para cada una de ellas en detalle.

2.5.3.2 GARTNER

Gartner for IT Leaders Tool – Template for Mobile Device Policy and Procedures for

Personally Owned Devices: BOYD Program [17] es una guía de referencia plasmada en

una plantilla y desarrollada por el grupo de expertos de Gartner en Junio del 2012 a fin

de:

Ayudar a los clientes a resolver la amplia gama de cuestiones sobre políticas y

procedimientos relacionados con el uso de dispositivos móviles .

Proporcionar opciones para las políticas y los procedimientos basados en el

conocimiento de Gartner sobre dispositivos móviles

Proporcionar un lenguaje que pueda ser adoptado directamente (o fácilmente

adaptado) en los documentos de políticas de la organización.

Igualmente hacen hincapié en que se trata de una plantilla y que muchas de las políticas

o aspectos considerados pueden no tener sentido en algunos casos, o incluso puede ser

necesario ampliarlos en otros.

Antecedentes de las políticas y contexto

Definiciones (de elementos del contexto)


36

Alcance

o Papeles y responsabilidades del usuario

Responsabilidades del usuario

Condiciones

Pérdida o robo

Aplicaciones y descargas

Copias de seguridad, intercambio de ficheros o sincronización

Funcionalidad y gestión de las características

o Seguridad del usuario

o Seguridad de los datos y del sistema

o Sanciones

Soporte para BYOD

o Guías de reembolso

o Descuentos de la organización

Proceso de soporte técnico

o Cómo obtener soporte

o Garantía y responsabilidad de reemplazo

Miscelánea

o Finalización de empleo (contrato)

o Excepciones

o Descubrimiento electrónico del dispositivo

Otros documentos relacionados

Acuerdo del usuario

Además de estos puntos principales a tener en cuenta, se presentan cinco anexos:

Directrices para la elegibilidad

Dispositivos y plataformas elegibles

Criterios de seguridad para dispositivos móviles de propiedad privada

Estipendios para los empleados elegibles

Software y servicios reembolsables


37

2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD

Una guía concisa y básica inferida por NoticeBored en base a las políticas definidas en la

ISO 27001 [18]. Al igual que en el caso anterior (Gartner), recomiendan personalizar los

distintos apartados de la plantilla, indicando que lo que proponen no es suficiente en

todos los casos, y que se trata de algo genérico derivado del conocimiento de las buenas

prácticas de seguridad y las normas internacionales, no de los casos específicos de cada

empresa u organización.

La plantilla proporcionada sigue la siguiente estructura:

Resumen de las políticas

Aplicabilidad

Detalle de las políticas

o Antecedentes

o Axiomas de la política (principios orientadores)

o Requisitos detallados de la política

Responsabilidades

o Gestión de la seguridad de la información

o Departamento de TI

o Soporte técnico

o Empleados relevantes

o Auditoría interna

Políticas relacionadas, estándares, procedimientos y guías .

2.5.4 CERTIFICACIONES

El número de certificaciones para BYOD es bastante escaso puesto que, al ser una

tendencia tan novedosa y al haber tanta heterogeneidad entre tecnologías y

dispositivos, no se han definido apenas certificaciones. Las dos certificaciones principales

son las de Aruba Networks y Cisco Systems.

2.5.4.1 ARUBA NETWORKS

Aruba Networks han sido los primeros en disponer de una certificación [19]6 para

comunicación en entornos BYOD, la cual incluye diseño de redes inalámbricas, seguridad

de red y gestión de dispositivos móviles y aplicaciones.

Además de la certificación, han desarrollado un sistema (ClearPass) [20]7 para gestionar

las políticas de forma centralizada de forma que los usuarios no tengan que llevar

software adicional en sus dispositivos ni sea necesario cambiar la red existente.

6 [19] “Aruba Certified Solutions Professional (ACSP).”

7 [20] “Aruba Networks - BYOD Solution (ClearPass).”


38

Los distintos cursos/exámenes que debe superar un candidato para obtener la

certificación son los siguientes:

Aruba Certified Solutions Professional (ACSP): cubre el diseño de redes

inalámbricas, el aprovisionamiento de dispositivos, la gestión de aplicaciones y la

seguridad de red. La certificación cubre también el despliegue de voz y vídeo

sobre redes inalámbricas en los dispositivos móviles.

Aruba Certified Mobility Associate (ACMA): conocimiento técnico sobre el

despliegue de redes WLAN en entornos empresariales con un único controlador

de movilidad.

Aruba Certified Mobility Professional (ACMP): complementa al anterior,

presentando configuraciones más complejas de WLANs en entornos con

múltiples controladores de movilidad.

Aruba Certified ClearPass Professional (ACCP): certificación que verifica el

conocimiento y capacidad para administrar los módulos de ClearPass

correspondientes a la gestión de políticas y al sistema de invitados.

Aruba Wireless Mesh Professional (AWMP): certificación que valida la habilidad

de diseñar y desplegar redes inalámbricas de exterior.

Aruba Certified Design Expert (ACDX): valida la habilidad técnica para diseñar

grandes redes inalámbricas, como la de un campus o redes de gran cobertura. Se

requiere tener la certificación ACMP obtener ésta.

Aruba Certified Mobility Expert (ACMX): prueba la experiencia técnica en

implementar y solucionar problemas en grandes redes inalámbricas. Al igual que

en el caso anterior, es necesario disponer previamente de ACMP.

Es necesario renovar las anteriores certificaciones cada tres años.

2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING

Al igual que Aruba Networks, Cisco ha desarrollado su propia aplicación de gestión para

aplicar en entornos BYOD (Cisco Unified Access Solution). En su certificación [21]8 no sólo

enseñan a utilizar dicha herramienta sino que analizan los diversos factores que

intervienen en la seguridad de este tipo de entornos, entre los que se encuentra el nivel

de acceso permitido a la red corporativa.

8 [21] “Bring Your Own Device (BYOD) Cisco Training.”


39

Limitado Básico Avanzado Completo

El entorno requiere controles ajustados

Acceso básico para dispositivos adicionales

Cualquier dispositivo, en cualquier lugar.

Seguridad mejorada

Cualquier dispositivo, en cualquier lugar para cualquier persona

Dispositivos elegidos por el depto. de TI

Dispositivos gestionados por el depto. de TI y con acceso

restringido desde el sitio

Todos los demás dispositivos prohibidos

Rango más amplio de dispositivos

Dispositivos gestionados por el depto. de TI y con acceso

restringido desde el sitio

Dispositivos de los empleados e invitados

únicamente con acceso a Internet

Amplio rango de dispositivos

Dispositivos corporativos y de empleados con acceso completo desde dentro y

fuera del sitio

Seguridad desde el lado del dispositivo

Dispositivos invitados únicamente con acceso a

Internet

Amplio rango de dispositivos

Dispositivos corporativos y de empleados con acceso completo desde dentro y

fuera del sitio

Seguridad desde el lado del dispositivo

Dispositivos de invitados y clientes con servicios

extendidos

Aplicaciones personalizadas nativas

Imagen 10: Aspectos a tener en cuenta en base al nivel de acceso permitido a la red

Como se puede observar en la ilustración anterior, los niveles que Cisco identifican en

cuanto al nivel de acceso y control sobre la red son los siguientes (de menos a más

restrictivo): Limitado, básico, avanzado y adherido. Indicándose cómo es el entorno en

cada uno de los casos y en qué medidas se traducen cada uno de ellos. La plataforma

Cisco Unified Access Solution se compone de tres pilares principales para los cuales

existen diferentes cursos:

One Policy: Consistent policy for all access methods - Cisco Identity Services Engine

Cisco proporciona una plataforma única con ejecución distribuida de políticas mediante

Cisco Identity Services Engine (ISE), un potente motor sensible al contexto de las políticas

que establece las políticas de seguridad y control basado en el contexto de la

información de entrada, incluyendo usuario, el dispositivo, la ubicación, la hora y

aplicaciones. Sobre ISE se dan los siguientes cursos:

SCBYOD - Selling Cisco Bring-Your-Own Device (BYOD). Con un día de duración, el

objetivo del curso es identificar y analizar hasta qué punto es viable la aplicación

de la plataforma Cisco.

ISEATPSE - ISE ATP Training for SE's. Con un día de duración, se centra en el

entendimiento de las necesidades de la organización y diseñar una solución ISE

que reúna los requisitos y expectativas necesarios.

ISEADMIN - ISE for Security Administrators. Se trata de un curso para ingenieros

involucrados en el día a día de la administración de un despliegue ISE. Su

duración es de dos días.


40

One Management: Single-pane-of-glass console for managing wired and wireless

networks

Cisco ofrece una suite centralizada de gestión con la capacidad de centrarse en la

experiencia de conectividad del usuario o dispositivo final, independiente del método de

acceso. Los cursos asociados son:

WMNGI - Managing Cisco Wireless LANs. Este curso, con tres días de duración, se

centra en las herramientas Cisco Unified Wireless Network Management, y está

diseñado para los ingenieros con los conocimientos y habilidades necesarias a fin

de que puedan configurar, administrar, gestionar, resolver y optimizar la red con

Cisco NCS Prime.

CWLMS - Implementing CiscoWorks LMS. Este curso de cinco días de duración

está diseñado para proporcionar el conocimiento necesario para gsetionar la red

utilizando la solución de gestión CiscoWorks/Cisco Prime LAN (LMS).

One Network: Unified wired, wireless, and remote access network

El uso de tecnología Cisco en el diseño de red permite diseñar arquitecturas de red

resistentes y avanzadas. A fin de configurar y trabajar con el equipamiento Cisco de

forma homogénea en este tipo de redes, se pueden realizar cursos específicos sobre

routing y switching, seguridad inalámbrica y seguridad cableada entre otros.

2.5.5 RIESGOS DE BYOD

En función de la relevancia de las áreas de impacto, los riesgos han sido c lasificados en

los siguientes grupos:

Costes.

Reglamentación.

Confidencialidad, integridad, disponibilidad y privacidad de los datos.

Esta clasificación se ha realizado tomando como base la información facilitada por Enisa

en su publicación “Consumerization of IT - Top Risks and Opportunities” [22].

2.5.5.1 RIESGOS ECONOMICOS

1. Desprestigio de la imagen de la organización: Este riesgo hace referencia a la

pérdida de valor de la organización por el desprestigio de su imagen, que puede

ser consecuencia del uso indebido de servicios de TI, tales como Cloud

Computing, redes sociales y software o aplicaciones instaladas en dispositivos

móviles. Los usuarios pueden descuidar las políticas de seguridad y transferir

información fuera de la empresa, lo que podría permitir el acceso a personas no

autorizadas. Por otra parte, el riesgo puede surgir a través del intercambio de

dispositivos o cuando un individuo obtiene acceso malicioso físico al dispositivo


41

mediante el uso de un ataque de ingeniería social. Cualquier daño a la imagen de

la organización o pérdida de reputación puede causar costes significativos.

2. Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y

tecnologías: El resultado de este riesgo podría ser que, en vez de lograr la

reducción de costes a través de la implementación de BYOD como se supuso

inicialmente, las empresas se vean obligadas a invertir más de lo que

inicialmente se planificó al ser necesario incrementar los recursos para lograr una

correcta administración y gestión del entorno y los dispositivos asociados.

Además, el aumento de costes podría deberse también a:

Inversiones adicionales para alcanzar el nivel deseado de protección y

cumplimiento.

Soporte y formación para empleados.

Revisión continua de las políticas

3. Pérdida y robo de dispositivos: Un mayor uso de los dispositivos móviles podría

incrementar el número de incidentes derivados de pérdidas o robos. Esto

implicaría una mayor inversión en la reposición de los materiales y recuperación

de datos asociados además de poner en riesgo el valor de la empresa si el

dispositivo contiene información importante de la organización

4. Gastos adicionales en recursos y dispositivos de seguridad: BYOD supone un

cambio significativo en cuanto a la arquitectura de seguridad empleada en las

empresas. Como ya se ha comentado, se trata de un nuevo paradigma en el cual

se abandona la seguridad perimetral tradicional, pasando a implantar nuevos

sistemas de seguridad inteligentes y dinámicos capaces de adaptarse a cada uno

de los nuevos dispositivos. También implica el desarrollo de unas políticas

equilibradas que sean permisivas a nuevos dispositivos pero a la vez estrictas

para asegurar la seguridad de nuestras redes corporativas. Finalmente, serán

necesarias inversiones en cuanto a formación, educación y concienciación a los

empleados.

2.5.5.2 RIESGOS RELACIONADOS CON LEYES Y REGULACIONES

5. Pérdida de control sobre dispositivos personales de los empleados: Al tratarse

de dispositivos cuya propiedad es del empleado, deben establecerse los

acuerdos necesarios que aseguren la capacidad de actuación de la empresa

sobre los dispositivos en caso de incidentes. Se trata de dispositivos que no son

propiedad de la organización, por lo que se debe tener el consentimiento

explícito del empleado para poder actuar sobre los mismos. Se hacen

imprescindibles los Acuerdos de Nivel de Servicio (ANS).


42

6. Cumplimiento de la Ley Orgánica de Protección de Datos: Por otra parte,

cumplir con la Ley Orgánica de Protección de Datos (LOPD) puede ser un

obstáculo si no se tiene la traza completa de la información en cada momento.

De materializarse este riesgo, podría dar lugar a una pérdida de reputación

importante de la empresa.

7. Pérdida de privacidad: El riesgo de no ser capaz de discriminar entre los datos de

usuario y los datos de la empresa almacenados en dispositivos puede dar lugar a

intervenciones indebidas de las empresas en la vida privada y la propiedad de los

empleados. Asimismo, riesgos derivados de la liberación accidental de datos

personales también pueden surgir. Es por ello que se debe poder distinguir en

cada momento entre los datos de carácter personal y los datos corporativos.

2.5.5.3 RIESGOS EN LOS DATOS

8. Pérdida de datos corporativos: Posible pérdida de datos corporativos como

resultado de la distribución no autorizada de la información entre los diferentes

dispositivos de los empleados. Esta información podría llegar a manos de

terceros ajenos a la empresa y cuyo comportamiento sobre la misma ponga en

peligro tanto la integridad como la confidencialidad de la misma.

9. Diversidad de software de consumo: la pérdida de datos puede producirse

debido a vulnerabilidades presentes en las aplicaciones y servicios que se

ejecutan en los dispositivos. Es imprescindible definir un conjunto de políticas,

herramientas y/o software seguro para las distintas necesidades de los

empleados.

10. Intrusiones en la red corporativa: La apertura del perímetro de seguridad para

dar cabida a las necesidades de consumerización9 podría generar un riesgo alto

de intrusiones en la red de personal no autorizado.

11. Aumento del alcance de los vectores de ataque: Al aumentar el número de

dispositivos asociados a la empresa, aumentan también los focos sobre los cuales

podrían centrarse ataques cibernéticos para la adquisición de información

confidencial y privada de la compañía.

9 [22] “Consumerization of IT - Top Risks and Opportunities.pdf.” ENISA


43

2.5.5.4 CLASIFICACIÓN DEL RIESGO

En esta sección se valoran cada uno de los riesgos identificados en BYOD. Al igual que se

hizo en el apartado 2.4.4.1 para los entornos Cloud Computing, a través de la

probabilidad de ocurrencia del riesgo y del impacto del mismo sobre nuestra

organización, obtendremos una valoración final que nos permite conocer cuan de alto es

el riesgo al que los activos de nuestra organización se ven expuestos. Para obtener más

información acerca del criterio establecido para dicha clasificación, puede consultarse la

sección 2.3.

Esta valoración se ha realizado según el documento “Consumerization of IT - Top Risks

and Opportunities” [22] donde se identifican las qué áreas deben ser evaluadas y los

riesgos asociados. En la siguiente tabla se muestra el resultado de la valoración asignada

a cada uno de los riesgos descritos anteriormente.


VALORACIÓN RIESGOS


Riesgo

1 Desprestigio de imagen de la organización 2 3 5

2 Aumento en la complejidad de los dispositivos, sistemas,

aplicaciones y tecnologías 2 2 4

3 Pérdida y robo de dispositivos 1 1 2

4 Gastos adicionales en recursos y dispositivos de seguridad 2 2 4

5 Pérdida de control sobre dispositivos personales de los

empleados 3 2 5

6 Cumplimiento la Ley Orgánica de Protección de Datos 3 3 6

7 Pérdida de privacidad 2 2 4

8 Pérdida de datos corporativos 3 3 6

9 Diversidad de software de consumo 2 3 5

10 Intrusiones en la red corporativa 1 3 4

11 Aumento del alcance de los vectores de ataque 2 2 4

Tabla 9: Valoración del riesgo BYOD

45

CAPÍTULO III: PLANTEAMIENTO Y SOLUCIÓN

3. INTRODUCCIÓN

Los puntos que se presentan a continuación contienen toda la información necesaria

para llevar a cabo auditorías de entornos Cloud Computing y BYOD. Primeramente, se

mostraran de manera genérica algunas consideraciones a tener en cuenta para la

planificación de la auditoría (conocimientos, periodos, comunicaciones…). A

continuación se hablará de la definición del alcance y los objetos para los entornos

mencionados y finalmente se abordará de forma extensa los planes de auditoría para

poder evaluar dichas tecnologías.

Cabe resaltar la importancia que los planes de auditoría presentados tienen en el

presente proyecto. Constituyen los dos “outputs” fundamentales del mismo y pretenden

englobar todas aquellas áreas cuya revisión sea necesaria durante el proceso de

auditoría. Todos los controles presentados han sido mapeados con estándares

reconocidos internacionalmente abarcando todo el ámbito de las TIC10 y su seguridad.

Los estándares empleados son los siguientes:

Cobit 4.1 [23]: Es un marco internacional de buenas prácticas sobre las

Tecnologías de la Información (TI) y los riesgos asociados a las mismas. Es

responsabilidad del ITGI11 y se centra en el Gobierno de TI y en el diseño e

implementación de controles adecuados. Algunas de las áreas que abarca son:

objetivos de control, directivas de aseguramiento, modelos de madurez etc.

ITIL v3 [24]: Pertenece a Open Geospatial Consortium (OGC) y al igual que Cobit,

se trata de un marco internacional de buenas prácticas destinado a la gestión y

provisión de servicios de TI. Sus principales objetivos son la calidad de los

servicios y los riesgos asociados a los mismos, tratando de reducir su impacto en

caso de que alguno de ellos se materializara.

Norma ISO/IEC 27002:2005 [25]: Se trata de un estándar para la seguridad de la

información recomendado para todos aquellos que pretendan iniciar, implantar

y/o mantener sistemas de gestión de la seguridad de la información.

NIST: Recommended Security Controls for Federal Information Systems and

Organizations [26]: Conjunto de controles de seguridad de TI orientados a la

gestión, operación y salvaguarda de los activos de las compañías.

SANS: 20 Critical Security Controls [27]: Anualmente, SANS identifica los

principales controles críticos dentro del ámbito de la Seguridad de la

Información. Estos controles tienen el objetivo principal de dar respuesta a la

10

Tecnologías de la Información y Comunicaciones 11

ITGI: IT Governance Institute


46

siguiente cuestión: ¿Qué debemos hacer para proteger a las organizaciones de

los ciber-ataques? Asocian los controles a herramientas y marcas comerciales

que nos ayudan a mitigar el riesgo y proteger los entornos seleccionados.

El motivo fundamental de la selección de los estándares anteriores responde al siguiente

análisis de estándares y guías de buenas prácticas dentro del área de los Sistemas de la

Información:


Imagen 11: Estudio Estándares y Marcos de Buenas Prácticas

48


Como se puede apreciar, todas las áreas son cubiertas total o parcialmente por los

estándares seleccionados. Se han incluido SANS y NIST pues complementan la

información relativa a seguridad de la información presente en el resto de estándares

(en especial, ISO/IEC 27002:2005).

Para realizar el mapeo12 entre los controles desarrollados y los diferentes estándares

analizados, se ha establecido la siguiente clasificación de dominios por estándar:

Imagen 12: Dominios Estándares

A continuación se definen cada uno de los dominios de control:

1. COBIT 4.1

Planificación y Organización de estratégicas y tácticas con el fin de que TI pueda

ayudar a negocio a la consecución de sus objetivos. La visión estratégica necesita

ser planeada, comunicada y administrada desde diferentes perspectivas.

12

Relación entre un control y su correspondiente en otro estándar.

COBIT 4.1 ISO 27002

Planificación y Organización (PO) 5 Politica de Seguridad

Adquisión e Implementación (AI) 6 Aspectos Organizativos de la Seguridad de la Información

Entrega y Soporte (DS) 7 Gestión de Activos

Supervisión y evaluación (ME) 8 Seguridad ligada a los recursos humanos

9 Seguridad física y del entorno

ITIL v3 10 Gestión de comunicaciones y operaciones

11 Control de accesos

Estrategia del Servicio (SS) 12 Adquisición, desarrollo y mantenimiento de los SI

Diseño del Servicio (SD) 13 Gestión de incidentes de seguridad de la información

Transición del Servicio (ST) 14 Gestión de la continuidad del negocio

Operativa del Servicio (SO) 15 Cumplimiento

Servicio de Mejora Continua (CSI)

NIST SANS

1 Inventario de dispositivos autorizados y no autorizados

Control de acceso (AC) 2 Inventario del software autorizado y no autorizado

Formación y concienciación (AT) 3 Configuracion segura de hadrware y software

Auditoría (AU) 4 Evaluación continua de vulnerabilidades

Evaluación de la seguridad y autorización (CA) 5 Defensa contra malware

Gestión de la Configuración (CM) 6 Seguridad de software de aplicación

Planes de Contingencia (CP) 7 Control de dispositivos Wireless

Identificación y autenticación (IA) 8 Capacidad de recuperación de datos

Respuesta a incidentes (IR) 9 Evaluación de habilidades de seguridad y formación

Mantenimiento (MA) 10 Configuracion segura para los dispositivos de red

Protección de de medios (MP) 11 Limitacion y control de puertos, protocolos y servicios

Protección física y del entorno (PE) 12 Uso Controlado de privilegios administrativos

Planificación (PL) 13 Defensa perimetral

Seguridad del personal (PS) 14 Mantenimiento, seguimiento y análisis de regs de auditoría de seguridad

Evaluación del riesgo (RA) 15 Acceso controlado basado en necesidades

Adquisición de sistemas y servicios (SA) 16 Seguimiento y control de cuentas

Proteccion de sistemas y comunicaciones (SC) 17 Prevención de pérdida de datos

Integridad de sistemas e información (SI) 18 Gestión de Respuesta a Incidentes

Gestion del programa (PM) 19 Ingeniería de red segura

20 Tests de Penetración

DOMINIOS

49


49

Deberán establecerse una organización y una infraestructura tecnológica

apropiadas a las estrategias definidas.

Adquisición e implementación de soluciones de TI que deben ser identificadas,

adquiridas, implementadas e integradas dentro del proceso del negocio. Además,

este dominio cubre los cambios y el mantenimiento realizados a sistemas

existentes.

Entrega y Soporte propone controles referentes a la gestión de la configuración,

gestión del servicio (incidentes, peticiones, mantenimiento), formación de

empleados, seguridad de sistemas, costes etc.

Supervisión y evaluación incluye la administración del desempeño, el monitoreo

del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

Todos los procesos deben ser regularmente revisados para controlar la calidad y

el cumplimiento de los requerimientos establecidos.

2. ITIL v3

Estrategia y Servicio: Su objetivo es la definición de qué servicios se prestarán, a

qué clientes y en qué mercado. Analiza posibles mejoras de servicios existentes y

controla procesos de gestión financiera, gestión del portafolio13 y gestión de la

demanda14.

Diseño del Servicio: Este dominio se centra en el análisis de viabilidad de los

servicios analizando infraestructuras, capacidad del personal, niveles y catálogos

de servicio etc. Aspectos del Plan de Recuperación ante Desastres (PRD) son

considerados así como la seguridad de los servicios.

Transición del Servicio: Engloba controles referentes a la gestión de la

configuración15 y activos, gestión del cambio, periodos de transición, despliegue,

validación y evaluación de nuevos servicios.

Operativa del Servicio: Monitorización del servicio. Gestión de incidentes,

problemas, solicitudes, eventos, demandas y accesos.

Servicio de Mejora Continua: Se trata de un dominio trasversal al resto que a

través de herramientas de medición y documentación de control generada, trata

de mejorar de alguna manera cualquier proceso de la empresa.

13

Consiste en definir una estrategia de servici o que sirva para generar el máximo valor controlando riesgos y costes. 14

Se encarga de predecir, administrar y regular los ciclos de consumo 15

Conjunto de procesos destinados a asegurar la calidad de todo producto obtenido durante cualquiera de las etapas del desarrollo

http://www.monografias.com/trabajos14/soluciones/soluciones.shtml

http://www.monografias.com/trabajos15/mantenimiento-industrial/mantenimiento-industrial.shtml

50


3. ISO/IEC 27002:2005:

Política de Seguridad: Indica la necesidad del apoyo e involucración de la

dirección en la generación y mantenimiento de políticas de Seguridad de la

Información.

Aspectos organizativos de la Seguridad de la información: Hace referencia a la

necesidad de una estructura de gestión para iniciar y controlar la implantación de

la Seguridad de la Información dentro de la empresa.

Gestión de Activos: Conseguir y mantener una protección adecuada de los

activos de la organización.

Seguridad ligada a los Recursos Humanos: Su objetivo es asegurar que los

empleados (internos y externos), proveedores y terceros conocen y entienden

sus responsabilidades y se adecuan a sus funciones.

Seguridad física y del Entorno: Los controles se centran en la prevención ante

accesos físicos no autorizados a las instalaciones y/o información de la empresa.

Gestión de comunicaciones y operaciones: Pretende asegurar el correcto

funcionamiento y la seguridad de los recursos de tratamiento de la información.

Control de accesos: Control de acceso a la información de la empresa.

Adquisición, desarrollo y mantenimiento de los sistemas de la información: Su

objetivo es garantizar que la seguridad está integrada en los sistemas de la

información.

Gestión de incidentes de seguridad de la información: Asegurarse de que los

eventos relacionados con Seguridad de la Información son debidamente

comunicados y se realizan las acciones correctivas apropiadas.

Gestión de la continuidad del negocio: Proteger los procesos críticos de negocio

de los efectos derivados de fallos importantes o catastróficos en los Sistemas de

la Información.

Cumplimiento: Evitar incumplimientos de los requisitos de seguridad con leyes o

reglamentaciones vigentes.

4. SANS: Recommended Security Controls for Federal Information Systems and

Organizations

Control de acceso (AC): Define políticas, procedimientos y controles para

garantizar la seguridad de los sistemas, dispositivos, aplicaciones e información

sensible.

Formación y concienciación (AT): Promueve la formación y concienciación de

todos los miembros de las organizaciones para fortalecer la seguridad de la

información y sus activos relacionados.

Auditoria (AU): Contempla todos los aspectos relacionados con los procesos de

auditorías dentro de la organización.

51


51

Evaluación de la seguridad y autorización (CA): Engloba todo lo que se refiere a

la evaluación de seguridad sobre sistemas, aplicaciones o nuevas tecnologías a

implementar.

Gestión de la configuración (CM): Enfocado a administrar las configuraciones de

los sistemas, dispositivos y aplicaciones permitidos y controlados por la

organización (análisis de impacto, inventario de activos…).

Planes de contingencia (CP): Define políticas, procedimientos, planes de

pruebas, sistemas de almacenamiento (backup), comunicaciones y planes de

recuperación relacionados con el plan de contingencia16 de la organización.

Identificación y autenticación (IA): Contempla todo el proceso de autenticación

e identificación de usuarios y dispositivos.

Respuesta a incidentes (IR): Contempla todos los aspectos relacionados a la

respuesta a incidentes dentro de la organización, así como la asistencia,

monitoreo y reportes de incidentes.

Mantenimiento (MA): Hace referencia al mantenimiento de sistemas, equipos y

servicios de las organizaciones.

Protección de medios (MP): Abarca todos los aspectos concernientes a la

protección de los distintos medios de acceso utilizados en la organización.

Protección física y del entorno (PE): Considera todos los controles, políticas y

procedimientos para la protección del entorno de trabajo y la seguridad física de

las instalaciones, equipos, sistemas y personas.

Planificación (PL): Abarca todo el proceso de planificación y coordinación de

acciones relacionadas a la seguridad de los activos de la organización.

Seguridad del personal (PS): Contempla todos los aspectos relacionados a la

seguridad aplicada al personal dentro de la organización (interno, subcontratado

o visitante).

Evaluación del riesgo (RA): Define todo lo relacionado al estudio y gestión del

riesgo relacionado a los distintos activos de la empresa.

Adquisición de sistemas y servicios (SA): Define todo el proceso y control

necesario a la hora de la adquisición de sistemas y servicios para la organización.

Protección de sistemas y comunicaciones (SC): Incluye todos los controles y

procedimientos para la protección de los sistemas y las comunicaciones de la

organización.

Integridad de sistemas de información (SI): Define todo los controles y

procedimientos necesarios para garantizar la integridad de los sistemas y la

información que estos gestionan.

16

Contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía .

52


Gestión del programa (PM): Hace referencia a los planes de seguridad globales

trasversales a toda la organización, sus objetivos, comunicaciones, estrategias y

supervisiones.

5. SANS:

Inventario de dispositivos autorizados y no autorizados: Contrasta el monitoreo

y la gestión de la configuración para mantener un inventario actualizado de los

dispositivos que utilizan los recursos de la organización.

Inventario de software autorizado y no autorizado: Genera un listado de

software permitido para cada sistema. Controla del uso de s oftware no

autorizado o innecesario.

Configuración segura de hardware y software: Controla las configuraciones de

todos los equipos y aplicaciones utilizadas por las organizaciones para garantizar

la seguridad de la información.

Evaluación continua de vulnerabilidades: Gestión, identificación,

documentación y reparación de las vulnerabilidades del software.

Defensa contra el malware: Define el bloqueo de código malicioso y la

actualización y desinfección de dispositivos.

Seguridad de software de aplicación: Engloba todo lo relacionado a la detección

de vulnerabilidades en el software de aplicación.

Control de dispositivos wireless: Controla el acceso inalámbrico a los recursos de

la organización.

Capacidad de recuperación de datos: Contempla la posibilidad de la

recuperación de información después de un incidente de pérdida o manipulación

de la información.

Evaluación de habilidades de seguridad y formación: Promueve la formación y

concienciación de todos los miembros de las organizaciones para fortalecer la

seguridad de la información y sus activos.

Configuración segura para los dispositivos de red: Abarca todo los aspectos de

configuración segura de equipos que trasmiten los datos de la empresa, y de los

dispositivos que hacen frente a las amenazas externas como firewalls, IDS17, IPS18,

etc.

Limitación y control de puertos, protocolos y servicios: Controla la configuración

de equipos, puertos así como la implementación de controles de filtrado de

tráfico.

Uso controlado de privilegios administrativos: Limita el uso de cuentas

administrativas en equipos de escritorio, portátiles y servidores para prevenir

ataques o incidencias de seguridad.

17

IDS: Sistema de Detección de Intrusos 18

IPS: Sistema de Prevención de Intrusos

53


53

Defensa perimetral: Controla y gestiona el flujo de tráfico a través de la red

definiendo los medios de control adecuados.

Mantenimiento, seguimiento y análisis de registros de auditoria de seguridad:

Gestiona el proceso de auditoría.

Acceso controlado basado en necesidades: Garantiza que solo los usuarios

autorizados tienen acceso a la información sensible.

Seguimiento y control de cuentas: Controla y gestiona el estado de las cuentas

de accesos a los sistemas con el fin de eliminar aquellas no usadas y/o no

autorizadas.

Prevención de pérdida de datos: Controla el flujo de información para reducir al

mínimo la posibilidad de un incidente de pérdida de datos.

Gestión de respuesta ante incidentes: Define el uso de un plan de respuesta

ante incidentes con roles y responsabilidades definidas para hacer frente a

cualquier situación que se presente.

Ingeniería de red segura: Determina el uso de una ingeniería de red segura

implementando el uso de VPN’s19, Middleware20 y DMZ21 para mejorar la calidad

de servicio y la seguridad.

Test de penetración: Define pruebas internas y externas para identificar

vulnerabilidades y posibles riesgos.

Como se puede observar en los apartados Error! Reference source not found. y Error!

Reference source not found., cada punto de control se encuentra identificado con uno o

varios dominios. Estos datos nos permiten analizar el grado de control que los planes de

auditoría elaborados nos aportan, identificando además aquellas áreas que se

encuentran más controladas y las que serían susceptibles de ser mejoradas. Con este

análisis, proporcionamos al auditor no solo los planes necesarios para auditar los

entornos tratados sino también toda la información relativa a la calidad de las revisiones

o evaluaciones llevadas a cabo.

Como conclusiones finales, se presentarán gráficamente los datos obtenidos con el fin

de poder mostrar:

1. Grado de completitud de los controles en los estándares analizados, ¿Qué

porcentaje de controles se encuentran reflejados en los estándares analizados?

2. Dominios principales de control sobre los que actúan los planes de auditoría.

3. Las áreas principales que son evaluadas por auditoría al ejecutar los planes de

auditoría desarrollados.

19

VPN: Virtual Private Network 20

Middelware: Software que asiste a una aplicación para interactuar o comunicarse con otras aplicaciones 21

DMZ: Zona de red desmilitarizada

http://es.wikipedia.org/wiki/Software

54


3.1 PLANIFICACIÓN DE LA AUDITORÍA

La planificación de la auditoría debe establecer los requisitos de información y

documentación necesarios para llevarla a cabo. Se debe desarrollar un plan de auditoría

concretando los conocimientos necesarios para realizar la revisión. Así mismo, se debe

definir una planificación temporal que incluya los periodos en los cuales los auditados

estarán a disposición del equipo auditor y desarrollar una propuesta de auditoría que

contenga, a muy alto nivel, los elementos que serán revisados. Esta propuesta será

enviada y comunicada a los responsables del área auditada.

Durante la planificación, se debe considerar toda aquella información que pudiera ser

útil para el equipo auditor, tal como informes de auditorías previas, análisis de riesgos,

documentación corporativa etc. Además hay que considerar los criterios organizativos

del área auditada y las funciones y cargos de las personas de contacto asignadas.

3.1.1 ALCANCE Y OBJETIVO DE LA AUDITORÍA

El alcance y objetivo de la auditoría debe estar claramente definido y contrastado entre

el equipo auditor y los responsables de las áreas auditadas. Cabe resaltar que las

auditorías, en algunos casos, pueden ser solicitadas por la dirección de las

organizaciones con el fin de evaluar el estado interno de ciertas áreas. Es por ello que se

debe aclarar y definir detalladamente exactamente cuál es el objetivo principal que se

persigue con la misma.

Es importante que se indique al equipo auditor, a priori, si existe algún tipo de

documentación específica que no pueda ser facilitada con el fin de identificar cuanto

antes posibles limitaciones al alcance definido. En este caso, el proceso de auditoría

debe continuar si bien dicha situación quedaría reflejada en el informe definitivo.

Con el fin de asegurar la objetividad del equipo auditor, las tareas que se lleven a cabo

no deben incluir la ejecución de acciones que puedan ser consideradas como de

consultoría, de desarrollo, de implantación etc. (como por ejemplo modificaciones de

Software asociado).

3.1.2 TRABAJO DE CAMPO

Antes de entrar en detalle con los planes de auditoría desarrollados, a continuación se

detallan una serie de buenas prácticas para llevar a cabo el trabajo de auditoría de

manera eficaz:

Para la presentación del equipo auditor y el trabajo a realizar, es recomendable

realizar una reunión de “kick-off” o puesta en marcha para explicar, en base a la

propuesta y a muy alto nivel, los puntos que se encuentran incluidos dentro de la

revisión.

55


55

Las pruebas a realizar por el equipo auditor son privadas y no se tiene la

obligación de comunicarlas previamente excepto, que por temas de

disponibilidad sea necesario informar a los auditados.

Para cantidades elevadas de datos, se puede realizar un muestreo para poder

llevar a cabo la prueba seleccionada. Existen diferentes teorías de muestreo que

en función de la población a analizar, aplican distintos factores (por ejemplo, el

que propone CMMI) para seleccionar la cantidad datos necesarios.

El equipo auditor no prejuzgará la existencia o no de determinados

procedimientos y/o medidas. Su evaluación será objetiva y se debe adecuar a los

riesgos identificados.

Durante las reuniones con los auditados, no se deben inducir las contestaciones

de los auditados sino que deben ser preguntar abiertas cuya respuesta

(afirmativa o negativa) no se encuentre implícita en la misma pregunta.

El jefe del equipo auditor deberá supervisar que se ha llevado a cabo el programa

de auditoría previamente acordado y, en caso de ser necesarias, las

modificaciones deben estar quedar correctamente registradas y fundamentadas.

Las evidencias encontradas deben ser registradas y documentadas por escrito y

validadas por los auditados antes de la emisión del informe borrador.

La documentación de la auditoría debe almacenarse durante un periodo de

tiempo previamente establecido y debe estar organizada y referenciada para

facilitar su comprensión y acceso al resto del equipo auditor.

Para validar la estructura del trabajo, se pueden llevar a cabo revisiones de

calidad conocidas como Quality Assessments (QAs). Estas revisiones se deben

realizar por personal del equipo auditor ajeno a la auditoría que revisa.

Una vez terminado y documentado el trabajo, se realizará el informe. La primera

emisión del mismo se realizara en modo borrador y se acordará con el auditado

un periodo de tiempo en el cual podrán solicitar modificaciones del mismo. Una

vez transcurrido el periodo borrador, se realizará la emisión del informe

definitivo. Este informe no podrá ser modificado y sobre el mismo se llevará a

cabo el plan de acción asociado.

56


3.1.2.1 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING

Antes de detallar el contenido de cada uno de los controles, a continuación se presenta

de manera gráfica y resumida cada una de las áreas identificadas en el plan de auditoría

Cloud Computing desarrollado. Se han definido 9 áreas asociadas a un total de 44

controles.

CLOUD COMPUTING

ÁREAS DE CONTROL

GOBIERNO Y CONTROL DE RIESGOS DE LA EMPRESA

Identificación de proveedores y personal de servicios de Cloud Computing

Implantación de Acuerdos de Nivel de Servicio (ANS)

Revisión de Acuerdos de Nivel de Servicio (ANS)

Control y valoración de riesgos de la empresa

Equilibrio entre de Acuerdos de Nivel de Servicio (ANS) y valoración de riesgos

Aceptación del riesgo

Valoración de la eficiencia del modelo de riesgos

Relación Control - Riesgos

Acuerdos con terceras partes

Operaciones del proveedor de servicios

Cumplimiento de Acuerdos de Nivel de Servicio (ANS)

DESCUBRIMIENTO LEGAL Y ELECTRÓNICO

Requisitos contractuales del cliente

Cumplimiento de obligaciones contractuales

Cumplimiento legal según leyes locales y globales

AUDITORIA Y CUMPLIMIENTO

EL derecho de auditar

Informe de auditorías externas por parte del proveedor

Auditorías internas por parte del cliente

Responsabilidades de protección según los escenarios de despliegue

Certificación ISO 27001

PLANIFICACIÓN DE LA MIGRACIÓN E INTEROPERABILIDAD

Migración

NOTIFICACIONES DE INCIDENTES, RESPUESTAS Y REPARACIONES

Consideración de incidentes y eventos en Acuerdos de Nivel de Servicio (ANS)

Acuerdos de cooperación

Procedimientos de notificación

Procedimientos de monitorización del proveedor de servicios

Informes de monitorización

Incidentes monitorizados en un periodo de tiempo

Procedimientos de monitorización del cliente

Consideración de incidentes internos y externos

Muestra de incidentes para su estudio

DESARROLLO DE LAS APLICACIONES Arquitectura de la Seguridad de Aplicaciones

Gestión de la Configuración

57


57

CLOUD COMPUTING

ÁREAS DE CONTROL

Cumplimiento

Herramientas y Servicios

Funcionalidad de la Aplicación

TRANSMISIÓN Y ALMACENAMIENTO DE LA INFORMACIÓN

Transporte de Datos

Datos en Reposo

Copia de Seguridad de los Datos

Test de Confidencialidad de Datos

Repositorio Seguro de Claves

Acceso al Repositorio de Claves

Copia de Seguridad de la Clave y Recuperación

GESTIÓN DE LAS IDENTIDADES Y ACCESOS Creación de Identidad

Autenticación

VIRTUALIZACIÓN Virtualización

3.1.2.1.1 PLAN DE AUDITORÍA

El presente plan de auditoría detalla todos aquellos controles para llevar a cabo una

revisión completa de entornos Cloud Computing.


59

ÁREA DE CONTROL

CONTROL ID

Auditorías Cloud Computing Fecha Revisión: Plan de auditoría

CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for

Federal Information Systems and Organizations

SANS: 20 Critical Security Controls

RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A

1.1 OBJETIVO: Las funciones de gobierno están establecidas para asegurar la efectividad y un mantenimiento sostenible de los procesos del Cloud.

Todos los riesgos aplican

1.1.1

La organización dispone de mecanismos para identificar a todos los proveedores y al personal de los servicios del Cloud con los que el negocio está relacionado y con todos los desarrollos que se están llevando a cabo en el cloud que existen dentro del negocio. La organización asegura que el cliente, el personal de la seguridad de la información y las unidades de negocio participan activamente en el gobierno y las actividades de las políticas de seguridad en alinear los objetivos de negocio y las necesidades de la seguridad de la información del proveedor de servicios con los de la organización.

PO3.3 Monitoreo de tendencias y

regulaciones futuras PO3.5 Consejo de arquitectura de TI

PO4.3 Comité directivo de TI PO4.4 Ubicación organizacional de la función de TI

PO4.5 Estructura organizacional de TI PO4.6 Establecer roles y responsabilidades PO4.8 Responsabilidad sobre el riesgo, la

seguridad y el cumplimiento PO4.10 Supervisión

PO6.3 Gestión de políticas de TI PO6.4 Implantación de políticas, estándares y procedimientos

PO6.5 Comunicación de los objetivos y la dirección de TI

DS5.1 Gestión de la seguridad de TI DS5.2 Plan de seguridad de TI DS5.3 Gestión de identidad

SS 2.6 Funciones y procesos a través del ciclo de vida SS 6.1 Desarrollo organizacional

SS 6.2 Departamentalización organizacional SS 6.3 Diseño organizacional SS 6.5 Estrategia de sourcing

SS Apéndice B2 Gerentes de producto SD 4.3.5.7 Modelamiento y tendencias

SD 4.6 Gestión de la seguridad de la información SD 6.3 Habilidades y atributos

SD 6.4 Roles y responsabilidades SO 3.1 Funciones, grupos, equipos,

departamentos y divisiones SO 3.2 Obtener balance en la operación del servicio

SO 3.2.4 Organizaciones reactivas versus proactivas

SO 3.3 Prestación del servicio SO 3.6 Comunicaciones SO 5.13 Gestión de seguridad de la

información y la operación del servicio SO 6.1 Funciones

SO 6.2 Mesa de servicios SO 6.3 Gestión técnica SO 6.4 Gestión de operaciones de TI

SO 6.5 Gestión de aplicaciones SO 6.7 Estructuras organizacionales de

operación del servicio ST 4.2.6.8 Consejo consultivo de cambios ST 5.1 Gestión de las comunicaciones y el

compromiso ST 6.2 Contexto organizacional para la transición de servicios

ST 6.3 Modelos organizacionales para apoyar la transición de servicios

6.1.1 Compromiso de la gerencia con la seguridad de la información

6.1.2 Coordinación para la seguridad de la información

AC-1 Políticas y procedimientos de control de acceso AT-1 Políticas y procedimientos de formación y sensibilización de seguridad

AU-1 Políticas y procedimientos para auditorías y rendición de cuentas

CA-1 Políticas y procedimientos de evaluación de seguridad y autorización CM-1 Políticas y procedimientos para gestión de configuraciones

CP-1 Políticas y procedimientos para planes de contingencia CP-2 Plan de contingencia

CP-4 Pruebas y ejercicios de planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación IR-1 Políticas y procedimientos de respuesta a incidentes

IR-4 Manejo de incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas

MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad

PL-6 Planificación de actividades relacionadas con la seguridad PS-1 Políticas y procedimientos para la seguridad del personal

RA-1 Políticas y procedimientos para la evaluación del riesgo SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios

SA-2 Asignación de recursos SC-1 Políticas y procedimientos para la protección de sistemas y

comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e información

PM-1 Información del Plan de Programa de Seguridad PM-2 Agente Superior de Información de Seguridad

4. Evaluación continua de las vulnerabilidades y resolución de las mismas

9 Evaluación de las habilidades de seguridad y formación

adecuadas para satisfacer las deficiencias

1.1.1.1 Determinar si las tecnologías de la información y las funciones claves del negocio tienen definido marcos de gobierno integrados y procesos

de monitorización.

1.1.1.2 Determinar si el departamento de IT y las funciones de seguridad de la información y las unidades del negocio están involucradas activamente en establecer los ANS (Acuerdos de Nivel de Servicio) y

las obligaciones contractuales.

1.1.1.3

Determinar si en las funciones de seguridad de la información se ha

realizado un análisis de las diferencias entre las capacidades de seguridad de la información del proveedor de servicios y las políticas

de seguridad de la información de la organización y las amenazas y vulnerabilidades y los riesgos que surgen en la transición a un entorno de Cloud Computing.

1.1.1.4 Determinar si el proveedor de cloud ha identificado los objetivos de

control para los servicios que ofrece.

1.1.1.5 Determinar si la organización mantiene un inventario de los servicios

que se ofrecen vía cloud.


61

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t)

1.1.2 Control: Ambas partes definen las relaciones para presentar los informes y las responsabilidades.

PO2.3 Esquema de clasificación de datos

PO3.4 Estándares tecnológicos AI5.2 Gestión de contratos con proveedores DS1.1 Marco de trabajo para la gestión de

niveles de servicio DS1.2 Definición de servicios DS1.3 Acuerdos de niveles de servicio

DS2.3 Gestión de riesgos de proveedores DS2.4 Monitoreo del desempeño de

proveedores

SS 2.6 Funciones y procesos a través del

ciclo de vida SS 4.2 Desarrollar las ofertas SS 4.3 Desarrollar activos estratégicos

SS 4.4 Preparar la ejecución SS 5.5 Gestión de la demanda SS 7.2 Estrategia y diseño

SS 7.3 Estrategia y transiciones SS 7.4 Estrategia y operaciones

SS 7.5 Estrategia y mejora SS 8.2 Interfaces del servicio SD 3.1 Metas

SD 3.2 Diseño balanceado SD 3.4 Identificar y documentar los

requisitos y drivers del negocio SD 4.2.5.1 Diseñar el marco operativo para el ANSSD 4.2.5.9 Desarrollar contratos y

relaciones SD 4.2.5.2 Requisitos acordados y

documentados de los nuevos servicios; definir los requisitos de los niveles de servicios

SD 4.2.5.9 Desarrollar contratos y relaciones

SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.5 Renovación y/o término de contratos

SD 4.7.5.4 Gestión y desempeño de proveedores y contratos

SD 5.2 Gestión de los datos y la información SD Apéndice F Probar los ANS y Acuerdos de Niveles de Operación

10.2.1 Entrega de servicios 10.8.2 Acuerdos de intercambio

CA-3 Información de conexiones del sistema SA-9 Servicios externos del sistema de información


1.1.2.1 Determinar si las responsabilidades del gobierno están documentadas y aprobadas por el proveedor de servicios y el cliente

1.1.2.2 Determinar si la vía de comunicación entre el proveedor y la empresa

está claramente definida identificando las responsabilidades en los procesos de gobierno de ambas organizaciones.

1.1.3 Control: Las ANS que soportan los requisitos de negocio están definidas, aceptadas por el proveedor de servicios y monitoreadas.

PO4.14 Políticas y procedimientos para personal contratado PO6.4 Implantación de políticas, estándares

y procedimientos PO8.3 Estándares para desarrollos y

adquisiciones PO9.4 Evaluación de riesgos de TI DS2.1 Identificación de todas las relaciones

con proveedores DS2.2 Gestión de relaciones con

proveedores DS2.3 Gestión de riesgos de proveedores DS2.4 Monitoreo del desempeño de

proveedores DS5.1 Gestión de la seguridad de TI

DS5.4 Gestión de cuentas de usuario DS5.9 Prevención, detección y corrección de Software malicioso

DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico

SS 7.3 Estrategia y transiciones SD 3.6 Aspectos de diseño SD 3.9 Arquitectura orientada al servicio

SD 3.11 Modelos para el diseño de los servicios

SD 4.2.5.9 Desarrollar contratos y relaciones SD 4.6 Gestión de la seguridad de la

información SD 4.7.5.1 Evaluación de nuevos

proveedores y contratos SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de

proveedores y contratos SD 4.7.5.5 Renovación y/o término de

contratos SD 4.7.5.3 Nuevos proveedores y contratos SO 4.5 Gestión de accesos

SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación

SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la identidad

SO 4.5.5.5 Registro y seguimiento de accesos SO 4.5.5.6 Eliminar o restringir privilegios

SO 5.5 Gestión de redes SO Apéndice E Descripción detallada de la

gestión de las instalaciones SO Apéndice F Controles de acceso físico

4.1 Evaluando riesgos de

seguridad 6.2.1 Identificación de riesgos

relacionados con terceros 6.2.3 Considerar la seguridad en acuerdos con terceros

CA-3 Información de conexiones del sistema PS-7 Seguridad del personal de terceros (subcontratados)

RA-3 Evaluación de riesgos SA-1 Políticas y procedimientos para la adquisición de sistemas y

servicios SA-9 Servicios externos del sistema de información SC-7 Protección de Fronteras

PM-9 Estrategia de gestión de riesgos

4. Evaluación continua de las

vulnerabilidades y resolución de las mismas

1.1.3.1 Obtener los ANS; determinar si los ANS reflejan los requisitos del negocio.


63

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t)

1.1.3.2 Determinar que los ANS pueden ser monitoreados usando métricas

medibles y que dichas métricas ofrecen una visión apropiada y advertencias tempranas de un rendimiento inaceptable.


1.1.3.3 Determinar si los ANS contiene cláusulas que aseguran los servicios en caso de que hay cambios a nivel corporativo en el proveedor

1.2 OBJETIVO: Control de riesgos de la empresa

1.2.1

El proceso de control de riesgo provee una valoración completa de los riesgos para el negocio Alineando el modelo Cloud con los procedimientos establecidos por la dirección para la gestión de riesgos (si aplica).

PO3.1 Planeamiento de la orientación tecnológica PO5.3 Proceso presupuestal

PO5.4 Gestión de costos de TI PO6.3 Gestión de políticas de TI PO9.4 Evaluación de riesgos de TI

AI3.3 Mantenimiento de la infraestructura AI6.2 Evaluación de impacto, priorización y

autorización AI6.3 Cambios de emergencia DS5.2 Plan de seguridad de TI

DS5.3 Gestión de identidad DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.7 Protección de la tecnología de seguridad

DS9.2 Identificación y mantenimiento de elementos de la configuración

DS11.6 Requisitos de seguridad para la gestión de datos ME2.2 Revisiones de supervisión

ME2.5 Aseguramiento del control interno ME2.7 Acciones correctivas

ME4.7 Aseguramiento independiente

SS 5.1 Gestión financiera SS 5.2.2 Retorno sobre la inversión

SS 5.2.3 Retorno sobre la inversión SS 8 Estrategia y tecnología

SS 9.5 Riesgos SD 4.5.5.2 Etapa 2 — Requisitos y estrategia

SD 4.6.4 Políticas, principios y conceptos básicos

SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle) SD 5.2 Gestión de los datos y la información

SD 8.1 Análisis de impacto en el negocio ST 4.1.5.2 Preparación para la transición del servicio

ST 4.2.6.2 Crear y registrar la solicitud de cambio

ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio ST 4.2.6.5 Autorizar el cambio

ST 4.2.6.6 Coordinar la implementación del cambio

ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia ST 4.3.5.3 Identificación de la configuración

ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de

estados ST 4.6 Evaluación SO 4.3.5.1 Selección por menú

SO 4.3.5.3 Otras aprobaciones SO 4.5 Gestión de acceso

SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes

SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio

SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web

SO 5.13 Gestión de seguridad de la información y la operación del servicio

5.1.2 Revisión de la política de seguridad de la información

10.8.5 Sistemas de información del negocio

12.6.1 Control de vulnerabilidades técnicas

AC-1 Políticas y procedimientos de control de acceso

AT-1 Políticas y procedimientos de formación y sensibilización de seguridad

AU-1 Políticas y procedimientos para auditorías y rendición de cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y

autorización CA-3 Información de conexiones del sistema CM-1 Políticas y procedimientos para gestión de configuraciones

CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación

IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios

PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad

PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo RA-3 Evaluación de riesgos

RA-4 Actualización de la evaluación de riesgos RA-5 Escaneo de vulnerabilidades

SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios SC-1 Políticas y procedimientos para la protección de sistemas y

comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e

información SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad

PM-1 Información del Plan de Programa de Seguridad



1.2.1.1 Determinar si la organización tiene un modelo ERM (Enterprise Risk Management).

1.2.1.2 Si hay un modelo ERM implementado, determinar si la valoración de los riesgos del Cloud Computing están alineados con los de la empresa.

1.2.1.3

Determinar si los servicios que provee el proveedor y el modelo de proceso seleccionado limitarán la disponibilidad o la ejecución de

actividades asociadas a la seguridad de la información, tales como:

Restricciones sobre la vulnerabilidad y valoración sobre los test de intrusión.

Disponibilidad de log para una auditoria.

Acceso a informes de monitorización de eventos.

Segregación de tareas.

1.2.1.4

Determinar si el enfoque del control de riesgos incluye lo siguiente:

Identificar y valorar los activos y servicios

Identificar y analizar las amenazas y vulnerabilidades con los posibles impactos sobre los activos

Análisis de la probabilidad de eventos usando identificando

escenarios.


65

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t)

1.2.1.4 (cont)

Aprobación documentada de la aceptación de los niveles de riesgos y

criterios.


Planes de acción contra el riesgo (control, evitar, transferir, aceptar)

1.2.1.5 Determinar si, durante la valoración de los riesgos, los valores identificados incluyen los valores tanto del proveedor y del cliente y si la clasificación de la seguridad de la información usada en el control

de riesgos está alineada.

1.2.1.6 Determinar si el control de riesgo incluye el modelo de servicio y las capacidades del proveedor de servicios y las condiciones financieras.

1.2.2 Los ANS están alineados y elaborados en conjunción con los resultados de la valoración de riesgos.

PO9.4 Evaluación de riesgos de TI 4.1 Evaluando riesgos de

seguridad

RA-3 Evaluación de riesgos

RA-4 Actualización de la evaluación de riesgos

4. Evaluación continua de las vulnerabilidades y resolución de

las mismas

1.2.2.1 Determinar si los resultados de los planes de riesgo se incorporan con

los ANS

1.2.2.2 Determinar si un servicio compartido entre el cliente/proveedor de la

valoración de riesgos se ha realizado para verificar si toso los riesgos razonables han sido identificados y si alternativas para los riesgos se

han identificado y documentado.

1.2.2.3

Cuando la valoración de riesgos del proveedor de servicio ha

identificado riesgos a controlar que son ineficientes o incomprensibles. Determinar si la organización ha realizado un análisis de los controles asegurando que dichos controles abarcan las

deficiencias identificadas por el proveedor de servicio.

1.2.3 Los riesgos son aprobados por un miembro de la dirección con la autoridad de aceptar el riesgo en nombre de la organización y que entiende la implicación de la decisión.

PO3.3 Monitoreo de tendencias y regulaciones futuras

PO3.5 Consejo de arquitectura de TI PO4.3 Comité directivo de TI

PO4.4 Ubicación organizacional de la función de TI PO4.5 Estructura organizacional de TI

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento

PO6.3 Gestión de políticas de TI PO6.4 Implantación de políticas, estándares y procedimientos

PO6.5 Comunicación de los objetivos y la dirección de TI

PO8.3 Estándares para desarrollos y adquisiciones PO4.14 Políticas y procedimientos para

personal contratado DS5.1 Gestión de la seguridad de TI

SS 2.4 Principios de la gestión del servicio SS 2.6 Funciones y procesos a través del ciclo de vida

SS 6.1 Desarrollo organizacional SS 6.2 Departamentalización organizacional

SS 6.3 Diseño organizacional SS 6.5 Estrategia de sourcing SS Apéndice B2 Gerentes de producto

SD 4.3.5.7 Modelamiento y tendencias SD 4.6 Gestión de la seguridad de la información

SD 6.3 Habilidades y atributos SD 6.4 Roles y responsabilidades

SO 3.1 Funciones, grupos, equipos, departamentos y divisiones SO 3.2 Obtener balance en la operación del

servicio SO 3.2.4 Organizaciones reactivas versus

proactivas SO 3.3 Prestación del servicio SO 3.6 Comunicaciones


SO 6.1 Funciones SO 6.2 Mesa de servicios SO 6.3 Gestión técnica

SO 6.4 Gestión de operaciones de TI SO 6.5 Gestión de aplicaciones

SO 6.7 Estructuras organizacionales de operación del servicio ST 4.2.6.8 Consejo consultivo de cambios

ST 5.1 Gestión de las comunicaciones y el compromiso

ST 6.2 Contexto organizacional para la transición de servicios ST 6.3 Modelos organizacionales para

apoyar la transición de servicios

6.1.1 Compromiso de la gerencia con la seguridad de la información

AC-1 Políticas y procedimientos de control de acceso AT-1 Políticas y procedimientos de formación y sensibilización de

seguridad AU-1 Políticas y procedimientos para auditorías y rendición de cuentas

CA-1 Políticas y procedimientos de evaluación de seguridad y autorización

CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación

IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas

MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad

PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo

SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios SC-1 Políticas y procedimientos para la protección de sistemas y

comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e

información PM-1 Información del Plan de Programa de Seguridad PM-2 Agente Superior de Información de Seguridad

18. Gestión de Respuesta a Incidentes

1.2.3.1 Determinar si la dirección ha realizado un análisis sobre las

cuantificaciones y la aceptación de los riesgos residuales antes de la implementación de la solución del Cloud.

1.2.3.2 Determinar si la persona aceptando tales riesgos tiene la autoridad de tomar esa decisión.

1.3 OBJETIVO: Control de los Riesgos de la Información


67

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t)

1.3.1 Un marco para controlar los riesgos y la madurez del modelo ha sido implementado para cuantificar los riesgos y evaluar la eficacia del modelo de riesgos.

PO6.1 Política y entorno de control de TI PO6.2 Riesgo corporativo y marco de

referencia del control interno de TI PO6.3 Gestión de políticas de TI PO6.5 Comunicación de los objetivos y la

dirección de TI DS5.2 Plan de seguridad de TI

DS5.3 Gestión de identidad ME2.1 Monitoreo del marco de trabajo de control interno

ST 5.1 Gestión de las comunicaciones y el

compromiso SO 3.6 Comunicaciones SO 4.5 Gestión de accesos

SD 4.6.4 Políticas, principios y conceptos básicos

SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)

5.1.1 Documento de la política de

seguridad de información


AT-1 Políticas y procedimientos de formación y sensibilización de seguridad AU-1 Políticas y procedimientos para auditorías y rendición de

cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y autorización

CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia

IA-1 Políticas y procedimientos para identificación y autenticación IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas

MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno

PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo

SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios

SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e

información PM-1 Información del Plan de Programa de Seguridad


las mismas


1.3.1.1 Determinar si un marco de riesgos ha sido identificado y aprobado.

1.3.1.2 Determinar si un modelo maduro se ha usado para evaluar su eficacia.

1.3.1.3 Revisión de los resultados de un modelo maduro y determinar si la

falta de madurez afecta a los objetivos para auditar.

1.3.2 Los controles de riesgos establecidos están alineados con los riesgos identificados.

PO4.14 Políticas y procedimientos para personal contratado DS2.1 Identificación de todas las relaciones

con proveedores DS2.3 Gestión de riesgos de proveedores

DS5.4 Gestión de cuentas de usuario DS5.9 Prevención, detección y corrección de Software malicioso

DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico

AI1.2 Reporte de análisis de riesgos AI2.4 Seguridad y disponibilidad de las aplicaciones

AI3.2 Protección y disponibilidad de la infraestructura

SS 7.3 Estrategia y transiciones

SD 2.4.2 Alcance SD 3.6 Aspectos de diseño

SD 3.6.1 Diseño de soluciones de servicios SD 4.5.5.2 Etapa 2 — Requisitos y estrategia

SD 4.7.5.1 Evaluación de nuevos proveedores y contratos

SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de proveedores y contratos

SD 4.7.5.5 Renovación y/o término de contratos

SD 4.7.5.3 Nuevos proveedores y contratos SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso

SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la

identidad SO 4.5.5.5 Registro y seguimiento de

accesos SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores

SO 5.5 Gestión de redes SO Apéndice E Descripción detallada de la gestión de las instalaciones

SO Apéndice F Controles de acceso físico

4.2 Tratamiento de los riesgos de seguridad

6.2.1 Identificación de riesgos relacionados con terceros 12.1.1 Análisis y especificación de

requisitos de seguridad

CA-3 Información de conexiones del sistema RA-3 Evaluación de riesgos


SA-3 Soporte del ciclo de vida SA-4 Adquisiciones SA-9 Servicios externos del sistema de información

SC-7 Protección de Fronteras PM-9 Estrategia de gestión de riesgos



1.3.2.1

Identificar los controles de tecnología y los requisitos contractuales necesarios para tomar decisiones sobre los riesgos basados en hechos. Considerar:

Uso de información

Controles de acceso

Controles de seguridad

Control de las localizaciones

Controles de privacidad


69

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t)

1.3.2.2 Para SaaS, determinar que la organización ha identificado información

analítica requerida por el proveedor de servicios para dar soporte a las obligaciones contractuales relacionadas con el rendimiento, seguridad y el cumplimiento de los ANS.


1.3.2.3 Obtener los requisitos de datos analíticos, y determinar si la organización monitoriza regularmente y evalúa el cumplimiento de los

ANS.

1.3.2.4

Para PaaS, determinar que la organización ha identificado la información disponible y las prácticas de control necesarias para conseguir procesos efectivos que cumplen la disponibilidad,

confidencialidad y propiedad de la información, teniendo en cuenta la privacidad y legalidad de los procesos y/o procedimientos.

1.3.2.5 Determinar si la organización ha establecido prácticas de monitorización para identificar problemas sobre los riegos.

1.3.2.6 Para IaaS, determinar que la organización ha identificado y monitoriza el control y los procesos de seguridad necesarios para ofrecer un

entorno seguro.

1.3.2.7 Determinar si el proveedor de servicios establece meticas y controles

para asistir a los clientes en implementar sus requisitos para el control de riesgos de la información.

1.4 OBJETIVO: Control de terceros y relaciones con los mismos

1.4.1

El proveedor de servicios pone a disposición de los clientes acuerdos con terceras partes independientes, usando procedimientos de auditoría para describir las prácticas de control llevadas a cabo en las instalaciones de los diferentes terceros.

PO4.9 Propiedad de los datos y sistemas

PO6.2 Riesgo corporativo y marco de referencia del control interno de TI PO7.8 Cambios y ceses en los puestos de

trabajo DS9.2 Identificación y mantenimiento de

elementos de la configuración

7.1.2 Propiedad de los activos 8.3.2 Devolución de activos

CM-8 Inventario de componentes del sistema de información CM-9 Plan de gestión de configuración PS-4 Despidos de personal

PS-5 Trasferencias de personal PM-5 Inventario de sistemas de información

14. Mantenimiento,

monitorización y análisis de registros de auditoría de seguridad (logs)

1.4.1.1 Determinar si el proveedor de servicios tiene rutinariamente acuerdos

de terceros evaluados y emitidos.

1.4.1.2

Determinar si el ámbito de las evaluaciones de los terceros incluyen

descripciones de los siguientes procesos del proveedor:

Control de incidencias

Continuidad de negocio y recuperación en caso de catástrofe.

Copias de seguridad

1.4.1.3 Determinar si el proveedor de servicios lleva rutinariamente evaluaciones internas de confirmad de sus propias políticas,

procedimientos y disponibilidad de métricas de control.

1.4.2 El proveedor de servicios ha establecido procesos para alienar sus operaciones con los requisitos del cliente.

PO4.14 Políticas y procedimientos para personal contratado

PO6.4 Implantación de políticas, estándares y procedimientos PO8.3 Estándares para desarrollos y

adquisiciones AI5.2 Gestión de contratos con proveedores

DS2.2 Gestión de relaciones con proveedores DS2.3 Gestión de riesgos de proveedores

DS2.4 Monitoreo del desempeño de proveedores

DS5.1 Gestión de la seguridad de TI ME2.6 Control interno para terceros

SD 3.6 Aspectos de diseño

SD 3.9 Arquitectura orientada al servicio SD 3.11 Modelos para el diseño de los

servicios SD 4.2.5.9 Desarrollar contratos y relaciones

SD 4.6 Gestión de la seguridad de la información

SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de proveedores y contratos

SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.4 Gestión y desempeño de

proveedores y contratos SD 4.7.5.5 Renovación y/o término de contratos

SD 5.3 Gestión de aplicaciones SD 7 Consideraciones tecnológicas

ST 3.2.3 Adopción de estándares y de un marco de trabajo común ST 4.1.4 Políticas, principios y conceptos

básicos ST 4.1.5.1 Estrategia de transición SS 6.5 Estrategia de sourcing


6.2.3 Considerar la seguridad en

acuerdos con terceros

CA-3 Información de conexiones del sistema

PS-7 Seguridad del personal de terceros (subcontratados) SA-9 Servicios externos del sistema de información


71

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

1. G

OB

IER

NO

Y C

ON

TRO

L D

E R

IESG

OS

DE

LA E

MP

RES

A(c

on

t) 1.4.2.1

Determinar si el gobierno de seguridad de la información, control de

riesgos y los procesos de cumplimiento del proveedor de servicios son evaluados rutinariamente e incluyen:


Evaluación de riesgos y revisión de los servicios para el control de debilidades.

Definición de servicios críticos, factores de seguridad de la información e indicadores clave de rendimiento.

Frecuencia de las evaluaciones

Procesos de mitigación para asegurar tiempos de respuesta de errores

identificados.

Revisión de leyes, regulaciones y requisitos contractuales

Supervisión del proveedor de los riesgos de sus propios proveedores críticos.

Términos de uso para identificar roles, responsabilidades y el detalle contable del proveedor de servicio.

Revisión de las responsabilidades legales del proveedor.

1.4.3 El cliente realiza controles para asegurar el cumplimiento con la regulación y los requerimientos establecidos.

PO4.6 Establecer roles y responsabilidades PO7.1 Reclutamiento y retención del

personal PO7.6 Verificación de antecedentes del personal

PO9.1 Marco de trabajo de gestión de riesgos

PO9.2 Establecimiento del contexto del riesgo PO9.4 Evaluación de riesgos de TI

DS2.3 Gestión de riesgos de proveedores DS4.1 Marco de trabajo de continuidad de TI

DS4.3 Recursos críticos de TI

SS 2.6 Funciones y procesos a través del ciclo de vida SS 9.5 Riesgos

SD 4.4.5.2 Actividades proactivas de la gestión de la disponibilidad

SD 4.5 Gestión de continuidad de servicios de TI SD 4.7.5.3 Nuevos proveedores y contratos

SD 6.2 Análisis de actividades SD 6.4 Roles y responsabilidades

SD 8.1 Análisis de impacto en el negocio ST 6.3 Modelos organizacionales para apoyar la transición de servicios

ST 4.6 Evaluación SO 6.6 Roles y responsabilidades en la

operación del servicio CSI 6 Organización para la mejora continua CSI 5.6.3 Gestión de continuidad de

servicios de TI

8.1.2 Verificación 14.1.2 Continuidad del negocio y

evaluación de riesgos

CP-2 Plan de contingencia

PS-3 Encuestas previas RA-1 Políticas y procedimientos para la evaluación del riesgo RA-2 Categorización de seguridad

RA-3 Evaluación de riesgos RA-4 Actualización de la evaluación de riesgos

RA-5 Escaneo de vulnerabilidades PM-9 Estrategia de gestión de riesgo

1.4.3.1 Determinar si el cliente ha realizado los procedimientos esperados con

respecto al gobierno de la seguridad de información del proveedor del servicio, el control de riesgos y los procesos de cumplimiento como los

descritos en el apartado 2.14.2.

1.4.3.2

Determinar si el cliente tiene planes de contingencia para la pérdida

de servicio por parte del proveedor incluyendo:

Un plan de continuidad de negocio y plan de recuperación en caso de

catástrofe para diferentes escenarios de interrupción de servicio.

Test de continuidad de negocio y plan de recuperación antes desastres (PRD).

Incluir un análisis de impacto a usuarios y negocio en el plan de continuidad.


73

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

2. D

ESC

UB

RIM

IEN

TO L

EGA

L Y

ELEC

TRÓ

NIC

O

2.1 OBJETIVO: El proveedor de servicios y el cliente establecen acuerdos y procedimientos para asegurar que las obligaciones satisfacen las necesidades del cliente.


2.1.1

El equipo de contrataciones que representa al cliente en términos legales, financieros, seguridad de la información y unidades de negocio ha identificado e incluido los requisitos contractuales desde la perspectiva del cliente, y el equipo legal del proveedor de servicios ha asegurado la satisfacción del cliente.

PO6.1 Política y entorno de control de TI AI3.3 Mantenimiento de la infraestructura

AI6.2 Evaluación de impacto, priorización y autorización

AI6.3 Cambios de emergencia DS5.5 Pruebas, vigilancia y monitoreo de la seguridad

DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de

seguridad DS8.2 Registro de consultas de clientes DS9.2 Identificación y mantenimiento de


SS 6.4 Cultura organizacional SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)

SD 4.6.5.2 Gestión de brechas de seguridad e incidentes SO 4.1.5.3 Detección de eventos

SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos

SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.2.5.1 Identificación de incidentes

SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes

SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.3.5.1 Selección por menú

SO 4.3.5.1 Selección por menú SO 4.3.5.3 Otras aprobaciones

SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la información y la operación del servicio

SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes

SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio SO 5.9 Soporte de estaciones de trabajo

SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web

ST 4.1.5.2 Preparación para la transición del servicio ST 4.2.6.2 Crear y registrar la solicitud de

cambio ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio

ST 4.2.6.5 Autorizar el cambio ST 4.2.6.6 Coordinar la implementación del

cambio ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia

ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración

ST 4.3.5.5 Contabilización y registro de estados ST 4.6 Evaluación


13.2.1 Responsabilidades y procedimientos

IR-1 Políticas y procedimientos de respuesta a incidentes RA-3 Evaluación de riesgos RA-5 Escaneo de vulnerabilidades

SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad

2.1.1.1 Determinar si los acuerdos contractuales definen responsabilidades

para ambas partes relacionadas con la búsqueda y controles de litigación, preservación de evidencias y los testimonios de los expertos.

2.1.1.2 Determinar que el contrato del proveedor de servicios garantiza al cliente que sus datos son preservados y guardados, incluyendo los

datos principales y la información secundaria (metadatos y logs)

2.1.1.3 Determinar que el proveedor entiende sus obligaciones contractuales para ofrecer garantías de los datos del cliente. Revisar los contratos para determinar si esto se cumple.

2.1.1.4

Determinar que las laborares de monitorización del contrato por parte del cliente son completas, incluyendo al menos:

Diligencias debidas al precontrato

Negociaciones de los términos del contrato

Transferencia de la custodia de la información

Firma del contrato o renegociación de los términos

Transición de procesamiento


75

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

2. D

ESC

UB

RIM

IEN

TO L

EGA

L Y

ELEC

TRÓ

NIC

O(c

on

t)

2.1.1.5

Determinar que el contrato estipula y ambas partes entienden sus

obligaciones para terminar la relación de forma esperada o no, durante o después de las negociaciones, y el contrato y/o el acuerdo previo provee de las guías necesarias para devolver de forma

adecuada y ordenada los activos.

Todos los

riesgos aplican

2.1.1.6 Determinar que el contrato identifica específicamente las

responsabilidades en caso de violación de datos en ambas partes y se definen procesos cooperativos a implementar durante la investigación

y el seguimiento.

2.1.1.7 Determinar que el acuerdo da la posibilidad al cliente para acceder a

los servicios de rendimiento del proveedor y pruebas para las vulnerabilidades de forma regular.

2.1.1.8 Determinar que el contrato establece los derechos y las obligaciones para ambas partes durante la transición y las conclusiones de la

relación una vez que el contrato termina.

2.1.1.9

Determinar si el contrato establece los siguientes procesos de

protección de datos: Completa disposición de las prácticas y procedimientos internos del proveedor de servicios.

Políticas de retención de datos de acuerdo a los requisitos legales locales.

Presentación de informes de la localización geográfica de los datos del cliente.

Circunstancias en los cuales los datos pueden incautados y la notificación de dichos eventos.

Notificación de citaciones o descubrimiento de cualquier dato o

proceso del cliente.

Penalizaciones por fugas/violaciones de información

Protección contra “contaminación” de datos entre clientes. (compartimentación)

2.1.1.10 Requisitos de cifrado de datos en tránsito, finales y de backup están claramente identificados en los acuerdos contractuales del cloud.

2.1.2 El cliente ha implementado controles de monitorización apropiados para asegurar que se cumplen las obligaciones contractuales.

PO7.8 Cambios y ceses en los puestos de trabajo

DS5.4 Gestión de cuentas de usuario


SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios

SO 4.5.5.4 Monitorear el estado de la identidad SO 4.5.5.5 Registro y seguimiento de

accesos SO 4.5.5.6 Eliminar o restringir privilegios

SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle) SD 4.6.5.2 Gestión de brechas de seguridad

e incidentes

8.3.1 Responsabilidades en el cese PS-4 Despidos de personal PS-5 Trasferencias de personal

14. Mantenimiento,


2.1.2.1 Determinar que el cliente ha asegurado y establecido controles con las

obligaciones contractuales para asegurar retención de los datos y la propiedad intelectual y la privacidad de los datos personales están

contenidos en los datos.

2.1.2.2 Determinar que el cliente ha desarrollado elementos de

monitorización apropiados para supervisar los procesos de rendimiento del proveedor de los requisitos del contrato.

2.1.2.3 Determinar que el cliente ha establecido monitorizaciones internas para identificar deficiencias contractuales del lado del cliente.

2.2 OBJETIVO: Cumplimiento legal


77

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

2. D

ESC

UB

RIM

IEN

TO L

EGA

L Y

ELEC

TRÓ

NIC

O(c

on

t)

2.2.1 El cumplimiento legal de acuerdo a leyes locales como globales están definidas como componentes del contrato.

PO4.8 Responsabilidad sobre el riesgo, la

seguridad y el cumplimiento' DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.7 Protección de la tecnología de seguridad

ME2.5 Aseguramiento del control interno ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento

contractual

SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores SO 5.13 Gestión de seguridad de la

información y la operación del servicio SD 6.4 Roles y responsabilidades

15.1.1 Identificación de legislación

aplicable 15.1.2 Derechos de propiedad intelectual

15.2.2 Verificación de cumplimiento técnico


AT-1 Políticas y procedimientos de formación y sensibilización de seguridad AU-1 Políticas y procedimientos para auditorías y rendición de

cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y autorización

CA-2 Evaluación de seguridad CA-7 Monitorización continua

CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación

IA-7 Módulo criptográfico de autenticación IR-1 Políticas y procedimientos de respuesta a incidentes

MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno

PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal

RA-1 Políticas y procedimientos para evaluación del riesgo RA-5 Escaneo de vulnerabilidades SA-1 Políticas y procedimientos para la adquisición de sistemas y

servicios SA-6 Restricciones de uso del software


información PM-1 Información del Plan de Programa de Seguridad


2.2.1.1 Determinar si las leyes globales y locales están definidas y consideradas en el contrato.

2.2.1.2 Determinar si el proveedor de servicio y el cliente tienen acordados procesos unificados para respuestas de citaciones, procesos de

servicio, y otras peticiones legales.

3. A

UD

ITO

RIA

Y C

UM

PLI

MIE

NTO

3.1 OBJETIVO: Auditar y cumplir los acuerdos definidos


3.1.1 El derecho de auditar, tal y como se especifica en el contrato, permite al cliente llevar a cabo controles de evaluación.

DS5.5 Pruebas, vigilancia y monitoreo de la seguridad

DS5.7 Protección de la tecnología de seguridad ME2.5 Aseguramiento del control interno

AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las

aplicaciones

SO 4.4.5.11 Errores detectados en el

entorno de desarrollo SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores

SO 5.13 Gestión de seguridad de la información y la operación del servicio SD 3.6.1 Diseño de soluciones de servicios

15.3.1 Controles de auditoría de sistemas de información 15.3.2 Protección de herramientas

de auditoría de sistemas de información

AU-1 Políticas y procedimientos de auditorías y responsabilidades

AU-2 Eventos auditables AU-9 Protección de la información de auditoría PL-6 Planificación de actividades relacionadas con la seguridad

14. Mantenimiento,


3.1.1.1 Revisar el derecho de auditar en el contrato y determinar si las actividades de auditoría están restringidas o reducidas por el proveedor de servicios.

3.1.1.2 Si se identifican problemas en los derechos de auditoría, preparar a un resumen de las recomendaciones y transmitirlas al proveedor de

servicios. Si es necesario y apropiado, escalarlo al comité de auditoría.


79

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

3. A

UD

ITO

RIA

Y C

UM

PLI

MIE

NTO

(co

nt)

3.1.2

El proveedor de servicios facilita informes de revisiones de terceras partes (por ejemplo, auditoras externas) que demuestran su cumplimiento con los requisitos establecidos. El informe describe los controles y certifica que han sido probados usando criterios reconocidos.

AI2.3 Control y auditabilidad de las aplicaciones DS5.6 Definición de incidente de seguridad

DS5.7 Protección de la tecnología de seguridad

DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes

SD 4.6.5.1 Controles de seguridad

(cobertura de alto nivel, sin detalle) SD 4.6.5.2 Gestión de brechas de seguridad e incidentes

SO 4.1.5.3 Detección de eventos SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos

SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger

SO 4.1.5.8 Selección de respuestas SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes


SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes

SO 4.2.5.7 Investigación y diagnóstico SO 4.2.5.8 Resolución y recuperación

SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú SO 5.4 Gestión y soporte de servidores

SO 5.9 Soporte de estaciones de trabajo

13.2.3 Recolección de evidencia AU-9 Protección de la información de auditoría IR-4 Manejo de incidentes

14. Mantenimiento,

monitorización y análisis de registros de auditoría de

seguridad (logs)


3.1.2.1 Obtener informes de terceros.

3.1.2.2 Determinar que los informes abordan los entornos de control utilizados por el cliente.

3.1.2.3 Determinar que las descripciones y los procesos son relevantes para los clientes del proveedor de servicios.

3.1.2.4 Determinar que los informes describen los controles clave necesarios para evaluar el cumplimiento con los objetivos de control apropiados.

3.1.2.5 Determinar que los informes y pruebas van a satisfacer con garantías al cliente y a los requisitos de cumplimiento de todas las regulaciones

que tienen jurisdicción sobre el cliente.

3.1.2.6 Comparar el alcance de la auditoría llevada a cabo por el cliente y la auditoría realizada por terceros externos identificando posibles puntos adicionales a añadir.

3.1.2.7 Determinar si las relaciones del proveedor de servicios cruzan

fronteras internacionales y esto afecta la capacidad para confiar en los informes de los socios.

3.2 OBJETIVO: Cumplir los requisitos de y para la auditoria

3.2.1 Control: El cliente realiza auditorías adicionales para complementar las auditorías externas de terceros.

AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.7 Protección de la tecnología de

seguridad ME2.5 Aseguramiento del control interno

SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores


10.10.1 Logs de auditoría 10.10.5 Logs de errores

15.3.1 Controles de auditoría de sistemas de información

AU-1 Políticas y procedimientos de auditorías y responsabilidades AU-2 Eventos auditables

AU-3 Contenido de registros de auditorías AU-4 Capacidad de almacenamiento de auditorías AU-5 Respuesta a fallos de procesos de auditoría

AU-6 Revisión, análisis y reporte de auditorías AU-8 Time Stamps (marcas de tiempo)

AU-11 Retención de registros de auditoría AU-12 Generación de auditoría PL-6 Planificación de actividades relacionadas con la seguridad

SI-2 Corrección de defectos

14. Mantenimiento, monitorización y análisis de

registros de auditoría de seguridad (logs)

3.2.1.1 Determinar, una vez recibidos los informes de auditorías externas, si son necesarias auditorías internas adicionales.

3.2.1.2 Planificar con el proveedor, de manera detallada, aquellas auditorías y revisiones que sean necesarias. Nota: Utilizar planes de auditoría apropiados para estas revisiones.

3.3 OBJETIVO: Ámbito de cumplimiento

El uso del Cloud Computing no invalida o viola ningún punto del acuerdo de cumplimiento del cliente.


81

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

3. A

UD

ITO

RIA

Y C

UM

PLI

MIE

NTO

(co

nt)

3.3.1 Control: Determinar si los datos de Cloud Computing violan alguno de los puntos definidos en los estamentos reguladores de la información.

DS1.5 Monitoreo y reporte del

cumplimiento de los niveles de servicio DS2.4 Monitoreo del desempeño de

proveedores ME2.6 Control interno para terceros AI2.4 Seguridad y disponibilidad de las

aplicaciones AI7.7 Pruebas de aceptación final

SS 5.3 Gestión del portafolio de servicios

SD 3.6.1 Diseño de soluciones de servicios SD 4.2.5.3 Monitorear el desempeño del servicio contra el ANS

SD 4.2.5.6 Generar reportes del servicio SD 4.2.5.7 Ejecutar revisiones del servicio e instigar mejoras dentro del plan general de

mejoramiento del servicio SD 4.2.5.10 Reclamos y reconocimientos

SD 4.3.8 Gestión de la información SD 4.7.5.4 Gestión y desempeño de proveedores y contratos

CSI 4.2 Reportes del servicio CSI 4.3 Mediciones del servicio

SO 4.4.5.11 Errores detectados en el entorno de desarrollo ST 4.4.5.4 Pruebas y pilotos del servicio

ST 4.5.5.5 Ejecutar pruebas ST 4.5.5.6 Evaluar criterios de fin de

pruebas y reportar

10.2.2 Monitoreo y revisión de los servicios de terceros 12.5.4 Fuga de información

AC-4 Ejecución del flujo de la información PE-19 Fuga de información

SA-9 Servicios externos del sistema de información


3.3.1.1 Determinar si el cliente ha identificado las regulaciones legales y

requisitos que debe cumplir (EU Data Directive, PCAOB AS5, PCI DSS, HIPAA).

3.3.1.2 Determinar si el cliente ha determinado los requisitos para minimizar la duplicidad.

3.3.1.3

De acuerdo con la información aportada por los planes de riesgo y gobierno de la compañía así como por el área legal y auditoría,

elaborar un análisis cuyo objetivo sea establecer si existen requerimientos legales que no pueden ser cumplidos por el modelo de

Cloud Computing establecido.

3.3.2

Control: Los escenarios de despliegue (SaaS, PaaS, IaaS) definen las responsabilidades de protección de datos entre el cliente y el proveedor de servicios, y estas responsabilidades están claramente establecidas.

DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad ME1.2 Definición y recolección de los datos de monitoreo

ME2.2 Revisiones de supervisión ME2.5 Aseguramiento del control interno


SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la

información y la operación del servicio SD 4.2.5.10 Reclamos y reconocimientos

CSI 4.1c Paso 3 — Recolección de datos CSI 4.1 d Paso 4 — Procesar los datos

10.10.2 Monitoreo del uso de los sistemas

AU-1 Políticas y procedimientos de auditorías y responsabilidades

AU-6 Revisión, análisis y reporte de auditorías AU-7 Reducción de auditoría y generación de informes PE-6 Monitorización del acceso físico

PE-8 Registro de accesos SC-7 Protección de Fronteras

SI-4 Monitorización del sistema de información

3.3.2.1 Determinar si las responsabilidades para la protección de datos están

basadas en los riesgos para el escenario de despliegue establecido.

3.3.2.2 Revisar el contrato para determinar la asignación de

responsabilidades.

3.3.2.3 Basado en el contrato, determinar si tanto el cliente como el proveedor de servicio han establecido unas medidas de protección de datos apropiadas para cubrir sus responsabilidades.

3.4 OBJETIVO: Certificación ISO 27001

Garantizar la seguridad del proveedor de servicios se sigue la certificación ISO 27001.


83

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

3. A

UD

ITO

RIA

Y C

UM

PLI

MIE

NTO

(co

nt)

3.4.1 Control: La certificación ISO 27001 garantiza que el proveedor de servicios sigue las mejores prácticas de seguridad.

PO4.8 Responsabilidad sobre el riesgo, la

seguridad y el cumplimiento PO6.2 Riesgo corporativo y marco de referencia del control interno de TI

ME2.1 Monitoreo del marco de trabajo de control interno

ME2.2 Revisiones de supervisión ME2.3 Excepciones de control ME2.4 Autoevaluación de control

ME2.5 Aseguramiento del control interno ME2.6 Control interno para terceros

ME2.7 Acciones correctivas ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento

contractuales

SD 6.4 Roles y responsabilidades

15.1.1 Identificación de legislación

aplicable 15.2.1 Cumplimiento con políticas y estándares de seguridad


AC-2 Gestión de cuentas AT-1 Políticas y procedimientos de formación y sensibilización de seguridad

AU-1 Políticas y procedimientos para auditorías y rendición de cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y

autorización CA-2 Evaluación de seguridad

CA-7 Monitorización continua CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia

IA-1 Políticas y procedimientos para identificación y autenticación IA-7 Módulo criptográfico de autenticación

IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios

PE-1 Políticas y procedimientos para la protección física y del entorno PE-8 Registro de accesos

PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo



información SI-12 Manejo y retención de salida de información

PM-1 Información del Plan de Programa de Seguridad


3.4.1.1 Determinar si el proveedor de servicio ha recibido la certificación

27001. Si la tiene, ajustar los programas de auditoría para que reflejen los puntos que aparecen en la certificación.

4. P

LAN

IFIC

AC

IÓN

DE

LA M

IGR

AC

IÓN

E IN

TER

OP

ERA

BIL

IDA

D

4.1 OBJETIVO: Servicio de Planificación de la Transición


4.1.1

Control: Migración. Los procedimientos, capacidades y alternativas son establecidos, mantenidos y probados, y un plan y/o procedimiento ha sido establecido para transferir las

operaciones de Cloud Computing a un proveedor de servicios alternativo en caso de que el proveedor de servicio seleccionado no sea capaz de cumplir con los requisitos contractuales o cese su actividad.

PO3.1 Planeamiento de la orientación tecnológica

PO9.2 Establecimiento del contexto del riesgo

DS4.1 Marco de trabajo de continuidad de TI DS4.2 Planes de continuidad de TI DS4.8 Recuperación y reanudación de los

servicios de TI DS8.1 Mesa de servicios

DS8.3 Escalamiento de incidentes

SD 4.4.5.2 Actividades proactivas de la gestión de la disponibilidad

SD 4.5 Gestión de continuidad de servicios de TI

SD 4.5.5.1 Etapa 1 — Inicio SD 4.5.5.2 Etapa 2 — Requisitos y estrategia

SD 4.5.5.3 Etapa 3 — Implementación SD 4.5.5.4 Etapa 4 — Operación continua

SD Apéndice K Contenido típico de un plan de recuperación SO 4.1 Gestión de eventos

SO 4.1.5.8 Selección de respuestas SO 4.2 Gestión de incidentes SO 4.2.5.6 Escalamiento de incidentes


SO 5.9 Soporte de estaciones de trabajo SO 6.2 Mesa de servicios CSI 5.6.3 Gestión de continuidad de

servicios de TI SS 8 Estrategia y tecnología

SS 9.5 Riesgos

14.1.1 Incluir la seguridad de

información en el proceso de gestión de continuidad del negocio

14.1.3 Inclusión de SI en el desarrollo e implementación de planes de continuidad

14.1.4 Marco de trabajo de BCP (Plan de Continuidad de Negocio)

CP-1 Políticas y procedimientos para planes de contingencia CP-2 Plan de contingencia

CP-3 Entrenamiento de contingencia CP-4 Pruebas y ejercicios de planes de contingencia CP-5 Actualizaciones de planes de contingencia

CP-6 Lugar de almacenaje alternativo CP-7 Lugar de procesamiento alternativo CP-8 Servicios de telecomunicación

CP-9 Backup del sistema de información CP-10 Recuperación y reconstrucción del sistema de información

8. Capacidad de recuperación de datos

4.1.1.1 Todas las soluciones Cloud

4.1.1.1.1 Determinar que los requisitos de hardware y software y la viabilidad de pasar del actual proveedor de servicios (proveedor de confianza) a otro proveedor (nuevo proveedor) ha sido documentado para cada

iniciativa de Cloud Computing.

4.1.1.1.2 Determinar que un proveedor de servicios alternativo para cada proveedor de servicios de confianza ha sido identificado y que la viabilidad de los procesos de transferencia ha sido evaluada.

4.1.1.1.3 Determinar si el análisis de viabilidad incluye los procedimientos y las estimaciones de tiempo para mover grandes volúmenes de datos, si

fuese relevante.


85

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

4. P

LAN

IFIC

AC

IÓN

DE

LA M

IGR

AC

IÓN

E

INTE

RO

PER

AB

ILID

AD

(co

nt)

4.1.1.1.4 Determinar si el proceso de migración ha sido probado.


4.1.1.2 Soluciones para Cloud IaaS

4.1.1.2.1 Determinar si el análisis de viabilidad para transferir desde el proveedor de servicios de confianza IaaS implica cualesquiera funciones o procesos patentados/privados que pudieran impedir o

retrasasen la transferencia de las operaciones.

4.1.1.2.2 Determinar si el análisis de migración incluye los procesos para

proteger la propiedad intelectual y los datos del proveedor de servicios de confianza una vez que la transferencia se haya

completado.

4.1.1.3 Soluciones para Cloud PaaS

4.1.1.3.1 Determinar si el análisis de viabilidad incluye la identificación de los componentes y módulos de la aplicación que son privados y que podrían necesitar una programación especial durante la transferencia.

4.1.1.3.2

Determinar si el análisis de migración incluye:

Las funciones de traducción a un nuevo proveedor de servicios

Procesamiento provisional hasta que un nuevo proveedor de servicio esté en funcionamiento

Pruebas de nuevos procesos antes de la promoción de un entorno de

producción en el nuevo proveedor de servicios

4.1.1.4 Soluciones para Cloud SaaS

4.1.1.4.1

Determinar si el análisis de la migración incluye:

Un plan de copias de seguridad de los datos en un formato que sea utilizable por otras aplicaciones

Copia de seguridad periódica de los datos

Identificación de las herramientas personalizadas requeridas para procesar los datos

Prueba de la aplicación del nuevo proveedor de servicios y la debida diligencia antes de la conversión

5. N

OTI

FIC

AC

ION

ES D

E IN

CID

ENTE

S, R

ESP

UES

TAS

Y R

EPA

RA

CIO

NES

5.1

OBJETIVO: Respuesta a Incidentes. El Acuerdo de Nivel de Servicio contiene definiciones específicas de incidentes (violaciones de datos, violaciones de seguridad) y eventos (actividades sospechosas) y las responsabilidades y acciones a ser emprendidas por ambas partes.

5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución de Denegación de Servicio (DDoS) (continua)

5.1.1 Obtener y revisar los ANS por el contrato para determinar que los incidentes y eventos están claramente definidos y las responsabilidades asignadas.

PO5.4 Gestión de costos de TI AI4.4 Transferencia de conocimiento al

personal de operaciones y soporte DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias

DS10.2 Seguimiento y resolución de problemas

SS 5.1 Gestión financiera

ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el soporte de decisiones

ST 4.4.5.5 Planificar y preparar el despliegue

ST 4.7 Gestión del conocimiento SO 3.7 Documentación SO 4.1.5.9 Revisar acciones

SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes

SO 4.4.5.2 Log de problemas SO 4.4.5.5 Investigación y diagnóstico de problemas

SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos

SO 4.4.5.8 Resolución de problemas SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 4.6.6 Gestión del conocimiento (actividades operativas)

CSI 4.3 Mediciones del servicio

13.2.2 Aprendiendo de los incidentes de seguridad de información

IR-4 Manejo de incidentes


vulnerabilidades y resolución de las mismas 18. Gestión de Respuesta a

Incidentes


87

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

5. N

OTI

FIC

AC

ION

ES D

E IN

CID

ENTE

S, R

ESP

UES

TAS

Y R

EPA

RA

CIO

NES

(co

nt)

5.1.2 Revisar los acuerdos de cooperación, y evaluar las responsabilidades para la investigación de incidentes.

PO5.4 Gestión de costos de TI AI4.4 Transferencia de conocimiento al personal de operaciones y soporte

DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias

DS10.2 Seguimiento y resolución de problemas



ST 4.4.5.5 Planificar y preparar el despliegue ST 4.7 Gestión del conocimiento

SO 3.7 Documentación SO 4.1.5.9 Revisar acciones

SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes SO 4.4.5.2 Log de problemas

SO 4.4.5.5 Investigación y diagnóstico de problemas

SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos SO 4.4.5.8 Resolución de problemas

SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 4.6.6 Gestión del conocimiento (actividades operativas) CSI 4.3 Mediciones del servicio

13.2.2 Aprendiendo de los

incidentes de seguridad de información


9. Evaluación de las habilidades de seguridad y formación adecuadas para satisfacer las

deficiencias de seguridad

(continuación) 10 Denegación económica de servicio (EdoS) 11 Perdidas de

las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales

5.1.3 Procedimientos de notificación acordes a las leyes locales son incorporados en el proceso de incidentes y eventos.

PO4.15 Relaciones DS4.1 Marco de trabajo de continuidad de TI

DS4.2 Planes de continuidad de TI ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento

contractual ME3.3 Evaluación del cumplimiento con

requerimientos externos ME3.4 Aseguramiento positivo del cumplimiento


SD 4.5 Gestión de continuidad de servicios de TI

SD 4.5.5.1 Etapa 1 — Inicio SD 4.5.5.2 Fase 2— Requisitos y estrategia SD 4.5.5.3 Fase 3 — Implementación

SD Apéndice K Contenido típico de un plan de recuperación

CSI 5.6.3 Gestión de continuidad de servicios de TI

6.1.6 Relación con las autoridades 6.1.7 Relación con grupos de interés especial

AT-5 Contacto con grupos de seguridad y asociaciones IR-6 Reportes de incidentes SI-5 Alertas, asesoría y directivas de seguridad

5.2

OBJETIVO: Monitorización de Problemas del Proveedor de Servicios. Los procesos de monitorización de problemas son implementados y usados activamente por el proveedor de servicios para documentar e informar sobre todos los incidentes definidos.

5.2.1 Obtener y revisar los procedimientos de monitorización de problemas del proveedor de servicios.

PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de

seguridad DS8.2 Registro de consultas de clientes


SS 9.5 Riesgos

ST 9 Desafíos, factores críticos de éxito y riesgos SO 4.1.5.3 Detección de eventos

SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos

SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas

SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes

SO 4.2.5.3 Clasificación de incidentes SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial

SO 4.2.5.6 Escalamiento de incidentes SO 4.2.5.7 Investigación y diagnóstico

13.1.2 Reporte de debilidades de seguridad de información

PL-4 SI-2 Corrección de defectos SI-4 Monitorización del sistema de información

SI-5 Alertas, asesoría y directivas de seguridad

14. Mantenimiento, monitorización y análisis de registros de auditoría de

seguridad (logs)


89

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

5. N

OTI

FIC

AC

ION

ES D

E IN

CID

ENTE

S, R

ESP

UES

TAS

Y R

EPA

RA

CIO

NES

(co

nt)

5.2.2 Determinar si los requisitos de los informes de monitorización están alineados con la política de informes de incidentes establecida por el cliente.

PO5.4 Gestión de costos de TI

AI4.4 Transferencia de conocimiento al personal de operaciones y soporte DS8.4 Cierre de incidentes

DS8.5 Reportes y análisis de tendencias DS10.1 Identificación y clasificación de

problemas DS10.2 Seguimiento y resolución de problemas



ST 4.4.5.5 Planificar y preparar el despliegue ST 4.7 Gestión del conocimiento

SO 3.7 Documentación SO 4.1.5.9 Revisar acciones

SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes SO 4.4.5.2 Log de problemas

SO 4.4.5.5 Investigación y diagnóstico de problemas

SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos SO 4.4.5.8 Resolución de problemas

SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 4.6.6 Gestión del conocimiento (actividades operativas) CSI 4.3 Mediciones del servicio




5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución de Denegación

de Servicio (DDoS) 10 Denegación económica de servicio (EdoS) 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales

5.2.3 Obtener los informes de incidentes monitorizados durante un periodo representativo de tiempo.

AI2.3 Control y auditabilidad de las

aplicaciones DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de


DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes

SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)

SD 4.6.5.2 Gestión de brechas de seguridad e incidentes


SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger

SO 4.1.5.8 Selección de respuestas SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes


SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes


SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú SO 5.4 Gestión y soporte de servidores

SO 5.9 Soporte de estaciones de trabajo

13.2.3 Recolección de evidencia AU-9 Protección de la información de auditoría IR-4 Manejo de incidentes

5.2.3.1

Determinar que:

El cliente fue notificado del incidente dentro de los requisitos del ANS

La reparación se hizo en tiempo acorde al alcance y riesgo del

incidente

La reparación fue apropiada

El problema fue escalado, en caso necesario

El problema fue cerrado y el cliente lo notificó de manera oportuna

5.3

OBJETIVO: Monitorización de Problemas del Cliente: El cliente ha establecido un proceso de monitorización de problemas para rastrear los incidentes internos y del proveedor de servicios.


91

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

5. N

OTI

FIC

AC

ION

ES D

E IN

CID

ENTE

S, R

ESP

UES

TAS

Y R

EPA

RA

CIO

NES

(co

nt)

5.3.1 Obtener el procedimiento de monitorización de incidencias del cliente.

PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la seguridad

DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de

seguridad DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes

SS 9.5 Riesgos

ST 9 Desafíos, factores críticos de éxito y riesgos SO 4.1.5.3 Detección de eventos

SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos SO 4.1.5.6 Correlación de eventos

SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas

SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes

SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial



PL-4 Reglamento de comportamiento

SI-2 Corrección de defectos SI-4 Monitorización del sistema de información


5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución

de Denegación de Servicio (DDoS) 10 Denegación económica de servicio (EdoS) 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales

5.3.2 Determinar si el procedimiento de monitorización de incidentes rastrea tanto los incidentes internos como los del proveedor de servicios.

PO5.4 Gestión de costos de TI

AI4.4 Transferencia de conocimiento al personal de operaciones y soporte

DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias DS10.2 Seguimiento y resolución de

problemas

ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el

soporte de decisiones ST 4.4.5.5 Planificar y preparar el despliegue

ST 4.7 Gestión del conocimiento SO 3.7 Documentación SO 4.1.5.9 Revisar acciones

SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes

SO 4.4.5.2 Log de problemas SO 4.4.5.5 Investigación y diagnóstico de problemas

SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos

SO 4.4.5.8 Resolución de problemas SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 4.6.6 Gestión del conocimiento (actividades operativas)

CSI 4.3 Mediciones del servicio




5.3.3 Seleccionar una muestra de incidentes y determinar que:

PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de



SS 9.5 Riesgos

ST 9 Desafíos, factores críticos de éxito y riesgos


SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas

SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes

SO 4.2.5.3 Clasificación de incidentes SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial



PL-4 Reglamento de comportamiento SI-2 Corrección de defectos SI-4 Monitorización del sistema de información



las mismas 8. Capacidad de recuperación de datos


registros de auditoría de seguridad (logs) 18. Gestión de Respuesta a

Incidentes

5.3.3.1

El proveedor de servicios notificó al cliente en una base temporal acorde con el alcance del contrato

La reparación se hizo en tiempo respecto al alcance y riesgo del incidente

La reparación fue apropiada

El problema fue escalado en la jerarquía del proveedor de servicios

El problema fue cerrado por el proveedor de servicios

5.3.3.2 El problema fue monitorizado y notificado a la gestión del cliente

5.3.3.3 Los procedimientos del cliente fueron modificados para reconocer el riesgo aumentado

Los incidentes internos del cliente fueron grabados por el cliente, notificados de forma apropiada, reparados y cerrados


93

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

6. D

ESA

RR

OLL

O D

E LA

S A

PLI

CA

CIO

NES

6.1 OBJETIVO: Arquitectura de la Seguridad de Aplicaciones

4 Falta de recursos de la nube 5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 8 Eliminar los datos de una forma insegura o ineficaz 12 Riesgos derivados del cambio de jurisdicción 14 Riesgos relativos a la licencia 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 24 Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud 25 Desafíos de Cumplimiento

6.1.1

Arquitectura de la Seguridad de Aplicaciones: El diseño de las aplicaciones basadas en Cloud incluyen arquitecturas expertas en la materia de la seguridad de la información y de la seguridad de las aplicaciones,

AI3.3 Mantenimiento de la infraestructura AI6.2 Evaluación de impacto, priorización y

autorización AI6.3 Cambios de emergencia DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS5.7 Protección de la tecnología de

seguridad DS9.2 Identificación y mantenimiento de elementos de la configuración

SO 4.3.5.1 Selección por menú

SO 4.3.5.3 Otras aprobaciones SO 4.5.5.6 Eliminar o restringir privilegios

SO 5.13 Gestión de seguridad de la información y la operación del servicio SO 5.4 Gestión y soporte de servidores

SO 5.5 Gestión de redes SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio

SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware

SO 5.11 Gestión Internet/web ST 4.1.5.2 Preparación para la transición del servicio

ST 4.2.6.2 Crear y registrar la solicitud de cambio

ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio ST 4.2.6.5 Autorizar el cambio

ST 4.2.6.6 Coordinar la implementación del cambio

ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia ST 4.3.5.3 Identificación de la configuración


estados ST 4.6 Evaluación

12.6.1 Control de vulnerabilidades

técnicas

RA-3 Evaluación de riesgos RA-5 Escaneo de vulnerabilidades

SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad

3. Configuración segura de hardware y software en portátiles, estaciones de trabajo

y servidores 6. Software de seguridad de

aplicación

6.1.1.1 Obtener la documentación del diseño de la aplicación, y revisar las políticas de participación de expertos en el diseño del sistema

6.1.1.2 Determinar que tanto especialistas en seguridad de la información como especialistas en arquitectura han participado plenamente

durante la planificación y desarrollo de las aplicaciones tipo Cloud.

6.1.1.3 Seleccionar implementaciones recientes, y revisar el proyecto y los

planes de desarrollo para probar la participación de expertos en seguridad de la información y expertos en la materia.

6.1.2

Gestión de la Configuración y Abastecimiento: La gestión de la configuración y procedimientos de abastecimiento están segregados del proveedor de servicios, limitados a una función de seguridad en las operaciones dentro de la organización del cliente y proporcionan pistas de auditoría para documentar todas las actividades.

DS1.1 Marco de trabajo para la gestión de

niveles de servicio DS1.2 Definición de servicios

DS1.3 Acuerdos de niveles de servicio DS2.4 Monitoreo del desempeño de proveedores

SS 2.6 Funciones y procesos a través del ciclo de vida

SS 4.2 Desarrollar las ofertas SS 4.3 Desarrollar activos estratégicos SS 4.4 Preparar la ejecución

SS 5.5 Gestión de la demanda SS 7.2 Estrategia y diseño

SS 7.3 Estrategia y transiciones SS 7.4 Estrategia y operaciones SS 7.5 Estrategia y mejora

SS 8.2 Interfaces del servicio SD 3.1 Metas

SD 3.2 Diseño balanceado SD 3.4 Identificar y documentar los requisitos y drivers del negocio

SD 4.2.5.1 Diseñar el marco operativo para el ANS

SD 4.2.5.2 Requisitos acordados y documentados de los nuevos servicios; definir los requisitos de los niveles de

servicios SD 4.2.5.9 Desarrollar contratos y relaciones


SD Apéndice F Probar los ANS y Acuerdos de Niveles de Operación

10.2.1 Entrega de servicios SA-9 Servicios externos del sistema de información


registros de auditoría de seguridad (logs)

6.1.2.1 Obtener la arquitectura de seguridad de la gestión de configuración y abastecimiento

6.1.2.2 Determinar si el proveedor de servicios no puede configurar o aprovisionar usuarios (tanto administrativos como normales), lo cual

puede afectar a la integridad de los datos, acceso o a la seguridad


95

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

6. D

ESA

RR

OLL

O D

E LA

S A

PLI

CA

CIO

NES

(co

nt)

6.1.2.3 Determinar si existen registros y pistas de auditoría, y grabar dichas

actividades y cómo son monitorizadas y revisadas

4 Falta de recursos de la nube 5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 8 Eliminar los datos de una forma insegura o ineficaz 12 Riesgos derivados del cambio de jurisdicción 14 Riesgos relativos a la licencia 18 Escalada de privilegios

19 Ataques de ingeniería social (suplantación) 24 Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud 25 Desafíos de Cumplimiento

6.2 OBJETIVO: Cumplimiento: Los requisitos de cumplimiento son una parte integral del diseño e implementación de la arquitectura de seguridad de la aplicación.

6.2.1

Cumplimiento: El SDLC incluye procesos para asegurar que los requisitos de cumplimiento están identificados, asignados a la aplicación basada en Cloud, e incluidos en el producto final. Los vacíos de cumplimiento son escalados a la alta dirección correspondiente para la renuncia de su aprobación

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO6.4 Implantación de políticas, estándares

y procedimientos DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS11.2 Acuerdos para el almacenamiento y la conservación

ME2.2 Revisiones de supervisión ME2.5 Aseguramiento del control interno


SO 4.5.5.6 Eliminar o restringir privilegios

SO 5.13 Gestión de seguridad de la información y la operación del servicio SO 5.6 Almacenamiento y archivo

SD 5.2 Gestión de los datos y la información SD 6.4 Roles y responsabilidades

6.1.8 Revisión independiente de la seguridad de la información 15.1.3 Protección de registros

organizacionales

AU-9 Protección de la información de auditoría AU-11 Retención de registros de auditoría

CA-2 Evaluación de seguridad CA-7 Monitorización continua

CP-9 Backup del sistema de información MP-1 Políticas y procedimientos de protección de medios MP-4 Medios de almacenamiento

SA-5 Documentación del sistema de información SI-12 Manejo y retención de salida de información

6.2.1.1 Obtener el análisis de cumplimiento utilizado como base para la

autorización de la puesta en marcha de una aplicación basada en Cloud.

6.2.1.2 Determinar si se realiza una revisión de cumplimiento formal y si se requiere autorización de la alta dirección cuando las políticas internas

de seguridad de la información requieren una dispensa para permitir la implementación de la aplicación basada en Cloud

6.3

OBJETIVO: Herramientas y Servicios: El uso de las herramientas de desarrollo, bibliotecas de gestión de aplicación y otro software está evaluado para asegurar que su uso no tendrá un impacto negativo respecto a la seguridad de la aplicación.

6.3.1

Herramientas y Servicios: Todas las herramientas y servicios utilizados en el desarrollo, gestión y monitorización de las aplicaciones están detalladas, y la propiedad está documentada, y su efecto en la seguridad de la aplicación está explícitamente analizada

AI2.3 Control y auditabilidad de las

aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones


SD 3.6.1 Diseño de soluciones de servicios SO 4.4.5.11 Errores detectados en el entorno de desarrollo

SO 5.4 Gestión y soporte de servidores

15.3.2 Protección de herramientas

de auditoría de sistemas de información

AU-9 Protección de la información de auditoría

6.3.1.1 Obtener un análisis de herramientas y servicios en uso

6.3.1.2 Determinar si la propiedad de cada herramienta y servicio ha sido identificada

6.3.1.3 Determinar si los riesgos de la seguridad de la información han sido

evaluados para cada herramienta y servicio. Si uno es considerado un riesgo de seguridad, determinar la disposición (escalamiento, renuncia al uso o no permitir el uso del software en un entorno tipo Cloud).

6.3.1.4 Examinar ejemplos de peticiones escaladas, y determinar la adherencia a procedimientos.

6.4

OBJETIVO: Funcionalidad de la Aplicación: Para implementaciones SaaS, la aplicación subcontratada a la nube contiene la funcionalidad apropiada y los controles de procesamiento requeridos por las políticas de control del usuario en el ámbito del procesamiento (financiero, operacional, etc.).

6.4.1 Funcionalidad de la Aplicación: La funcionalidad de la aplicación está sujeta a un examen de control como parte del proceso de verificación auditable de la aplicación del cliente

AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad ME2.5 Aseguramiento del control interno


información y la operación del servicio

15.3.1 Controles de auditoría de sistemas de información

AU-1 Políticas y procedimientos de auditorías y responsabilidades AU-2 Eventos auditables

PL-6 Planificación de actividades relacionadas con la seguridad

6. Software de seguridad de aplicación

6.4.1.1 Recomendar a un programa de auditoría de aplicaciones estándar para pasos específicos


97

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

7. T

RA

NSM

ISIÓ

N Y

ALM

AC

ENA

MIE

NTO

DE

LA IN

FOR

MA

CIÓ

N

7.1 OBJETIVO: Cifrado. La información es transmitida y almacenada de

forma segura para prevenir accesos no autorizados y modificaciones.

6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de

codificación 13 Riesgos de la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad 22 Robo de equipos informáticos

7.1.1 Transporte de Datos: El transporte de datos está cifrado en las redes con claves privadas conocidas únicamente por el cliente.

AI2.4 Seguridad y disponibilidad de las

aplicaciones PO2.3 Esquema de clasificación de datos

PO4.11 Segregación de funciones [sic] PO6.2 Riesgo corporativo y marco de referencia del control interno de TI

DS5.8 Gestión de llaves criptográficas DS5.9 Prevención, detección y corrección de

Software malicioso DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos del negocio para la

gestión de los datos

SD 3.6.1 Diseño de soluciones de servicios

SD 5.2 Gestión de los datos y la información ST 3.2.13 Asegurar la calidad de un servicio

nuevo o modificado SO 4.4.5.11 Errores detectados en el entorno de desarrollo


SO 5.5 Gestión de redes

10.6.1 Controles de red 10.8.1 Políticas y procedimientos

para el intercambio de información 10.8.2 Acuerdos de intercambio

12.3.1 Políticas de uso de controles criptográficos


AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información AC-17 Acceso Remoto

AC-18 Acceso Wireless AC-20 Uso de sistemas de información externos

CA-3 Información de conexiones del sistema CP-8 Servicios de telecomunicación IA-7 Módulo criptográfico de autenticación

PE-5 Control de acceso a dispositivos de salida PL-4 Reglamento de comportamiento

PS-6 Acuerdos de Acceso SA-9 Servicios externos del sistema de información SC-7 Protección de Fronteras

SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión

SC-10 Desconexión de la red SC-12 Establecimiento de cifrado y gestión de claves SC-13 Uso de cifrado

SC-16 Trasmisión de atributos de seguridad SC-19 VOIP SC-20 Servicio de Resolución de Direcciones (fuente fiable)

SC-21 Servicio de Resolución de Direcciones (resolutor alternativo o cache)

SC-22 Arquitectura y suministro de Nombre/Servicio de Resolución de Dirección SC-23 Autenticación de sesión

SI-9 Restricciones de entradas de información

19. Ingeniería de red segura

7.1.1.1 Obtener las políticas de cifrado y los procedimientos para el transporte de datos.

7.1.1.2

Evaluar si los procesos de cifrado incluyen lo siguiente:

Clasificación de los datos que atraviesan las redes del Cloud (alto

secreto, confidencial, confidencial de la empresa, público)

Tecnologías de cifrado en uso

Gestión de claves

Una lista de organizaciones externas a los clientes que tienen las

claves de descifrado de los datos en tránsito

7.1.2

Datos en Reposo: Los datos almacenados en una base de datos activa en producción dentro de un sistema Cloud están cifrados, con conocimiento de las claves de descifrado únicamente por parte del cliente.

PO2.3 Esquema de clasificación de datos

PO3.4 Estándares tecnológicos AI5.2 Gestión de contratos con proveedores

DS2.3 Gestión de riesgos de proveedores DS5.7 Protección de la tecnología de seguridad

DS5.9 Prevención, detección y corrección de Software malicioso DS5.11 Intercambio de datos sensitivos


SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.5 Renovación y/o término de

contratos SD 5.2 Gestión de los datos y la información SO 5.4 Gestión y soporte de servidores


10.6.2 Seguridad de los servicios de red

11.4.1 Políticas de uso de los servicios de red


AC-5 Separación de funciones AC-6 Mínimo privilegio

AC-17 Acceso Remoto AC-18 Acceso Wireless AC-20 Uso de sistemas de información externos

SA-9 Servicios externos del sistema de información SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión

7.1.2.1 Obtener las políticas de cifrado y los procedimientos para los datos

almacenados en sistemas Cloud.

7.1.2.2 Para implementaciones SaaS, determinar si el proveedor de servicios

ha implementado cifrado para los datos en reposo.

7.1.2.3 Determinar si existe información sensible que necesita ser

almacenada exclusivamente en los sistemas del cliente para satisfacer la política del cliente, los requisitos de cumplimiento, o los de

conformidad


99

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

7. T

RA

NSM

ISIÓ

N Y

ALM

AC

ENA

MIE

NTO

DE

LA IN

FOR

MA

CIÓ

N(c

on

t)

7.1.3 Copia de Seguridad de los Datos: Las copias de seguridad de los datos están disponibles cifradas

PO3.4 Estándares tecnológicos

PO6.2 Riesgo corporativo y marco de referencia del control interno de TI DS4.9 Almacenamiento externo de

respaldos DS5.2 Plan de seguridad de TI DS5.3 Gestión de identidad


DS11.2 Acuerdos para el almacenamiento y la conservación DS11.5 Respaldo y restauración

DS11.6 Requisitos de seguridad para la gestión de datos

SD 4.5.5.2 Etapa 2 — Requisitos y estrategia

SD 4.6.4 Políticas, principios y conceptos básicos SD 4.6.5.1 Controles de seguridad

(cobertura de alto nivel, sin detalle) SD 5.2 Gestión de los datos y la información

SO 5.2.3 Respaldo y restauración SO 5.4 Gestión y soporte de servidores SO 5.6 Almacenamiento y archivo

10.5.1 Respaldo de la información

11.7.2 Teletrabajo


AC-4 Ejecución del flujo de la información AC-17 Acceso Remoto AC-18 Acceso Wireless

CP-9 Backup del sistema de información PE-17 Lugar de trabajo alternativo

PL-4 Reglamento de comportamiento PS-6 Acuerdos de Acceso

8. Capacidad de recuperación de

datos

6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de codificación 13 Riesgos de

la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad 22 Robo de equipos informáticos

7.1.3.1 Obtener las políticas de copia de seguridad de los datos y los procedimientos para copia de seguridad de datos basados en Cloud.

7.1.3.2 Determinar si los datos son cifrados para prevenir el acceso y divulgación no autorizados de información confidencial

7.1.3.3 Determinar si la estructura de las claves de cifrado proporciona una

adecuada confidencialidad de los datos.

7.1.3.4 Asegurar si el proceso de copia de seguridad proporciona la habilidad

de restaurar configuraciones y datos para un periodo determinado que permita análisis forense y otras actividades de evaluación.

7.1.3.5 Determinar si las pruebas en la restauración de información son llevadas a cabo de forma rutinaria.

7.1.4

Test de Confidencialidad de Datos: Los datos de prueba no contienen y está prohibido que utilicen copias de cualquier tipo de datos en producción o históricos que presenten

información sensible/confidencial.

AI3.3 Mantenimiento de la infraestructura

DS2.4 Monitoreo del desempeño de proveedores DS9.1 Repositorio y línea base de

configuración DS9.2 Identificación y mantenimiento de

elementos de la configuración DS11.6 Requisitos de seguridad para la gestión de datos


SD 5.2 Gestión de los datos y la información SO 5.4 Gestión y soporte de servidores


SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web

SS 8.2 Interfaces del servicio ST 4.1.5.2 Preparación para la transición del

servicio ST 4.3.5.2 Gestión y planificación ST 4.3.5.3 Identificación de la configuración


estados

12.4.2 Protección de los datos de prueba de sistema

AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información

17. Prevención de pérdida de datos

7.1.4.1 Obtención de las políticas de prueba y estándares.

7.1.4.2 Determinar si las políticas excluyen específicamente el uso de cualquier tipo de datos en producción o históricos

7.1.4.3 Llevar a cabo procedimientos de muestreo para determinar el cumplimiento de la política de prohibición con los datos de prueba

7.2

OBJETIVO: Gestión de la Clave: Las claves de cifrado son protegidas de forma segura contra accesos no autorizados, con una separación de funciones existente entre los gestores de la clave y la organización que las alberga, y las claves son recuperables


101

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

7. T

RA

NSM

ISIÓ

N Y

ALM

AC

ENA

MIE

NTO

DE

LA IN

FOR

MA

CIÓ

N(c

on

t)

7.2.1 Repositorios de Clave Seguros: Los repositorios de clave están protegidos durante la transmisión, almacenamiento y copia de seguridad

AI4.4 Transferencia de conocimiento al personal de operaciones y soporte

DS4.9 Almacenamiento externo de respaldos DS5.4 Gestión de cuentas de usuario

DS5.7 Protección de la tecnología de seguridad DS5.8 Gestión de llaves criptográficas

DS9.2 Identificación y mantenimiento de elementos de la configuración

DS9.3 Revisión de integridad de la configuración DS11.2 Acuerdos para el almacenamiento y

la conservación DS11.5 Respaldo y restauración

DS11.6 Requisitos de seguridad para la gestión de datos DS13.1 Procedimientos e instrucciones de

operación

ST 3.2.8 Proveer sistemas para la

transferencia de conocimientos y el soporte de decisiones ST 4.1.5.2 Preparación para la transición del

servicio ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración

ST 4.3.5.5 Contabilización y registro de estados

ST 4.3.5.6 Auditoría y verificación ST 4.4.5.5 Planificar y preparar el despliegue

ST 4.7 Gestión del conocimiento SD 4.5.5.2 Etapa 2 — Requisitos y

estrategia SD 5.2 Gestión de los datos y la información SO 3.7 Documentación

SO 4.4.5.11 Errores detectados en el ambiente de desarrollo

SO 4.6.6 Gestión del conocimiento (actividades operativas) SO 4.5 Gestión de accesos

SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación

SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la identidad

SO 4.5.5.5 Registro y seguimiento de accesos

SO 4.5.5.6 Eliminar o restringir privilegios SO 5 Actividades comunes de la operación del servicio

SO 5.2.3 Respaldo y restauración SO 5.4 Gestión y soporte de servidores SO 5.6 Almacenamiento y archivo

SO 7 Consideraciones de tecnología (especialmente para licenciamiento,

indicado en SO) SO Apéndice B Comunicaciones en la operación del servicio

10.5.1 Respaldo de la información 10.7.4 Seguridad de la

documentación de sistemas 11.5.3 Sistema de gestión de contraseñas

12.3.2 Gestión de claves

CP-9 Backup del sistema de información IA-2 Identificación y autenticación de usuarios de la organización

IA-5 Gestión de autenticación MP-4 Medios de almacenamiento

SA-5 Documentación del sistema de información SC-12 Establecimiento de cifrado y gestión de claves SC-17 Infraestructura de cifrado de clave pública

6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad

22 Robo de equipos informáticos

7.2.1.1 Obtener la comprensión de cómo están protegidos los repositorios de

clave

7.2.1.2 Evaluar los controles de acceso, los controles de transmisión y las

copias de seguridad para asegurarse de que los repositorios de clave están en posesión de los gestores de la clave

7.2.1.3 Identificar brechas de acceso potenciales a los repositorios de claves, e identificar controles para solventarlas

7.2.2

Acceso a los Repositorios de Claves: El acceso a los repositorios de claves está limitado a los gestores de las claves cuyos trabajos están separados del proceso de los repositorios de clave que protegen

DS5.8 Gestión de llaves criptográficas DS5.4 Gestión de cuentas de usuario


SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la

identidad SO 4.5.5.5 Registro y seguimiento de

accesos SO 4.5.5.6 Eliminar o restringir privilegios

11.5.3 Sistema de gestión de contraseñas

12.3.2 Gestión de claves

IA-2 Identificación y autenticación de usuarios de la organización

IA-5 Gestión de autenticación SC-12 Establecimiento de cifrado y gestión de claves

SC-17 Infraestructura de cifrado de clave pública

15. Acceso controlado basado en la necesidad de conocimiento

(need-to-know)

7.2.2.1 Identificar a los gestores de los repositorios de claves

7.2.2.2 Llevar a cabo una separación de funciones de análisis para determinar las transacciones funcionales específicas a las que los gestores de

repositorios de claves tienen acceso.

7.2.2.3 Evaluar si las posiciones de los gestores de repositorios de claves y su acceso a los repositorios de claves crean una vulnerabilidad a la confidencialidad o integridad de los datos

7.2.2.4 Determinar si el proveedor de servicios tiene acceso a las claves y si tiene los procedimientos y la supervisión para asegurar la

confidencialidad de los datos de los clientes.

7.2.2.5 Determinar si hay controles apropiados que protejan a las claves durante la generación y eliminación


103

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

7. T

RA

NSM

ISIÓ

N Y

A

LMA

CEN

AM

IEN

TO D

E LA

IN

FOR

MA

CIÓ

N(c

on

t)

7.2.3

Copia de Seguridad de la Clave y Recuperación: La copia de seguridad de la clave y su recuperación han sido establecidas

y probadas para asegurar el acceso continuado a las claves de datos


SO 4.5 Gestión de accesos

SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios

SO 4.5.5.4 Monitorear el estado de la identidad


11.5.3 Sistema de gestión de

contraseñas

IA-2 Identificación y autenticación de usuarios de la organización

IA-5 Gestión de autenticación

8. Capacidad de recuperación de

datos

7.2.3.1 Obtener las políticas de copia de seguridad y las políticas y

procedimientos de recuperación

7.2.3.2 Llevar a cabo una evaluación de riesgos, con las vulnerabilidades

conocidas, para determinar que las copias de seguridad de las claves estarían disponibles y la recuperación asegurada

7.2.3.3 Determinar si existe un proceso de prueba de recuperación y se ejecuta habitualmente

7.2.3.4 Revisión de pruebas recientes de recuperación de claves

8. G

ESTI

ÓN

DE

LAS

IDEN

TID

AD

ES Y

AC

CES

OS

8.1

OBJETIVO: Gestión de Acceso y de Identidad: Los procesos identificativos aseguran que sólo los usuarios autorizados tengan el acceso a los datos y recursos, las actividades del usuario pueden ser auditadas y analizadas, y el cliente tiene control sobre la gestión de acceso.

6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 13 Riesgos de la protección de datos 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación)

8.1.1

Creación de Identidad: La creación/eliminación de usuarios, y los cambios en las condiciones de las aplicaciones basadas en Cloud y de las plataformas de operación se gestionan de manera oportuna y controlada, de acuerdo con las políticas internas de acceso de usuario.


SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación

SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la

identidad SO 4.5.5.5 Registro y seguimiento de accesos


11.6.1 Restricción de acceso a la

información

AC-3 Ejecución del acceso AC-6 Mínimo privilegio

AC-14 Acciones permitidas sin identificación o autenticación CM-5 Restricciones de acceso para cambios

8.1.1.1 Obtener las políticas internas de creación, eliminación y modificación

de usuarios.

8.1.1.2 Analizar las políticas en relación con los procedimientos implementados para sistemas Cloud Computing

8.1.2 Autenticación: La responsabilidad de la autenticación de usuarios se queda con el cliente; deberían utilizarse sistemas de inicio de sesión único y autenticación abierta

PO4.6 Establecer roles y responsabilidades PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento

DS2.2 Gestión de relaciones con proveedores ME3.1 Identificación de los requisitos

legales, regulatorios y de cumplimiento contractual

ME3.3 Evaluación del cumplimiento con requerimientos externos ME3.4 Aseguramiento positivo del

cumplimiento

SS 2.6 Funciones y procesos a través del ciclo de vida ST 6.3 Modelos organizacionales para

apoyar la transición de servicios SO 6.6 Roles y responsabilidades en la

operación del servicio SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de

proveedores y contratos SD 4.7.5.4 Gestión y desempeño de

proveedores y contratos SD 4.2.5.9 Desarrollar contratos y relaciones

SD 4.7.5.5 Renovación y/o término de contratos

SD 6.2 Análisis de actividades SD 6.4 Roles y responsabilidades CSI 6 Organización para la mejora continua

del servicio

15.1.4 Protección de datos y privacidad de la información

personal

PL-5 Evaluación del impacto en la privacidad

SI-12 Manejo y retención de salida de información

16. Monitorización y control de

cuentas

8.1.2.1 Para SaaS y PaaS, determinar si un cliente puede establecer confianza

entre el sistema de autenticación interno y el sistema de Cloud

8.1.2.2 Determinar, donde haya opción, que los procesos de autenticación no propietarios han sido implementados en el proveedor de servicios

8.1.2.3

Si un proceso de autenticación propietario es la única opción, determinar si se han establecido controles adecuados para:

Prevenir IDs de usuario compartidos

Proporcionar una separación adecuada de funciones para evitar que el

personal del proveedor de servicios obtenga las identidades de los clientes

Proporcionar funciones forenses y registro para proveer el historial de actividades


105

ÁREA DE CONTROL

CONTROL ID





RIESGO ASOCIADO

8. G

ESTI

ÓN

DE

LAS

IDEN

TID

AD

ES Y

A

CC

ESO

S(co

nt)

8.1.2.4

Para IaaS:

Si entre las instalaciones del proveedor de servicios y del cliente se aplican VPNs dedicadas, determinar si los usuarios se autentican en la red del cliente antes de pasar transacciones por la VPN. Las VPNs

dedicadas se aplican entre las instalaciones del proveedor de servicios y del cliente para autenticar usuarios en la red del cliente antes de

pasar las transacciones a través de la VPN.

Cuando no sea posible disponer de una VPN dedicada, determinar si

los formatos estándar reconocidos de autenticación están en uso (por ejemplo, SAML, WS-Federation) junto con SSL.

8.1.2.5

Para IaaS y despliegues de Cloud privados internos, verificar que las soluciones de control de acceso de terceros operen con eficacia en

entornos virtualizados y de tipo Cloud, y que los datos de eventos se pueden considerar de forma conjunta y correlacionarse de forma eficiente.

9. V

IRTU

ALI

ZAC

IÓN

9.1 OBJETIVO: Virtualización: Los sistemas operativos de virtualización son reforzados para prevenir posibles incidencias de seguridad con entornos de otros clientes

7 Fugas de información en los movimientos de datos dentro del entorno Cloud 13 Riesgos de la protección de datos 15 Brechas en la red

16 Gestión de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación)

9.1.1

Virtualización: El aislamiento del sistema operativo y los controles de seguridad están implementados por el proveedor de servicios para prevenir accesos no autorizados y ataques

AI1.2 Reporte de análisis de riesgos

AI2.4 Seguridad y disponibilidad de las aplicaciones AI3.3 Mantenimiento de la infraestructura


DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico

PO4.14 Políticas y procedimientos para personal contratado

PO6.2 Riesgo corporativo y marco de referencia del control interno de TI

SD 2.4.2 Alcance

SD 3.6 Aspectos de diseño SD 3.6.1 Diseño de soluciones de servicios

SD 4.5.5.2 Etapa 2 — Requisitos y estrategia SO 4.4.5.11 Errores detectados en el

entorno de desarrollo SO 5.4 Gestión y soporte de servidores


SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware

SO 5.11 Gestión Internet/web SO Apéndice E Descripción detallada de la gestión de las instalaciones

SO Apéndice F Controles de acceso físico

9.1.5 Trabajo en áreas seguras

11.6.2 Aislamiento de sistemas sensitivos

AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información AU-10 No repudio

IA-2 Identificación y autenticación de usuarios de la organización PE-3 Control de acceso físico

PE-4 Control de acceso al medio de transmisión PE-6 Monitorización del acceso físico PE-7 Control de visitantes

PE-8 Registro de accesos PS-7 Seguridad del personal de terceros (subcontratados)

SA-4 Adquisiciones SA-5 Documentación del sistema de información SA-8 Principios de ingeniería de seguridad

SC-2 Particiones de aplicaciones SC-3 Función de aislamiento de seguridad

SC-7 Protección de Fronteras SC-9 Confidencialidad de la trasmisión SC-11 Rutas de confianza

SC-16 Trasmisión de atributos de seguridad SC-23 Arquitectura y suministro de Nombre/Servicio de Resolución de Dirección

SI-4 Monitorización del sistema de información SI-7 Integridad del software y la información

SI-10 Validaciones de entradas de información

3. Configuración segura de

hardware y software en portátiles, estaciones de trabajo y servidores

5. Defensa contra malware 6. Software de seguridad de

aplicación 11. Limitación y control de puertos, protocolos y servicios

12. Uso controlado de los privilegios de administrador

20. Pruebas de penetración y grupos de simulación de ataques

9.1.1.1 Identificar la configuración de la máquina virtual in situ

9.1.1.2

Determinar si han sido implementados controles adicionales, incluyendo los siguientes:

Detección de intrusiones

Prevención de malware

Exploración de vulnerabilidades

Gestión y análisis de base

Validación de la imagen de la máquina virtual antes de la puesta en producción

Impedir saltarse y/o evitar los mecanismos de seguridad mediante la identificación a través de las APIs utilizadas que tienen que ver con la

seguridad

Entornos de producción y de pruebas separados

Gestión de identidad interna en la organización para el acceso administrativo

Informes sobre aislamiento de intrusiones a tiempo


107 107

3.1.2.2 AUDITORÍAS DE BYOD (BRING YOUR OWN DEVICE)

Antes de detallar el contenido de cada uno de los controles, a continuación se presenta

de manera gráfica y resumida cada una de las áreas identificadas en el plan de auditoría

BYOD desarrollado. Se han definido 7 áreas asociadas a un total de 26 controles.


ÁREAS DE CONTROL

GESTIÓN DEL RIESGO

Valoración inicial del riesgo

Revisión del Plan de Riesgos

POLÍTICAS

Políticas de usuarios BYOD

Políticas de uso aceptable

Soporte de Recursos Humanos para BYOD

Proveedores

Excepciones Políticas BYOD

LEGAL

Consideraciones legales en las políticas y procedimientos

Preservación de pruebas legales para litigios

SOPORTE Y ASISTENCIA TÉCNICA AL USUARIO Servicio de ayuda

GOBIERNO

Aprobación de la política BYOD

Monitorizando BYOD

FORMACIÓN

Formación inicial

Formación en seguridad y concienciación

SEGURIDAD DE DISPOSITIVOS MÓVILES

Restricciones de acceso al dispositivo

Acceso a datos

Permiso explícito para borrar datos

Cifrado y protección de datos

Acceso remoto

Protección contra malware

Acceso a la red

GESTIÓN DE DISPOSITIVOS MÓVILES

La gestión de dispositivos móviles (MDM) es desplegada

Gestión Central de dispositivos BYOD

Distribución de software seguro

Monitoreo del Uso de BYOD

Interfaces con otros sistemas

Tabla 10: Áreas de Control BYOD

3.1.2.2.1 PLAN DE AUDITORÍA

El presente plan de auditoría detalla todos aquellos controles para llevar a cabo una

revisión completa de entornos BYOD.


109

ÁREA DE CONTROL

CONTROL ID

Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría

CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and

Organizations


RIESGO ASOCIADO

2. G

ESTI

ÓN

DEL

RIE

SGO

2.1 OBJETIVO: Valoración del riesgo


2.1.1 Valoración inicial del riesgo PO9.2 Establecimiento del contexto del riesgo

SS 9.5 Riesgos SD 4.5.5.1 Etapa 1 - Inicio

SD 4.5.5.2 Etapa 2 - Requisitos y Estrategia

14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio

14.1.2 Continuidad del negocio y evaluación de riesgos

RA-1 - RA-5 PM-9 Estrategia de gestión de riesgos

2.1.1.1 Determinar si se ha llevado a cabo un plan de valoración del riesgo asociado a BYOD.

2.1.1.2 Obtener y revisar la documentación de valoración de riesgos (si existe) y determinar si el nivel de control establecido es adecuado para

implementar BYOD.

2.1.1.3 Solicitar actas de reuniones u otra documentación que refleje la

aprobación del plan de riesgos.

2.1.2 Revisión del plan de riesgos PO9.4 Evaluación de riesgos de TI

SS 9.5 Riesgos SD 4.5.5.2 Etapa 2 - Requisitos y Estrategia SD 8.1 Análisis de impacto en el negocio

ST 4.6 Evaluación

5.1.2 Revisión de la política de seguridad de la información 14.1.2 Continuidad del negocio y

evaluación de riesgos

RA-1 - RA-5 PM-9 Estrategia de gestión de riesgos

2.1.2.1 Determinar si se han llevado a cabo valoraciones de riesgos posteriores

a la valoración inicial.

2.1.2.2 Obtener y revisar la documentación asociada al plan de riesgos (si existe) para determinar si el alcance establecido es adecuado para soportar los cambios que BOYD supone y protege de forma apropiada a

la compañía.

3. P

OLÍ

TIC

AS

3.1 OBJETIVO: Comprobar el desarrollo de Políticas


3.1.1 Políticas de usuarios BOYD PO6.3 Gestión de políticas de TI

PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos

5.1.1 Documento de la política de seguridad de la información 5.1.2 Revisión de la política de

seguridad de la información 6.1.1 Compromiso de la dirección

con la seguridad de la información 8.1.1 Roles y responsabilidades 8.2.2 Educación, entretenimiento

y concienciación en seguridad de la información

AC-1 Políticas y procedimientos de control de acceso AT-1 - AT-5

CM-1 Políticas y procedimientos para gestión de configuraciones IA-1 Políticas y procedimientos para identificación y

autenticación MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del

entorno PS-8 Sanciones al personal

SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas

e información PL-1 Políticas y procedimientos del plan de seguridad

MA-1 Mantenimiento de las políticas y procedimientos del sistema

12 Uso Controlado de privilegios

administrativos

3.1.1.1 Verificar que las políticas BOYD se encuentran firmadas antes de activar los dispositivos y conectarlos a la red empresarial.

3.1.1.2 Verificar que las políticas son revisadas y firmadas anualmente por los empleados.

3.1.1.3 Verificar que los empleados vuelven a firmar las políticas BYOD si un nuevo dispositivo es incluido en la misma.

3.1.1.4

Verificar que el acuerdo BYOD incluye los siguientes puntos:

La empresa no se hace responsable de los dispositivos de los empleados

El empleado debe comunicar lo más pronto posible la pérdida o robo dentro de un periodo de tiempo definido.

Si el empleado recibe una contribución económica para la adquisición del dispositivo, los términos y responsabilidades económicas están claramente definidos en las políticas o acuerdos establecidos y

firmados.

El empleado hará un uso razonable y cuidadoso del dispositivo.

El empleado no revelará a terceros no autorizados información de la

empresa almacenada o accesible a través del dispositivo BYOD.

El empleado se suscribirá y aceptará a las políticas de uso de la

empresa.

El empleado se suscribirá y aceptará las políticas de seguridad de la información.


111

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

3. P

OLÍ

TIC

AS(

con

t)

3.1.1.4 (cont)

El empleado se someterá a las actualizaciones descritas en la política

BYOD cuando es publicada.


El empleado mantendrá el dispositivo BYOD y se hará cargo de las

reparaciones en un tiempo razonable.

3.1.1.5

Revisar el acuerdo BYOD para comprobar que el empleado acepta, sujeto a las políticas de empresa, el derecho de la empresa a:

Eliminar o limpiar toda la información y aplicaciones en caso de pérdida o robo del dispositivo.

Establecer reglas de fortificación de contraseñas Monitorizar intentos de desbloqueo

Borrar o bloquear el dispositivo en caso de sucesivos intentos de

desbloqueo fallidos

Controlar cuando y como se bloquea la pantalla

Requerir el cifrado de la información almacenada

Controlar el uso de la cámara

Cifrar los datos de usuario en dispositivos extraíbles tales como tarjetas

SD o USB.

Controlar la sincronización manual o automática en la itineraria

(“roaming”)

Permitir a los administradores activar/desactivar la red Wi-Fi.

Permitir a los administradores activar/desactivar el navegador.

Permitir a los administradores activar/desactivar la mensajería de texto.

Limitar las aplicaciones instaladas en el dispositivo.

Instalar actualizaciones anti-malware

Poner en cuarentena dispositivos en caso de infecciones o incumplimiento de las políticas establecidas.

Eliminar aplicaciones inapropiadas.

Auditar el dispositivo.

3.1.1.6 Determinar la fecha de la última revisión del acuerdo BYOD

3.1.1.7 Obtener una muestra de empleados con dispositivos BYOD conectados a la red de la empresa. Incluir en el muestreo diferentes perfiles de empleados.

3.1.1.7.1 Obtener sus acuerdos BYOD y determinar:

3.1.1.7.1.1 Están actualizados en base a la última versión de la política de

empleados

3.1.1.7.1.2 Incluyen firma y fecha

3.1.2 Política de uso aceptable PO6.3 Gestión de políticas de TI

DS5.1 Gestión de la seguridad de TI

SD 4.6 Gestión de seguridad de la información

SO 5.13 Gestión de la seguridad de la información y la operación del servicio

5.1.1 Documento de la política de seguridad de la información

5.1.2 Revisión de la política de seguridad de la información

6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.2 Coordinación para la

seguridad de la información 6.2.3 Considerar la seguridad en

los acuerdos con terceros 8.1.1 Roles y responsabilidades 8.2.2 Educación, formación y

concienciación en seguridad de la información

AT-1 - AT-5 MA-1 Mantenimiento de las políticas y procedimientos del

sistema

3.1.2.1 Comprobar y verificar que la política se encuentra alineada con la política de seguridad de red de la organización.

3.2.2.2 Comprobar que los empleados con dispositivos BYOD han firmado la política.

3.1.2.3 Determinar la fecha de la última revisión de la política.

3.1.2.4 Obtener una muestra de empleados con dispositivos BYOD conectados

a la red de la empresa. Incluir en el muestreo diferentes perfiles de empleados.


113

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

3. P

OLÍ

TIC

AS(

con

t)

3.1.2.4.1

Obtener los acuerdos de los empleados y determinar que cada acuerdo

esta:


Actualizado con la última versión de la política de uso aceptable.

Incluyen fecha y firma

3.1.3 Soporte de Recursos Humanos para BYOD PO6.3 Gestión de políticas de TI

5.1.1 Documento de la política de seguridad de la información

5.1.2 Revisión de la política de seguridad de la información 6.1.1 Compromiso de la dirección

con la seguridad de la información 8.1.1 Roles y responsabilidades

3.1.3.1 Determinar si entre las funciones de Recursos Humanos se encuentra la firma inicial y anual de las políticas de empleados y uso aceptable de los

dispositivos BYOD.

3.1.3.2 Tomar una muestra de nuevos empleados incluidos en el programa BYOD. Evaluar si estos empleados han firmado los documentos

apropiados.

3.1.3.3 Determinar si recursos humanos tiene una lista de usuarios BYOD, para asegurar que en caso de fin contractual, el procedimiento incluye a los dispositivos BYOD.

3.1.3.3.1 Obtener una lista de empleados BYOD. Para la muestra tomada,

determinar si todos los usuarios son actualmente empleados.

3.1.3.3.2 Obtener una lista de empleados que recientemente han abandonado la empresa y verificar que esos empleados no están en la lista de

empleados BYOD.

3.1.3.4 Determinar cómo Recursos Humanos consigue gestionar empleados BYOD entre las diferentes áreas o secciones (gestión de perfiles).

Preparar los tests adecuados para satisfacer el objetivo descrito.

3.1.3.5 Obtener una copia del código de conducta de la empresa y determinar si existe un apartado que específicamente expresa que una violación de la política de BYOD se considera una violación del código de conducta y

están descritas las sanciones oportunas.

3.1.3.6

Determinar si las políticas disciplinarias y los procesos asociados contemplan las violaciones de la política de empleados y uso aceptable

BYOD. Se deben incluir:

Penalizaciones por infracciones.

Aplicación uniforme de la política de penalizaciones.


115

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

3. P

OLÍ

TIC

AS(

con

t)

3.1.4 Proveedores DS5.3 Gestión de identidad

DS5.4 Gestión de cuentas de usuario SO 4.5 Gestión de acceso


seguridad de la información 5.1.2 Revisión de la política de seguridad de la información

6.1.2 Coordinación para la seguridad de la información

6.1.5 Acuerdos de confidencialidad 6.2.1 identificación de riesgos relacionados con terceros

6.2.2 Considerar la seguridad al tratar con los clientes

8.1.1 Roles y responsabilidades 8.3.1 Responsabilidades en el cese 8.2.2 Educación, entretenimiento

y concienciación en seguridad de la información

8.3.3 Eliminación de privilegios de acceso 10.1.3 Segregación de funciones

11.1.1 Políticas de control de acceso

11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios 11.2.4 Revisión de derechos de

acceso de usuarios 11.3.1 Uso de contraseñas

11.5.1 Procedimientos seguros de inicio de sesión 11.5.3 Sistema de gestión de

contraseñas 11.6.1 Restricción de acceso a la información

11.7.1 Computación móvil y de las comunicaciones

11.7.2 Teletrabajo


3.1.4.1 Determinar las políticas oportunas que definan el uso adecuado de los recursos de la empresa por los proveedores, protegiendo los activos de la compañía y la propiedad intelectual de accesos no autorizados por

proveedores o terceras partes.

3.1.4.2 Evaluar la efectividad de los controles BYOD sobre proveedores.

3.1.4.3 Evaluar la política de empleados BYOD y determinar si son necesarios controles adicionales, políticas o procedimientos para proteger los activos de la organización.

3.2 Excepciones de las políticas BYOD

3.2.1 Las excepciones de las políticas BYOD son aplicadas de acuerdo con los procedimientos de las políticas de excepciones.

PO6.4 Implantación de políticas, estándares

y procedimientos

6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.8 Revisión independiente de la

seguridad de la información 6.2.3 Considerar la seguridad en

los acuerdos con terceros 8.2.2 Educación, formación y concienciación en seguridad de la

información

3.2.1.1 Si la empresa permite excepciones a las políticas BYOD, obtener una lista de las excepciones definidas y una copia de los procedimientos

empresariales para excepciones de políticas.

3.2.1.2 Determinar si todas las excepciones fueron autorizadas en cumplimiento con el procedimiento de excepciones para políticas empresariales.

3.2.1.3 Evaluar si las excepciones son concedidas solo para un determinado periodo de tiempo, máximo un año.

3.2.1.4 Determinar si las excepciones BYOD son regularmente revisadas para continuar con su aplicabilidad.

3.2.1.5 Determinar si en los casos en los que un empleado necesita una

prórroga de tiempo en la aplicación de la excepción, la petición es debidamente registrada y aprobada.


117

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

4. L

EGA

L

4.1 OBJETIVO: El objetivo es comprobar que los procedimientos BYOD cumplen con los requerimientos legales y minimizan la exposición de la empresa ante problemas legales.

1 Desprestigio de imagen de la organización 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos

4.1.1

Consideraciones legales en las políticas y procedimientos legales: El área legal ha revisado y documentado la aprobación de las políticas y los procedimientos BYOD en referencia a las consideraciones legales.

ME3 Garantizar el cumplimiento de

requisitos externos

6.1.6 Relación con las autoridades que tengan impacto potencial en TI

15.1.1 Identificación de legislación aplicable

15.1.2 Derechos de propiedad intelectual 15.1.4 Protección de datos y

privacidad de la información personal

PS-6 Acuerdos de acceso PS-8 Sanciones al personal PL-4 Reglas de comportamiento

4.1.1.1

Determinar si el área legal ha revisado y aprobado las consideraciones legales de las políticas y procedimientos BYOD. Se debe considerar:

Separación de la información de negocio e información personal.

Propiedad intelectual.

4.1.1.2 Obtener evidencias de las revisiones y aprobaciones del área legal.

4.1.2

Preservación de pruebas legales para litigios: El ámbito de las políticas y procedimientos para la preservación de pruebas legales alcanza tanto a los empleados BYOD como a sus dispositivos.

PO6.4 Implantación de políticas, estándares y procedimientos

6.1.1 Compromiso de la dirección con la seguridad de la información

6.1.8 Revisión independiente de la seguridad de la información 6.2.3 Considerar la seguridad en

los acuerdos con terceros 8.2.2 Educación, formación y


PS-8 Sanciones al personal

4.1.2.1 Determinar si el acuerdo BYOD de la compañía contempla la preservación de pruebas legales en referencia a la información almacenada en los dispositivos BYOD.

4.1.2.2 Evaluar si el dueño del dispositivo BYOD ha aceptado formalmente que

todos sus dispositivos están sujetos a la política legal de la empresa.

5. S

OP

OR

TE Y

AS-

ISTE

NC

IA T

ÉCN

ICA

AL

USU

AR

IO

5.1 OBJETIVO: Se ha establecido un servicio de ayuda o similar para resolver problemas técnicos y de usuario.

2 Aumento en la complejidad de los dispositivos,

sistemas, aplicaciones y tecnologías 9 Diversidad de software de consumo

5.1.1 Servicio de ayuda: El servicio de ayuda contempla BYOD DS8 Gestionar la mesa de servicios y los incidentes

SO 4.1 Gestión de eventos SO 4.2 Gestión de incidentes

SO 6.2 Mesa de servicios SO 4.1.5.3 Detección de eventos

SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos SO 4.1.5.6 Correlación de eventos

SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas

SO 4.1.5.9 Revisar acciones SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes

SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de los incidentes SO 4.2.5.4 Priorización de incidentes

SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes

SO 4.2.5.8 Resolución y recuperación SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú

SO 5.9 Soporte de estaciones de trabajo CSI 4.3 Mediciones del servicio

13.1.1 Reporte de eventos de

seguridad de la información 13.1.2 Se pueden agregar los

reportes de debilidades de seguridad ya que se relacionan con la identificación de eventos

13.2.1 Responsabilidades y procedimientos

13.2.2 Aprendiendo de los incidentes de seguridad de la información

13.2.3 Recolección de evidencia 14.1.1 Incluir la seguridad de la

información en el proceso de gestión de continuidad del negocio 14.1.4 Marco de planeamiento de

continuidad del negocio

5.1.1.1 Obtener y revisar peticiones al servicio de ayuda relacionadas con BYOD

y determinar si la completitud, puntualidad y supervisión de las peticiones en la adecuada.

5.1.1.2

Obtener una muestra de peticiones BYOD del servicio de soporte y determinar si:

Las peticiones BYOD han sido resultas siguiendo los Acuerdos de Nivel de Servicio definidos (ANS).

En su resolución, se contemplan cuestiones de seguridad y son correctamente transferidas/escaladas al área correspondiente.


119

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

6. G

OB

IER

NO

6.1 OBJETIVO: BYOD está sujeta a la supervisión y el control de la dirección.

2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos

6.1.1 Aprobación de la política BYOD: La política BYOD ha sido aprobada por la dirección.

ME4 Proporcionar gobierno de TI

CSI 3.10 Gobierno CSI Apéndice A Guía complementaria SD 3.10 Gestión del servicio al negocio

SD 3.6.5 Diseño de sistemas de medición y métricas

SS 3.1 Creación de valor CSI 4.3 Mediciones del servicio SS 4.4 Preparar la ejecución

SS 9.4 Efectividad en mediciones SS 9.5 Riesgos

5.1.2 Revisión de la política de

seguridad de la información 6.1.8 Revisión independiente de la

seguridad de la información 10.10.2 Monitoreo del uso del sistema

AU-1 Políticas y procedimientos de auditoría y contabilidad AU-6 Revisión, análisis y reportes de auditorias

AU-7 Reducción de auditoría y generación de informes AU-10 No repudiación

6.1.1.1 Determinar si en el proceso de aprobación de la política BYOD han sido incluidas las unidades de negocio.

6.1.1.2 Obtener actas de reuniones y otra documentación asociada para evaluar el proceso de aprobación.

6.1.2 Monitorizando BYOD: La dirección ejecutiva recibe regularmente informes de situación sobre el uso de BYOD y su adhesión a las políticas.

ME1.5 Reportes al Consejo Directivos y a ejecutivos ME4 Proporcionar gobierno de TI

CSI 4.1f Paso Seis - Presentar y utilizar la

información CSI 4.1g Paso Siete - Implementar acciones correctivas

(Ver apartado 6.1.1)

(Ver apartado 6.1.1)

AU-6 Revisión, análisis y reportes de auditorias

AU-7 Generación de informes AU-8 Time Stamps AU-12 Monitorización de información

SI-4 Monitorización del sistema de información

4 Evaluación continua de las vulnerabilidades 17 Prevención de pérdida de datos

6.1.2.1 Obtener informes de estado BYOD de la dirección ejecutiva.

6.1.2.2 Determinar la periodicidad con la que la dirección recibe los informes.

6.1.2.3

Evaluar los contenidos de los informes de estado:

Indicadores establecidos durante la implementación.

Pérdida de dispositivos BYOD con información sensible.

Estimaciones de ahorro con BYOD.

7. F

OR

MA

CIÓ

N

7.1 OBJETIVO: Los usuarios de los dispositivos BYOD reciben una formación inicial y continua.

Todas los riesgos aplican

7.1.1

Formación inicial: Los usuarios de los dispositivos BYOD son requeridos para recibir una formación inicial sobre la política BYOD, la política de uso aceptable y los procedimientos relacionados.

PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos

8.2.2 Educación, formación y


AT-1 - AT-5

9 Evaluación de Habilidades de

seguridad y formación adecuadas para satisfacer las deficiencias

7.1.1.1 Obtener el material usado en la formación inicial.

7.1.1.2 Evaluar la completitud del programa de formación. Asegurar que abarca todos los elementos identificados en la sección de políticas del presente plan de auditoría.

7.1.1.3 Analizar los registros de actividad y la documentación de asistencia a los

cursos formativos para evaluar si todos los usuarios han recibido la formación y/o están en proceso de hacerlo.

7.1.1.4 Seleccionar una muestra de diferentes tipos de usuarios BYOD.

7.1.2 Formación en seguridad y concienciación: Se realizan cursos de concienciación y formación periódica, al menos anualmente.

PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos 8.2.2 Educación, formación y concienciación en seguridad de la

información

AT-1 - AT-5 9 Evaluación de Habilidades de seguridad y formación adecuadas para

satisfacer las deficiencias

7.1.2.1 Obtener el programa de concienciación en materia de seguridad.

7.1.2.2 Evaluar si los contenidos del programa están alineados con las políticas

BYOD y de seguridad

7.1.2.3 Evaluar los requisitos de asistencia a los programas de formación.

7.1.2.4 Seleccionar una muestra de usuarios BYOD y revisar la frecuencia con la

que reciben la formación.

7.1.2.5 Determinar el porcentaje de usuarios BYOD que han recibido la formación.

7.1.2.6 Evaluar la efectividad de la formación.


121

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

8. S

EGU

RID

AD

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

8.1 OBJETIVO: Es necesario que los usuarios BYOD mantengan los procedimientos básicos de seguridad para el dispositivo.

1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 6 Cumplimiento la Ley Orgánica

de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque

8.1.1 Restricciones de acceso al dispositivo. Los usuarios BYOD están obligados a restringir el acceso a sus dispositivos.


SO 4.5 Gestión de acceso SO 4.5.5.1 Peticiones de acceso

SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios

SO 4.5.5.4 Monitorear el estado de la identidad SO 4.5.5.5 Registro y seguimiento de accesos


6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de riesgos relacionados con terceros

6.2.2 Considerar la seguridad al tratar con los clientes 8.1.1 Roles y

responsabilidades 8.3.1 Responsabilidades en el cese 8.3.3 Eliminación de privilegios de

acceso 10.1.3 Segregación de funciones

11.1.1 Políticas de control de acceso 11.2.1 Registro de usuarios

11.2.2 Gestión de privilegios 11.2.4 Revisión de derechos de

acceso de usuarios 11.3.1 Uso de contraseñas 11.5.1 Procedimientos seguros de

inicio de sesión 11.5.3 Sistema de gestión de

contraseñas 11.6.1 Restricción de acceso a la información

AC-1 Políticas y procedimientos de control de acceso AC-19 Control de acceso para dispositivos móviles CM-5 Restricciones de acceso para cambios

3 Configuración segura de hardware y

software en laptops, estaciones de trabajo y servidores

7 Control del dispositivo wireless 12 Uso controlado de los permisos de administración

15 Acceso controlado basado en necesidades

16 Monitorización y control de accesos

8.1.1.1

Verificar que los usuarios BYOD necesiten establecer una contraseña para abrir el dispositivo. Dependiendo de las capacidades del

dispositivo, esta deberá ser: • Un PIN numérico de 4 dígitos como mínimo, o

• Una contraseña alfanumérica fuerte de conformidad con las políticas de contraseñas de la organización, mientras que esto sea posible en el dispositivo

8.1.1.2 Verificar que los usuarios con acceso a los datos altamente sensibles

tienen un segundo factor de autenticación, además del PIN / contraseña, por ejemplo, el uso de la cámara del dispositivo para el reconocimiento facial o escáner de retina.

8.1.1.3 Verificar si el PIN o la contraseña se vence de manera programada, al menos cada 90 días.

8.1.1.4 Verifique que el dispositivo se bloquea automáticamente después de

cinco minutos de inactividad.

8.1.1.5

Verificar que el dispositivo se bloqueará después de tres intentos de

PIN / password fallidos y no permitirá realizar más intentos durante una fracción de tiempo. (Por ejemplo, 30 segundos de retardo después de la primera serie de tres intentos fallidos, 90 segundos después de la

segunda serie, tres minutos, y así sucesivamente para proteger al dispositivo contra ataques de fuerza bruta de PIN de acceso /

password).

8.1.2 Acceso a datos. El acceso a los datos debe estar alineado con la clasificación de datos de la organización y la función laboral de los empleados.

PO2.4 Gestión de integridad Gestión de

integridad DS5.4 Gestión de cuentas de usuario

SD 5.2 Gestión de los datos y la información

ST 4.7 Gestión del conocimiento SO 4.5 Gestión de acceso

SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios

SO 4.5.5.4 Monitorear el estado de la identidad


6.1.5 Acuerdos de confidencialidad

6.2.1 Identificación de riesgos relacionados con terceros

6.2.2 Considerar la seguridad al tratar con los clientes 8.1.1 Roles y responsabilidades

8.3.1 Responsabilidades en el cese 8.3.3 Eliminación de privilegios de acceso

10.1.3 Segregación de funciones 11.1.1 Políticas de control de

acceso 11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios

11.2.4 Revisión de derechos de acceso de usuarios

11.3.1 Uso de contraseñas 11.5.1 Procedimientos seguros de inicio de sesión

11.5.3 Sistema de gestión de contraseñas

11.6.1 Restricción de acceso a la información

AC-1 Políticas y procedimientos de control de acceso AC-5 Separación de funciones

AC-6 Mínimo privilegio AC-11 Bloqueo de sesión AC-12 Finalización de sesión

AC-16 Atributos/propiedades de seguridad PE-19 fuga de información

SI-7 Integridad del software y la información

3 Configuración segura de hardware y software en laptops, estaciones de

trabajo y servidores 15 Acceso controlado basado en necesidades


123

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

8. S

EGU

RID

AD

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(co

nt)

8.1.2.1 Verificar si los datos disponibles para los usuarios BYOD se encuentran

alineados con la clasificación de los datos dentro de la organización.

1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados

6 Cumplimiento la Ley Orgánica de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque

8.1.2.1.1 Seleccionar una muestra de la población de usuarios BYOD. Verificar a que datos pueden acceder sus dispositivos y evaluar si están dentro de

los privilegios que deben tener.

8.1.3

Permiso explícito para borrar datos Los usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organización en el caso de que el dispositivo ya no esté a disposición para la organización.

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento

PO6.3 Gestión de políticas de TI DS5

SD 6.4 Roles y responsabilidades

SO 4.5 Gestión de acceso SD 4.6 Gestión de seguridad de la información


SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes

5 Política de seguridad de la información 6 Organización de la seguridad de

la información 8. Seguridad de los recursos

humanos 9. Seguridad física y del entorno 10 Comunicaciones y dirección de

operaciones 11 Control de acceso

12.Adquisición, desarrollo y mantenimiento de los sistemas de la información

13 Dirección de incidentes de seguridad 15 Cumplimiento normativo

AC-1 Políticas y procedimientos de control de acceso AC-21 Intercambio y compartición de información PE-19 fuga de información

3 Configuración segura de hardware y software en laptops, estaciones de

trabajo y servidores 17 Prevención de pérdida de datos

8.1.3.1 Evaluar que los usuarios BYOD acuerdan por escrito el informar la pérdida de su dispositivo(s) en el marco de tiempo especificado en la política / procedimiento.

8.1.3.2 Evaluar que los usuarios BYOD acuerdan por escrito que los datos

empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente si el dispositivo se pierde, es robado o en caso de

despido.

8.1.3.3 Evaluar que los usuarios BYOD acuerdan por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente después de un determinado número de intentos de

acceso fallidos.

8.1.4

Cifrado y protección de datos El cifrado se implementa para proteger la confidencialidad e integridad de los datos sensibles almacenados en los dispositivos durante su trasmisión.

DS5.1 Gestión de la seguridad de TI1

DS11.6 Requisitos de seguridad para la gestión de datos

SD 5.2 Gestión de los datos y la información


10.5.1 Respaldo de la información 10.6.1 Controles de red 10.6.2 Seguridad de los servicios

de red 10.7.3 Procedimientos para el

manejo de la información 10.8.3 Medios de almacenamiento físico en tránsito

10.8.4 Mensajería electrónica 11.4.1 Política de uso de los

servicios de red 11.4.2 Autenticación de usuarios para conexiones externas

11.4.3 Identificación de equipos en redes

11.4.4 Protección de puertos de configuración y diagnóstico remoto

11.4.5 Segregación en redes 11.4.6 Control de conexiones en la

red 11.4.7 Control de enrutamiento en la red

11.6.2 Aislamiento de sistemas sensitivos 12.4.2 Protección de datos de

prueba de sistema 12.4.3 Control de acceso al código

fuente de los programas

IA-7 Modulo criptográfico de autenticación SC-12 Establecimiento y gestión de la clave criptográfica SC-13 Uso de criptografía




8.1.4.1

Determinar que: • Se requiere cifrado de disco completo en todos los dispositivos BYOD

con acceso a los datos sensibles. • Sólo se permiten los algoritmos de cifrado estándar, es decir, AES o Triple-DES (3DES.)

• Longitud de las claves de cifrado debe ser de al menos 128 bits para AES y 168 bits (3 x 56) para 3DES.


125

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

8. S

EGU

RID

AD

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(co

nt)

8.1.5 Acceso remoto Las conexiones de acceso remoto a los dispositivos BYOD deben de estar restringidas.

DS5.1 Gestión de la seguridad de TI0 SO 5.5 Gestión de redes

6.2.1 Identificación de riesgos

relacionados con terceros 10.6.1 Controles de red 10.6.2 Seguridad de los servicios

de red 11.4.1 Política de uso de los

servicios de red 11.4.2 Autenticación de usuarios para conexiones externas

11.4.3 Identificación de equipos en redes

11.4.4 Protección de puertos de configuración y diagnóstico remoto

11.4.5 Segregación en redes 11.4.6 Control de conexiones en la

red 11.4.7 Control de enrutamiento en la red

11.6.2 Aislamiento de sistemas sensibles


AC-17 Acceso Remoto CM-1 Políticas y procedimientos para gestión de

configuraciones SC-23 Autenticación de sesión



10 Configuración segura para dispositivos de red (firewalls, switches, routers)

11 Controles y limitaciones de los puertos de red, protocolos y servicios

1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 6 Cumplimiento la Ley Orgánica de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque

8.1.5.1 Verificar que la configuración de Bluetooth en los dispositivos BYOD está definida para no ser visible, con el fin de evitar intentos no

autorizados de vinculación.

8.1.5.2 Verificar que los dispositivos móviles BYOD sólo se conectan con los

dispositivos previamente asociados, tales como auriculares u otros dispositivos móviles.

8.1.5.3 Verificar que los dispositivos BYOD pueden conectarse a las redes de la empresa sólo a través de redes privadas virtuales (VPN) específicas y

que utilizan cifrado de alta seguridad, es decir, ya sea de Secure Sockets Layer (SSL) o túneles VPN de seguridad IP (IPSec).

8.1.5.4 Verificar que los dispositivos BYOD sólo pueden conectarse a la red Wi-Fi de la empresa a través de redes privadas virtuales específicas o

túneles IPSec con cifrado de alta seguridad.

8.1.5.5

Verificar la concienciación de usuarios en materia de redes Wifi y

recomendar siempre utilizar una conexión cifrada basada en Wi-Fi Protected Access (WPA2) o mejor, es decir, no utilizar conexiones Wi-Fi sin protección o utilizar conexiones que implementen una protección

inferior como Wired Equivalent Privacy (WEP).

8.1.6 Protección contra malware Los dispositivos móviles BYOD deben protegerse contra el malware.

DS5.9 Prevención, detección y corrección de software malicioso

10.4.1 Controles contra código malicioso

SI-3 Protección de código malicioso

5 Defensa contra malware 4 Evaluación continua de las vulnerabilidades

6 Seguridad de software de aplicación 20 Test de penetración

8.1.6.1 Determinar que software antivirus es necesario en cualquier dispositivo con acceso a las redes de la organización o a los datos

sensibles.

8.1.6.2 Verificar que un firewall se encuentra instalado y está en

funcionamiento en todo momento en todos los dispositivos móviles BYOD.

8.2 OBJETIVO: Sólo usuarios autenticados BYOD pueden conectarse a las redes de la empresa.

8.2.1 Acceso a la redLos usuarios BYOD están sujetos, además, a los mismos controles de acceso que el resto de usuarios.

DS5.3 Gestión de identidad DS5.4 Gestión de cuentas de usuario DS5.1 Gestión de la seguridad de TI0

SO 4.5 Gestión de acceso


5.Política de seguridad de la

información 6. Organización de la seguridad de

la información 8. Seguridad de los recursos humanos

10 Comunicaciones y dirección de operaciones

11 Control de acceso


CM-5 Restricciones de acceso para cambios CM-7 funcionabilidad mínima IA-1 Políticas y procedimientos para identificación y

autenticación IA-2 Identificación y autenticación de usuarios

IA-3 Identificación y autenticación del dispositivo IA-4 gestión de identificación IA-5 gestión de autenticación

IA-7 Modulo criptográfico de autenticación AC-19 Control de acceso para dispositivos móviles




7 Control de dispositivos Wireless 12 Uso controlado de los permisos de administración

15 Acceso controlado basado en necesidades

16 Monitorización y control de accesos

8.2.1.1 Determinar la obligatoriedad de encriptado SSL / TLS o del túnel VPN

para conectarse a cualquiera de las redes de la empresa.

8.2.1.2 Verificar que las conexiones de BYOD se validan con el gestor de

identidades de la empresa, por ejemplo Active Directory, y solo a los usuarios autenticados se les permite el acceso.


127

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

8. SEGURIDAD

DE DISPOSITIVOS MÓVILES(cont)

8.2.1.3 Verificar que un segundo factor de autenticación se lleva a cabo para la conexión de dispositivos BYOD a aplicaciones y datos altamente

sensibles.

9. G

ESTI

ÓN

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(MO

BIL

E D

EVIC

E M

AN

AG

EMEN

T)

9.1 OBJETIVO: La empresa debe utilizar una herramienta automatizada (Mobile Device Management) para administrar todos los dispositivos móviles BYOD.

2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red

corporativa 11 Aumento del alcance de los vectores de ataque

9.1.1

La gestión de dispositivos móviles (MDM) es desplegada Una herramienta estándar de la industria de software MDM se despliega para administrar todos los dispositivos móviles, incluidos los dispositivos propiedad de los empleados (BYOD).

DS5.5 Pruebas, vigilancia y monitoreo de la

seguridad DS9.2 Identificación y mantenimiento de



información y la operación del servicio ST 4.1.5.2 Preparación para la transición del servicio



6.1.8 Revisión independiente de la seguridad de la información 7.1.1 Inventario de activos

7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manejo de la

información 10.7.4 Seguridad de la documentación de sistemas

10.10.2 Monitoreo del uso del sistema

10.10.3 Protección de logs 10.10.4 Logs de administrador y de operador

11.4.3 Identificación de equipos en redes 12.4.2 Protección de los datos de

prueba de sistema 12.5.3 Restricciones en los

cambios a los paquetes de software 12.6.1 Control de vulnerabilidades

técnicas 13.1.2 Reporte de debilidades de

seguridad 15.1.5 Prevención del uso indebido de instalaciones de procesamiento

de información 15.2.2 Verificación de

cumplimiento técnico 15.3.1 Controles de auditoría de sistemas de información

AU-7 Time Stamps AU-12 Monitorización de información CA-7 Monitoreo continuo

SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad

CM-2 Configuración de la línea base CM-6 Parámetros de configuración CM-8 Inventario de componentes del sistema

CM-9 Plan de gestión de la configuración

1 Inventario de dispositivos autorizados y no autorizados 2 inventario del software autorizado y

no autorizado 6 Seguridad de software de aplicación

9.1.1.1 Determinar que una herramienta MDM se ha implementado para

administrar todos los dispositivos móviles BYOD con acceso a las redes y a la información de la organización.

9.1.1.2 A través de los procedimientos y documentación asociados, determinar si se ha desplegado la herramienta MDM y se está usando para el control de todos los dispositivos BYOD.

9.1.1.3 Si el sistema MDM se instaló desde la última revisión, obtener pruebas

documentales de que el proceso de selección se realizó de acuerdo a las normas de ciclo de vida de desarrollo de sistemas de la empresa (SDLC).


129

ÁREA DE CONTROL

CONTROL ID



Organizations


RIESGO ASOCIADO

9. G

ESTI

ÓN

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(MO

BIL

E D

EVIC

E M

AN

AG

EMEN

T)(c

on

t)

9.1.2 Gestión Central de dispositivos BYOD El MDM proporciona funciones de administración centralizada adecuada a la complejidad y tamaño de la población BYOD.

DS5.1 Gestión de la seguridad de TI DS9.1 Repositorio y línea base de

configuración DS9.2 Identificación y mantenimiento de


SD 4.6 Gestión de seguridad de la

información SO 5.13 Gestión de la seguridad de la información y la operación del servicio

SS 8.2 Interfaces del servicio ST 4.1.5.2 Preparación para la transición del servicio

ST 4.3.5.2 Gestión y planificación ST 4.3.5.3 Identificación de la configuración

ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de estados

6.1.1 Compromiso de la gerencia

con la seguridad de la información 6.1.2 Coordinación para la seguridad de la información

6.2.3 Considerar la seguridad en los acuerdos con terceros

7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 8.2.2 Educación, entrenamiento y

concientización en seguridad de información

7.2.2 Etiquetado y manejo de la información 10.7.4 Seguridad de la

documentación de sistemas 11.4.3 Identificación de equipos en

redes 12.4.1 Control del software de operaciones

12.4.2 Protección de los datos de prueba de sistema

12.5.3 Restricciones en los cambios a los paquetes de software


15.1.5 Prevención del uso indebido de instalaciones de procesamiento de información

AU-7 Time Stamps AU-12 Monitorización de información

CA-7 Monitoreo continuo SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad

CM-2 Configuración de la línea base CM-6 Parámetros de configuración

CM-8 Inventario de componentes del sistema CM-9 Plan de gestión de la configuración

1 Inventario de dispositivos autorizados y no autorizados

2 inventario del software autorizado y no autorizado

6 Seguridad de software de aplicación 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de

control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque

9.1.2.1

Revisar la documentación MDM y procedimientos de TI, determinar que por lo menos las siguientes características de seguridad de los

dispositivos están habilitados con la herramienta MDM (s): • Un portal seguro para el registro y autenticación de los dispositivos

BYOD. • Aplicación de la política de seguridad centralizada • Bloqueo y borrado remoto datos y aplicaciones instaladas

• Dispositivos de inventario, sistemas operativos (SO), niveles de parches, aplicaciones de la organización y de terceros, y los niveles de

revisión • Distribución de listas blancas y listas negras • Controles de acceso basado en permisos de acceso a las redes y los

datos de la organización • Borrado selectivo y políticas de privacidad de las aplicaciones y datos

de la organización • Distribución y gestión de certificados digitales (para cifrar y firmar digitalmente los correos electrónicos y documentos sensibles)

• Grupos de acceso basado en roles con políticas de control de acceso de grano fino y de aplicación • Distribución de software (aplicaciones, parches, actualizaciones) y

política de cambios • Posponer las actualizaciones automáticas de los proveedores de

servicios de Internet (ISP), por ejemplo, en los casos en que una actualización automática OS puede causar fallos a aplicaciones críticas • Secure logs y audit trails de todas las actividades de BYOD sensibles

• Capacidad para geo-localizar los teléfonos perdidos. • Copia de seguridad y restauración de los datos del dispositivo BYOD

• Retirar o instalar perfiles basados en la localización geográfica, para garantizar el cumplimiento de la legislación extranjera pertinente. • Cuando los dispositivos BYOD intentan conectarse a las redes de la

organización, el sistema MDM comprueba automáticamente: – Los niveles de parches para sistemas operativos y aplicaciones

– Que el software de seguridad necesario está activo y actualizado, es decir, antivirus, firewall, cifrado de disco completo, etc – Que el dispositivo no está “crackeado”.

– Presencia de dispositivos no aprobados (si los hay) – Presencia de aplicaciones de la lista negra

– Si alguno de los controles de inicio de sesión falla, el MDM puede actualizar automáticamente el dispositivo en cuestión (por ejemplo, niveles de parches) o no permitir el acceso.


131

ÁREA DE CONTROL

CONTROL ID


CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security

Controls for Federal Information Systems and Organizations


RIESGO ASOCIADO

9. G

ESTI

ÓN

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(M

OB

ILE

DEV

ICE

MA

NA

GEM

ENT)

(co

nt)

9.1.2.2

Determinar que el MDM permite las siguientes funciones de apoyo:

• Enviar mensajes de texto a dispositivos seleccionados con las instrucciones para la solución de problemas • Realizar el diagnóstico de dispositivos remotos

• Ver remotamente la pantalla de un dispositivo y tomar capturas de pantalla para ayudar en la solución de problemas

• Toma de control remoto de un dispositivo para la solución de problemas • Activar o desactivar aplicaciones específicas

2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque

9.1.3

Distribución de software seguro El MDM facilita la distribución segura de aplicaciones sensibles de negocio con los controles adecuados previniendo la introducción de aplicaciones de "maliciosas".

DS5.9 Prevención, detección y corrección de software malicioso

10.4.1 Controles contra código malicioso

SC-2 Particiones de aplicaciones

SC-3 Función de aislamiento de seguridad SC-4 Información en recursos compartidos

SC-7 Protección de Fronteras SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión

SC-11 Rutas de confianza

5 Defensa contra malware 6 Seguridad de software de aplicación

9.1.3.1 Verificar que el MDM incluye un repositorio privado para la distribución segura de las aplicaciones de la organización.

9.1.3.2 Verificar que el acceso al repositorio de aplicaciones de la empresa se

limita a dispositivos BYOD propiedad de los empleados.

9.1.3.3 Verificar que todas las aplicaciones en el repositorio deben de ser firmadas digitalmente por la empresa.

9.1.3.4 Evaluar con una muestra de dispositivos BYOD si antes de la instalación

de una app de la empresa, el dispositivo BYOD valida la firma digital.

9.1.4

Monitoreo del Uso de BYOD El MDM proporciona capacidades de consulta y presentación de informes adecuados para gestionar la población BYOD proactiva.

ME2 Monitorear y evaluar el control interno

ME3 Garantizar el cumplimiento de requisitos externos


seguridad de la información 5.1.2 Revisión de la política de

seguridad de la información 6.1.8 Revisión independiente de la seguridad de la información

6.1.6 Relación con las autoridades que tengan impacto potencial en TI

6.2.3 Considerar la seguridad en los acuerdos con terceros 10.2.2 Monitoreo y revisión de los

servicios de terceros 10.10.2 Monitoreo del uso del sistema

10.10.4 Logs de administrador y de operador

15.1.1 Identificación de legislación aplicable 15.1.2 Derechos de propiedad

intelectual 15.1.4 Protección de datos y

privacidad de la información personal 15.2.1 Cumplimiento con políticas y

estándares de seguridad 15.2.2 Verificación de cumplimiento

técnico 15.3.1 Controles de auditoría de sistemas de información

AU-2 Eventos auditables AU-5 Revisión, análisis y reportes de auditorias AU-6 Generación de informes

AU-7 Time Stamps AU-12 Monitorización de información

CA-7 Monitoreo continuo SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad

14 Mantenimiento, monitorización y análisis de registros de auditoría de

seguridad 16 Seguimiento y control de cuentas

9.1.4.1 Comprobar que el personal de soporte de TI son capaces de consultar la

base de datos MDM en busca de eventos de carácter de seguridad y de cumplimiento, por ejemplo, dispositivos no respaldados por siete días.

9.1.4.2

Determinar que el sistema MDM proporciona a TI informes

automatizados de excepciones predeterminadas a las políticas de seguridad. Algunos ejemplos son: • Dispositivos fuera del cumplimiento de la política.

• Dispositivos que no han sido revisados en un tiempo determinado. • Dispositivos no compatibles

• Dispositivos con aplicaciones en listas negras • Dispositivos con un uso de datos excesivo, que pueden indicar una posible malversación


133

ÁREA DE CONTROL

CONTROL ID


CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security

Controls for Federal Information Systems and Organizations


RIESGO ASOCIADO

9. G

ESTI

ÓN

DE

DIS

PO

SITI

VO

S M

ÓV

ILES

(M

OB

ILE

DEV

ICE

MA

NA

GEM

ENT)

(co

nt)

9.1.4.3

Verificar que el MDM ofrece cuadros de mando en tiempo real

adecuados e informes regulares para la dirección de TI manteniendo un estricto control sobre la población MDM. Considere lo siguiente: • Existe un motor de reglas para TI que permita definir políticas y

eventos de incumplimiento. • El sistema alerta automáticamente a los administradores de sistemas

de eventos de incumplimiento vía correo electrónico o mensaje de texto.

2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque

9.1.5 Interfaces con otros sistemas Control: El MDM facilita interfaces con otros sistemas empresariales y financieros.

DS5.1 Gestión de la seguridad de TI1 DS9.2 Identificación y mantenimiento de


ST 4.1.5.2 Preparación para la transición del servicio




7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manejo de la

información 10.6.1 Controles de red

10.6.2 Seguridad de los servicios de red 10.7.4 Seguridad de la

documentación de sistemas 11.4.1 Política de uso de los servicios de red

11.4.2 Autenticación de usuarios para conexiones externas

11.4.3 Identificación de equipos en redes 11.4.4 Protección de puertos de

configuración y diagnóstico remoto 11.4.5 Segregación en redes

11.4.6 Control de conexiones en la red 11.4.7 Control de enrutamiento en la

red 11.6.2 Aislamiento de sistemas

sensitivos 12.4.2 Protección de los datos de prueba de sistema

12.5.3 Restricciones en los cambios a los paquetes de software

12.6.1 Control de vulnerabilidades técnicas 15.1.5 Prevención del uso indebido

de instalaciones de procesamiento de información

CM-1 Políticas y procedimientos de gestión de la configuración CM-6 Parámetros de configuración

CM-8 Inventario de componentes del sistema CM-9 Plan de gestión de la configuración

2 inventario del software autorizado y no autorizado

9.1.5.1 Determinar si se está proporcionando la información adecuada al registro de activos de la compañía.

9.1.5.2 Verificar que la información pertinente se proporciona al área de” Bussiness Intelligence” (BI) con el fin de generar indicadores de gestión

adecuados sobre la implementación BYOD, la seguridad y el cumplimiento.

9.1.6 Gestión remota Verificación de la funcionalidad de gestión remota

9.1.6.1

Confirmar que la de gestión remota se ha ejercido cuando se informa de un dispositivo perdido / robado (por ejemplo, borrado de dispositivo

se llevó a cabo).

9.1.6.2 Confirmar que los dispositivos están reportando violaciones de los controles de las políticas aplicadas.


135 135

3.1.3 ELABORACIÓN Y PRESENTACIÓN DEL INFORME DEFINITIVO

Una vez trascurrido el periodo establecido para la revisión por parte de los auditados del

informe borrador y modificados aquellos posibles errores existentes en el mismo, se

procede a formalizar la emisión del informe definitivo. Cabe aclarar en este punto que el

informe tiene que tener un carácter objetivo, con lo que opiniones subjetivas o

discrepancias del auditado no deben modificar el contenido del informe.

El informe definitivo es único y no podrá modificarse desde el momento de su

publicación. Debe mostrar aquellas partes más significativas de la revisión realizada,

evaluadas por su importancia y vinculación con el factor riesgo. Su lenguaje debe ser

claro, adecuado, suficiente y comprensible.

Se deberá realizar un apropiado seguimiento de las recomendaciones que figuran en el

informe. Para ello, se exigirá al auditado la realización de un plan de acción asociado a

una fecha de ejecución para la cual el auditado estima que podrá finalizar el plan de

acción. Para la labor de auditoría, este punto resulta de suma importancia ya que en

caso de no realizar un seguimiento de recomendaciones adecuado, los aspectos de

mejora identificados no se corregirán y por consiguiente la auditoría perderá todo el

valor aportado.

A continuación se resumen aquellos puntos que se deberían incluir en un informe

definitivo de auditoría:

1. Identificación del informe: El título del informe deberá ser identificativo y

descriptivo. Debe diferenciarse de manera clara del resto de informes.

2. Destinatarios: Deberán identificarse las personas, grupos, roles o

departamentos, a los que va dirigida la revisión.

3. Identificación de la entidad auditada: Identificación de la entidad objeto de la

auditoría.

4. Antecedentes y objetivos: Declaración de los objetivos de la auditoría

identificando su propósito y el motivo por el cual se lleva a cabo la revisión. Si se

han realizado auditorías previas similares, deberá indicarse en este punto

dejando claro el porqué de la nueva revisión.

5. Alcance: Concretar la naturaleza y extensión del trabajo realizado: área

organizativa, periodo de auditoría, sistemas de la información etc., señalando

posibles limitaciones o ampliaciones del alcance y/o restricciones del auditado.

6. Valoración y conclusiones: Se trata del informe ejecutivo de la auditoría. Incluye

la valoración de la auditoría (por ejemplo podría clasificarse como favorable,

favorable con excepciones, mejorable o deficiente) y es un resumen de los

hechos observados y recomendaciones que se explican a continuación. Debe ser

conciso y directo, está dirigido normalmente (dependiendo de la tipología del

trabajo) a la alta dirección. Habitualmente, no suele ocupar más de dos hojas.


136

7. Hechos observados y recomendaciones: Describen en detalle aquellos aspectos

de mejora que se han identificado durante el proceso de auditoría. Todo lo

expuesto debe estar sustentado por evidencias y debe ser fácilmente trazable

con los papeles de trabajo de las mismas. Una posible es estructura para la

descripción apropiada de los hechos observados es:

o Descripción: Descripción concisa y razonada del aspecto de mejora

encontrado. Debe ser objetivo y basarse en las mejores prácticas y

estándares existentes.

o Riesgo existente: Expresa el riesgo existente en caso de no corregirse el

hecho observado y el impacto que podría tener en la entidad.

o Valoración hecho observado: Es una medición del nivel de riesgo del

hecho observado.

o Recomendación: Es una acción de mejora que auditoría recomienda para

paliar o eliminar el riesgo asociado al hecho observado. El auditado, en su

plan de acción, puede optar por realizar la recomendación de auditoría o

bien cualquier otra acción para reducir el riesgo, siempre bajo la

aprobación de auditoría.

o Departamento o área a la que se dirige: Se incluye el departamento o

área a la que se dirige el hecho observado.

8. Plan de acción (opcional): Como ya se ha comentado, los planes de acción

requieren de un seguimiento continuo para poder asegurar que la labor de

auditoria aporta todo el valor que persigue. Los planes de acción deben ser

cumplimentados y ejecutados por el auditado, y auditoría debe validarlos.

Dentro de un informe de auditoría, es un campo opcional porque en muchas

ocasiones los planes de acción no se cumplimentan dentro del propio informe,

sino que se dispone de una herramienta específica para su gestión. En otros

casos, es de carácter obligatorio que, durante el periodo borrador, el auditado

rellene que plan de acción antes de la emisión del informe definitivo.

9. Fecha, identificación y firma del auditor/es responsable/s: Este aspecto formal

es esencial del informe y debe recoger al auditor/es responsable/s del mismo. En

el caso de una entidad auditora externa, firmará uno o varios socios de la misma.

10. Anexos: Información adicional que facilita la comprensión del contenido del

informe.


137 137

3.2 ANÁLISIS PLAN DE AUDITORÍA CLOUD COMPUTING

3.2.1 VISIÓN GENERAL POR ESTÁNDAR

En este punto se presenta un análisis de completitud desarrollado sobre los distintos

estándares empleados en el plan de auditoría para auditorías de entornos Cloud

Computing, con la intención de presentar al auditor una visión general sobre cómo

cubren los diferentes estándares empleados los controles. Gracias a esta información, el

equipo auditor puede consultar, sin demorarse, cuán de completos resultan los marcos

de referencia empleados para cubrir la totalidad de las áreas de control definidas, así

como ampliar y mejorar la información presentada accediendo a cada uno de los

vínculos del mapeo realizado.

En los siguientes apartados se muestra, para los cinco estándares analizados y sobre el

total de controles del plan de auditoría (45), el porcentaje de controles que existe y

tiene una relación directa en los estándares. Cabe destacar que, COBIT, ITIL e ISO/IEC

27002:2005 son marcos que cubren la totalidad del proceso de gestión, control y

mantenimiento de las TICs22 mientras que en el caso de NIST y SANS, se centran más en

el área de seguridad, dejando fuera del alcance elementos relacionados con

proveedores o políticas (entre otros).

De los datos presentados se puede extraer la conclusión de que, utilizando COBIT 4.1 y la

ISO/IEC 27002:2005, podemos auditar de manera completa un entorno Cloud

Computing, aunque es recomendable contrastar y comparar la información de los

diferentes marcos de referencia, para poder desarrollar planes de auditoría eficaces y

cumplir con los objetivos establecidos para la auditoría.

3.2.1.1 COBIT 4.1

Imagen 13: Resultados COBIT 4.1 Cloud Computing

22

Tecnologías de la Información y Comunicaciones


138

Al observar la gráfica correspondiente a COBIT 4.1, se puede apreciar que todos los

controles definidos para el plan de auditoría se recogen en dicho estándar. El motivo

fundamental, como ya se ha mencionado anteriormente, es el hecho de que el plan de

auditoría está basado en los controles que ISACA propone en su documento “IT Control

Objectives for Cloud Computing: Controls and Assurance in the Cloud” [2] y a su vez estos

controles se basan en COBIT. No obstante, existen dominios con un porcentaje de

control superior a otros, como se detalla en el apartado 4.1.2.

3.2.1.2 ITIL v3

Imagen 14: Resultados ITIL v3 Cloud Computing

Los resultados extraídos muestran que un 4% de los controles implementados no se

encuentran reflejados en ITIL v3 o que su correspondencia no está definida con claridad.

Este porcentaje hace referencia a los puntos de control que se detallan a continuación:

El proveedor de servicios pone a disposición de los clientes acuerdos con

terceras partes independientes, usando procedimientos de auditoría para

describir las prácticas de control llevadas a cabo en las instalaciones de los

diferentes terceros.

Los ANS están alineados y elaborados en conjunción con los resultados de la

valoración de riesgos.

Para los puntos de control mencionados, se deben consultar otros estándares si se

quiere ampliar o modificar la información presente en el plan de auditoría (véase el

apartado 3.2.2.2 para mayor detalle).

96%

4%

ITIL v3

Existe control No existe control


139 139

3.2.1.3 ISO/IEC 27002:2005

Imagen 15: Resultados ISO/IEC 27002:2005 Cloud Computing

De forma similar que con COBIT, este estándar de seguridad de las TIC nos aporta todo

el contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene

información tanto de gobierno y control de TI, como de desarrollo e implementaciones

de un modelo seguro y adecuadamente gestionado.


Organizations

Imagen 16: Resultados NIST Cloud Computing

NIST muestra una amplia guía de controles destinados a gestionar de manera correcta la

Seguridad de la Información de nuestra organización. Al igual que ocurrió con los casos

de la ISO27002 y COBIT, este estándar de Seguridad de la Información nos aporta todo el

contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene información

100%

0%

NIST: Recommended Security Controls for Federal Information Systems and

Organizations



140

tanto de gobierno y control de TI como de desarrollo e implementaciones de un modelo

seguro y correctamente gestionado.

3.2.1.5 SANS: 20 Critical Security Controls

Imagen 17: Resultados SANS Cloud Computing

En este documento anual publicado por SANS trata sobre los 20 controles críticos de

seguridad, se percibe que un 40% de los puntos de control que se detallan en el plan de

auditoría no se encuentran identificados entre sus controles. Una posible explicación a

este hecho observado es que, según SANS, el 40% de los puntos de control del plan de

auditoría no estarían actuando sobre los elementos críticos de seguridad de la empresa.

Con todo, destaca que se trata de controles muy técnicos, por lo que esta interpretación

podría no ser del todo correcta.

Se encuentran fuera del ámbito de SANS los siguientes puntos de control:

Ambas partes definen las relaciones para presentar los informes y las

responsabilidades.

El proveedor de servicios ha establecido procesos para alienar sus

operaciones con los requisitos del cliente.

El cliente realiza controles para asegurar el cumplimiento con la regulación y

los requerimientos establecidos.

El equipo de contrataciones que representa al cliente en términos legales,

financieros, seguridad de la información y unidades de negocio ha

identificado e incluido los requisitos contractuales desde la perspectiva del

cliente, y el equipo legal del proveedor de servicios ha asegurado la

satisfacción del cliente.

El cumplimiento legal de acuerdo a leyes locales como globales están

definidas como componentes del contrato.

60%

40%




141 141

Determinar si los datos de Cloud Computing violan alguno de los puntos

definidos en los estamentos reguladores de la información.

Los escenarios de despliegue (SaaS, PaaS, IaaS) definen las responsabilidades

de protección de datos entre el cliente y el proveedor de servicios, y estas

responsabilidades están claramente establecidas.

La certificación ISO 27001 garantiza que el proveedor de servicios sigue las

mejores prácticas de seguridad.

Procedimientos de notificación acordes a las leyes locales son incorporados

en el proceso de incidentes y eventos.

Determinar si los requisitos de los informes de monitorización están

alineados con la política de informes de incidentes establecida por el cliente.

Obtener los informes de incidentes monitorizados durante un periodo

representativo de tiempo.

Obtener el procedimiento de monitorización de incidencias del cliente.

Determinar si el procedimiento de monitorización de incidentes rastrea tanto

los incidentes internos como los del proveedor de servicios.

El SDLC incluye procesos para asegurar que los requisitos de cumplimiento

están identificados, asignados a la aplicación basada en Cloud, e incluidos en

el producto final. Los vacíos de cumplimiento son escalados a la alta dirección

correspondiente para la renuncia de su aprobación.

Herramientas y Servicios: Todas las herramientas y servicios utilizados en el

desarrollo, gestión y monitorización de las aplicaciones están detalladas, y la

propiedad está documentada, y su efecto en la seguridad de la aplicación

está explícitamente analizada.

Datos en Reposo: Los datos almacenados en una base de datos activa en

producción dentro de un sistema Cloud están cifrados, con conocimiento de

las claves de descifrado únicamente por parte del cliente.

Repositorios de Clave Seguros: Los repositorios de clave están protegidos

durante la transmisión, almacenamiento y copia de seguridad.

Suministro de Identidad: El suministro de usuario, desabastecimiento

(finalización) y los cambios en las condiciones de las aplicaciones basadas en

Cloud y de las plataformas de operación se gestionan de manera oportuna y

controlada, de acuerdo con las políticas internas de acceso de usuario.


142

3.2.2 VISIÓN POR DOMINIOS DE CONTROL

Profundizando en el análisis y dividiendo los marcos en los dominios de control que se

concretaron en el punto 3 Introducción, obtenemos los porcentajes de controles que

aplican sobre cada dominio de los estándares. Para conocer cuáles son los dominios

principales sobre los que nuestro plan Cloud Computing se centra y cuáles se encuentran

menos revisados, tan sólo será necesario revisar esos porcentajes, que lo detallan con

exactitud.

A través de esta información, se pueden conocer cuáles son los puntos fuertes y débiles

del plan de auditoría (véase los puntos 3.2.3 y 3.2.4).

3.2.2.1 COBIT 4.1

Imagen 18: Detalle Dominios COBIT 4.1 Cloud Computing

La mitad de los controles de COBIT asociados al plan de auditoría Cloud Computing

pertenecen al dominio “Entrega y Soporte”. Aunque se especificó en el apartado 3, se

trata de un dominio amplio con controles que se centran en la gestión de la

configuración y del servicio, seguridad de los sistemas y formación, entre otros.

Asimismo, hay un elevado porcentaje de controles reflejados en el dominio de

“Planificación y Organización”, donde se encuentra la definición de planes estratégicos,

administración de la calidad del servicio, gestión de riesgos o la administración de

proyectos, entre otros.

Es relevante resaltar los porcentajes casi igualados del dominio “Adquisición e

Implementación” con el dominio de “Supervisión y Evaluación”. El primero de estos

dominios desarrolla sus controles en base a una adquisición de un recurso y/o software

nuevo para dar cobertura a los servicios Cloud Computing y, el segundo, enfoca sus

controles en la aplicación de los mismos y en otros puntos como la formación o la


143 143

continuidad del negocio. En ambos casos, el plan de auditoría no se dirige tanto hacia la

revisión de nuevas adquisiciones, sino en la evaluación de todos los procesos asociados a

TI y Cloud Computing que ya se encuentran implementados.

3.2.2.2 ITIL v3

Imagen 19: Detalle Resultados ITIL v3 Cloud Computing

Cuando se analiza la información de los controles del plan de auditoría Cloud Computing

que se encuentran asociados a ITIL se obtiene que, del total de los controles de ITIL que

hacen referencia al plan de auditoría desarrollado, algo más de la mitad de ellos

pertenecen al dominio “Operativa del Servicio”. Se trata de un dato lógico debido a las

similitudes entre COBIT e ITIL y, viendo los resultados proporcionados por COBIT, era de

esperar que nuevamente existiera un dominio principal. Este dominio centra sus

controles en la gestión de eventos, incidentes, problemas, demandas y accesos

asociados al servicio.

Los controles del dominio “Diseño del Servicio” abarcan el 22% del total. Este dominio

tiene como objetivo el análisis de viabilidad de los servicios (analizando infraestructuras,

capacidad del personal, niveles y catálogos de servicio, entre otros). También es

relevante la existencia de un 14% de controles del dominio “Transición del Servicio”.

Este dominio guarda está relacionado con el dominio “Planificación y Organización” de

COBIT, especialmente en lo relacionado con la dirección de los servicios, elaboración de

procedimientos, la definición de estratégicas, marcos de procesos etc.

También, se puede apreciar que el dominio con menos controles asociados es “Servicio

de Mejora Continua”. Este dominio se refiere a la continua monitorización y medición de

todas las actividades y procesos involucrados en la prestación de los servicios TI .


144

3.2.2.3 ISO/IEC 27002:2005

Imagen 20: Resultados ISO/IEC 27002:2005 Cloud Computing

Al observar el gráfico, se precisa que la información que la ISO/IEC 27002:2005 nos

aporta en su relación con el plan de auditoría Cloud Computing es más proporcional en

la distribución de controles. El motivo de esto es la segmentación de dominios,

aumentando en más del doble el número de dominios de COBIT o ITIL.

Aunque estos controles se encuentran distribuidos uniformemente, podrían

mencionarse los dominios de “Gestión de Comunicaciones y Operaciones”,

“Cumplimiento” y “Aspectos Organizativos de la Seguridad de la Información”, que

suponen la mitad de los mismos. Estos dominios guardan una relación directa con

muchos de los controles identificados en COBIT e ITIL de los dominios de “Entrega y

Soporte” y “Operativa del Servicio” respectivamente.

Por otro lado, el dominio con menor control es el de la “Seguridad física y del entorno”.

Se trata de un dominio que no ha sido tratado en profundidad debido a su menor

relevancia para el objetivo perseguido, empleándose únicamente en aquellas áreas que

pudieran afectar directamente a este plan de auditoría.

Es importante mencionar que la ISO/IEC 27002:2005, como marco de buenas prácticas

de Seguridad de la Información, centra sus controles mayoritariamente en el ámbito de

la seguridad, aportando más detalle que COBIT e ITIL dentro de este área. Como

contraposición, la tipología de controles de COBIT e ITIL es más genérica si bien en

mismos se consideran muchas cuestiones de seguridad de la información.


145 145


Organizations

Imagen 21: Resultados NIST Cloud Computing

En cuanto al análisis realizado para los controles de NIST que se encuentran asociados al

plan de auditoría Cloud Computing, destacan los controles de:

Protección de sistemas y comunicaciones.

Integridad de sistemas e información.

Control de acceso.

Auditoría.

Si se observan los resultados mostrados anteriormente, vemos que esta información se

encuentra alineada con los mismos. Los dominios predominantes en COBIT, ITIL e ISO, se

corresponden a su vez con los dominios “Protección de sistemas y comunicaciones” e

“Integridad de sistemas e información”. Además, en ITIL e ISO/IEC 27002:2005 se

observaba una cantidad alta de controles asociados a “Control de acceso”. La función de

“Auditoría” la encontramos en el dominio de “Supervisión y Evaluación” en COBIT,

“Operativa del Servicio” en ITIL y “Cumplimiento” en ISO/IEC 27002:2005.

A su vez es llamativo el alto número de controles relacionados con los dominios de:

Adquisición de Sistemas y Servicios.

Evaluación del Riesgo.

Planes de Contingencia.

Todos los dominios se encuentran contemplados dentro del plan de auditoría Cloud

Computing, lo que resulta bastante interesante dado que, aunque haya dominios con

una baja representatividad (como por ejemplo, “Mantenimiento” con un 2% del total),

existe algún control que pueda representar tal dominio. De esta forma, el plan de

auditoría desarrollado demuestra abarcar los diferentes dominios de estándares tan

distintos entre sí.


146


Imagen 22: Imagen 24: Resultados SANS Cloud Computing

Al diferencia del resto de estándares, SANS, en su documento “SANS: 20 Critical Security

Controls” [27], identifica 20 controles críticos de seguridad para una gestión apropiada

de las TIC. En este caso, no se trata de un marco de referencia sino de una recopilación

de controles dentro del ámbito de la Seguridad de la TIC.

Este análisis nos permitirá comprobar cuán de alineado está nuestro plan con los

controles definidos por SANS. Podemos observar que los principales dominios son

“Mantenimiento, seguimiento y análisis de registros de auditoría de seguridad” y

“Evaluación continua de vulnerabilidades”. El objetivo del primer dominio se basa en

gestionar el proceso de auditoría; mientras que el objetivo del segundo se focaliza en

gestionar, identificar, documentar y reparar las vulnerabilidades del software.

Más dominios de seguridad interesantes reflejados en el plan de auditoría, según SANS,

son: “Capacidad de recuperación de datos” y “Seguridad de software de aplicación”.

Si analizamos en conjunto toda la información que los anteriores marcos nos han

proporcionado, obtenemos que, aunque los dominios más destacados en SANS estén

relacionados con los mayoritarios en el resto de estándares, se observa una mayor

variedad de correspondencias entre dominios, teniendo los dominios de SANS

equivalencias con muchos más dominios de cada estándar. Por lo tanto, en este caso, no

se puede establecer una única correspondencia con los dominios de cada estándar, sino

que se encuentra repartido este porcentaje.

Por el contrario, los dominios “Inventario de dispositivos autorizados y no autorizados”,

“Inventario de software autorizado y no autorizado”, “Control de Dispositivos Wireless”,

“Configuración segura para los dispositivos de red” y “Defensa Perimetral”, no se


147 147

encuentran reflejados en nuestro plan de auditoría. Se puede concluir que, utilizando

nuestro plan de auditoría, no resulta tan relevante el dispositivo que pueda utilizar Cloud

Computing sino las medidas de seguridad aplicadas sobre el propio entorno.


148

3.2.3 PUNTOS FUERTES PLAN DE AUDITORÍA

En este apartado se mencionan los principales elementos de control del plan de

auditoría Cloud Computing. Esta información está basada en el análisis mostrado en los

anteriores puntos y tiene como objetivo mostrar al lector de este trabajo cuáles serían

las áreas más revisadas en caso de auditar un entorno Cloud Computing con el plan de

auditoría desarrollado en el presente proyecto.

Además, con dicha información, se puede concluir que las áreas mostradas en el

siguiente gráfico son las principales a la hora de llevar a cabo un despliegue de un

entorno Cloud Computing. Esto no quiere decir que no se deban considerar otros

elementos; sino que para llevar a cabo una adecuada gestión de un entorno Cloud

Computing, las prioridades de nuestro estudio son las aquí identificadas:

Imagen 23: Principales Puntos de Control del Plan de auditoría Cloud Computing

• Controles y procedimientos para

comunicaciones y sistemas de los SI

• Gestión, identificación, documentación y reparación de las vulnerabilidades

• Estratégias y tácticas con el fin de que TI

pueda ayudar a negocio a la consecución de sus

objetivos

• Elementos de configuración de la

infraestructura de TI


Planificación, Organización,

Cumplimiento y Aspectos

Organizativos

Protección de Comunicaciones y

Sistemas

Evaluación continua de

vulnerabilidades


149 149

3.2.4 PUNTOS DÉBILES PLAN DE AUDITORÍA

En esta sección se comentan aquellas áreas menos revisadas por el plan de auditoría

Cloud Computing y que, por consiguiente, sería aconsejable valorar una posible

ampliación del plan o bien considerar si desarrollar auditorías específicas para controlar

y revisar los siguientes puntos:

Imagen 24: Puntos Débiles Plan Trabajo Cloud Computing

Seguridad física y del entorno: Hace referencia a aquellos controles que se centran en la prevención ante accesos físicos no autorizados a las instalaciones

y/o información de la empresa. A pesar de estar tratando con sistemas Cloud Computing, no se debe descuidar la seguridad física, especialmente si la empresa

se encargará de mantener de los servidores que proporcionen el servicio Cloud Computing.

Mantenimiento: Hace referencia al mantenimiento de sistemas, equipos y servicios de las organizaciones. Está estrechamente relacionado con el punto anterior. Tanto el hardware como el software se debería mejorar, probar y

actualizar con frecuencia y continuidad para verificar un correcto funcionamiento evitando así posibles vulnerabilidades (a pesar de que se hagan pruebas contra

las mismas de forma asidua).

Inventario de software y dispositivos autorizados y no autorizados: El plan de auditoría expuesto no revisa la existencia de un listado de software y dispositivos permitidos para cada sistema. Debido a que el objetivo principal de los controles

Seguridad física y del entorno

Mantenimiento

Inventario de software y

dispositivos autorizados y

no autorizados

Proceso de Mejora

Continua


150

definidos es revisar y evaluar las infraestructuras y comunicaciones asociadas a

los entornos Cloud Computing.

Proceso de Mejora Continua: La utilización de un proceso de mejora continua,

revisado y actualizado frecuentemente, debe ser aplicado en toda la compañía y hace que sea posible destacar entre la competencia al optimizar la eficiencia de

los procesos y sistemas de la información de la compañía. Además, la dirección debe implicarse en dicho proceso a fin de dar soporte y promover las iniciativas y

mejoras obtenidas como resultado del mismo.


151 151

3.3 ANÁLISIS PLAN DE AUDITORÍA BRING YOUR OWN DEVICE

3.3.1 VISION GENERAL POR ESTÁNDAR

Este apartado presenta un análisis de completitud realizado sobre los diferentes

estándares utilizados en el plan de auditoría para auditorías de entornos BYOD. Se

presenta al auditor una visión general sobre cómo cubren los diferentes estándares los

controles implementados. Con esta información, el equipo auditor puede rápidamente

consultar cuan de completos resultan los marcos de referencia empleados para cubrir la

totalidad de las áreas de control definidas, así como ampliar y mejorar la información

presentada accediendo a cada uno de los vínculos del mapeo realizado.

En los puntos sucesivos se muestra, para los cinco estándares analizados y sobre el total

de controles del plan de auditoría (26), el porcentaje de controles que existe y tiene una

relación directa en los estándares. Cabe destacar que, COBIT, ITIL e ISO/IEC 27002:2005

son marcos que cubren la totalidad del proceso de gestión, control y mantenimiento de

las TIC mientras que en el caso de NIST y SANS, se centran más en el área de seguridad,

dejando fuera del alcance elementos relacionados con proveedores o políticas (entre

otros).

Una de las conclusiones que se pueden extraer de los datos presentados a continuación

es que, utilizando COBIT 4.1 y la ISO/IEC 27002:2005, podemos auditar de manera

completa un entorno BYOD, si bien es recomendable contrastar y comparar la

información de los diferentes marcos de referencia para poder desarrollar planes de

auditoría eficaces y que cumplan con los objetivos establecidos para la auditoría.


152

3.3.1.1 COBIT 4.1

Imagen 25: Resultados COBIT 4.1 BYOD

Observando la gráfica correspondiente a COBIT 4.1, se puede apreciar que, como era de

esperar, todos los controles definidos para el plan de auditoría se recogen en dicho

estándar. El motivo fundamental es que, como ya se ha mencionado anteriormente, el

plan de auditoría está basado en los controles que ISACA propone en su documento

“Bring Your Own Device (BYOD) Security Audit/Assurance Program” [3] y a su vez estos

controles se basan en COBIT. Sin embargo, como se detalla en el apartado 3.2.2 existen

dominios con un porcentaje de control superior a otros.

3.3.1.2 ITIL v3

Imagen 26: Resultados ITIL v3 BYOD


153 153

Los resultados obtenidos muestran que un 27% de los controles implementados no se

encuentran reflejados en ITIL v3 o bien su correspondencia no está claramente definida.

Dicho porcentaje hace referencia a los siguientes puntos de control:

Políticas de recursos humanos para BYOD

Legalidad y cumplimiento normativo

Protecciones contra el Malware

Distribución de Software Seguro (Mobile Device Managament)

Monitorización usuarios y dispositivos BYOD

Para dichos puntos de control, se deben consultar otros estándares si se quiere ampliar

o modificar la información presente en el plan de auditoría (véase el apartado 3.2.2.2

para mayor detalle).

3.3.1.3 ISO/IEC 27002:2005

Imagen 27: Resultados ISO/IEC 27002:2005 BYOD

Al igual que ocurrió con COBIT, este estándar de Seguridad de la Información nos aporta

todo el contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene

información tanto de gobierno y control de TI como de desarrollo e implementaciones

de un modelo seguro y correctamente gestionado.


154


Organizations

Imagen 28: Resultados NIST BYOD

En su guía de controles de seguridad, NIST muestra un amplio conjunto de controles

destinados a gestionar de manera correcta la seguridad de las TIC de la organización. De

acuerdo con el plan de auditoría desarrollado, existe un 19% de controles sin

correspondencia en dicha guía. Estos controles hacen referencia a:

Políticas de recursos humanos asociadas a dispositivos BYOD

Control de proveedores y su adaptación a las políticas BYOD internas de la

empresa.

Procedimiento de excepciones BYOD

Servicio de ayuda y soporte para dispositivos BYOD


Imagen 29: Resultados SANS BYOD

En el documento anual que SANS publica sobre los 20 controles críticos de seguridad, se

observa que un 38% de los puntos de control que se detallan en el plan de auditoría no

se encuentran identificados entre sus controles. Una interpretación posible de dichos


155 155

resultados es que, según SANS, el 38% de los puntos de control del plan de auditoría no

estarían actuando sobre los elementos críticos de seguridad de la empresa. Sin embargo,

cabe resaltar que se trata de controles muy técnicos, por lo que esta interpretación

podría no ser del todo correcta.

Los puntos de control que se encuentran fuera del ámbito de SANS son:

Valoración inicial del riesgo y realización de un plan de riesgos.

Políticas de Seguridad de la Información.

Control de proveedores y su adaptación a las políticas BYOD internas de la

empresa.

Procedimiento de excepciones BYOD.

Legalidad y cumplimiento normativo.

Servicios de ayuda y soporte BYOD.


156

3.3.2 VISIÓN POR DOMINIOS DE CONTROL

Si continuamos profundizando en el análisis y dividimos los marcos analizados en los

dominios de control que se definieron en el punto 3 Introducción, obtenemos los

porcentajes de controles que aplican sobre cada dominio de los estándares. Estos

porcentajes detallan exactamente cuales los dominios principales sobre los que nuestro

plan BYOD se centra y cuales se encuentran menos revisados. Otro de los objetivos del

análisis es encontrar nexos de unión entre los resultados que cada estándar nos

proporciona.

Con esta información, podremos conocer cuáles son los puntos fuertes y débiles del plan

de auditoría (véase los puntos 3.3.3 y 3.3.4).

3.3.2.1 COBIT 4.1

Imagen 30: Detalle Dominios COBIT 4.1 BYOD

Sobre el total de controles de COBIT asociados al plan de auditoría BYOD, más de la

mitad pertenecen al dominio “Entrega y Soporte”. Como ya se definió en el apartado 3,

se trata de un dominio amplio con controles que se centran en la gestión de la

configuración y del servicio, seguridad de los sistemas y formación entre otros. También

hay un alto porcentaje de controles asociados al dominio de “Planificación y

Organización”, donde se encuentra la definición de planes estratégicos, administración

de la calidad del servicio, gestión de riesgos o la administración de proyectos entre

otros.

Cabe destacar el porcentaje nulo del dominio “Adquisición e Implementación”. Este

dominio desarrolla sus controles en base a una adquisición de un recurso y/o software

nuevo para dar cobertura a los servicios BYOD. En este caso, el plan de auditoría no se

centra en la revisión de nuevas adquisiciones sino en la evaluación de todos los procesos

asociados a TI y BYOD que ya se encuentran implementados.


157 157

3.3.2.2 ITIL v3

Imagen 31: Detalle Resultados ITIL v3 BYOD

Al analizar la información de los controles del plan de auditoría BYOD que se encuentran

reflejados en ITIL obtenemos que de la totalidad de controles de ITIL que hacen

referencia al plan de auditoría desarrollado, la mitad de ellos pertenecen al dominio

“Operativa del Servicio”. Se trata de un dato lógico, pues debido a las similitudes entre

COBIT e ITIL y viendo los resultados proporcionados por COBIT, era de esperar que

nuevamente existiera un dominio principal. Este dominio centra sus controles en la

gestión de eventos, incidentes, problemas, demandas y accesos asociados al servicio.

También existen un 20% de controles del dominio “Transición del Servicio”. Este

dominio guarda cierta relación con el dominio “Planificación y Organización” de COBIT,

sobre todo en lo relacionado con la dirección de los servicios, elaboración de

procedimientos, la definición de estratégicas, marcos de procesos etc.

Los datos muestran que, el dominio con menos controles asociados es “Servicio de

Mejora Continua”. Se refiere a la continua monitorización y medición de todas las

actividades y procesos involucrados en la prestación de los servicios TI.


158

3.3.2.3 ISO/IEC 27002:2005

Imagen 32: Resultados ISO/IEC 27002:2005 BYOD

La información que la ISO/IEC 27002:2005 nos aporta en su relación con el plan de

auditoría BYOD, es mucho más proporcional en la distribución de controles. Esto se debe

a la segmentación de dominios, incrementando en más del doble el número de dominios

de COBIT o ITIL.

Dentro de esta uniformidad en la distribución de los controles, podrían destacarse los

dominios de “Control de Accesos” y “Gestión de Comunicaciones y Operaciones”, los

cuales suponen la mitad de los mismos. Estos dominios guardan una relación directa con

muchos de los controles identificados en COBIT e ITIL de los dominios de “Entrega y

Soporte” y “Operativa del Servicio” respectivamente.

El dominio con menor control es el de la “Gestión de la Continuidad del Negocio”. Se

trata de un dominio complejo el cual podría requerir un proceso de auditoría

independiente si se quisiera revisar por completo. No obstante, dentro de este plan de

auditoría, únicamente se revisa el aseguramiento de la continuidad del negocio en los

dispositivos BYOD y la información que éstos almacenan.

Cabe destacar que la ISO/IEC 27002:2005, como marco de buenas prácticas de

Seguridad de la Información, centra sus controles más en el ámbito de la seguridad,

aportando mayor detalle que COBIT e ITIL dentro de esta área. La tipología de controles

de COBIT e ITIL es más genérica si bien dentro de los mismos se consideran muchas

cuestiones de seguridad de la información.


159 159


Organizations

Imagen 33: Resultados NIST BYOD

Del análisis de los controles de NIST que se encuentran reflejados en el plan de auditoría

BYOD, prevalecen los controles asociados a:

Control de acceso.

Formación y concienciación.

Auditoría.

Gestión de la configuración.

Esta información se encuentra alineada con otros resultados mostrados anteriormente.

COBIT ya identificaba el dominio de “Entrega y Soporte” (en NIST “Gestión de la

Configuración”) como el principal en el plan de auditoría. Además, en ITIL e ISO/IEC

27002:2005 se observaba una cantidad alta de controles asociados al control de acceso y

formación. La función de auditoría la encontramos en el dominio de “Monitorización y

Evaluación” en COBIT, “Operativa del Servicio” en ITIL y “Cumplimiento” en ISO/IEC

27002:2005.

Cabe resaltar también un alto número de controles asociados a los dominios de:

Integridad de Sistemas e Información.

Identificación y Autenticación.

Evaluación del Riesgo.

Protección de Sistemas y Comunicaciones.

Existen tres dominios que no se encuentran contemplados dentro del plan de auditoría

BYOD. Estos dominios son “Planes de Contingencia”, “Adquisición de sistemas y


160

Servicios” y “Respuesta a incidentes”. El primero de ellos hace referencia a todos los

procedimientos y políticas asociadas al plan de contingencia de la empresa (backups,

recuperación de datos) para poder asegurar la continuidad del negocio. En el segundo

caso, se trata de un dominio que controla los procedimientos necesarios para la

adquisición de sistemas y servicios para la organización (COBIT “Adquisición e

Implementación”) mientras que el último se revisan los procedimientos existentes para

dar una respuesta óptima a posibles incidentes den los Sistemas de la Información.


Imagen 34: Resultados SANS BYOD

Al contrario que el resto de estándares, SANS, en su documento “SANS: 20 Critical

Security Controls” [27], identifica 20 controles críticos de seguridad para una gestión

apropiada de las TIC. No se trata de un marco de referencia sino de una recopilación de

controles dentro del ámbito de la Seguridad de la Información.

Desde el punto de vista estricto de seguridad, este análisis nos permitirá comprobar

cuan de alineado esta nuestro plan con los controles definidos por SANS. Podemos

observar que el principal dominio es “Limitación y control de puertos, protocolos y

servicios”. El objetivo de este dominio se basa en tratar de asegurar el acceso remoto

seguro, permitiendo acceder a la información únicamente a usuarios y servicios

estrictamente necesarios.

Otros dominios de seguridad relevantes reflejados en el plan de auditoría, según SANS,

son: Configuración segura de hardware y software, Uso controlado de privilegios

administrativos, inventario del software autorizado y no autorizado, seguimiento y

control de cuentas o Acceso controlado basado en necesidades.

Nuevamente, si analizamos en conjunto toda la información que los anteriores marcos

nos han proporciona, obtenemos las siguientes sinergias: “Limitación y control de


161 161

puertos, protocolos y servicios”, “Configuración segura de hardware y software”, “Uso

controlado de privilegios administrativos”, “Inventario del software autorizado y no

autorizado”, “Seguimiento y control de cuentas”, “Acceso controlado basado en

necesidades”. (Véase punto 3 para consultar la definición y el alcance de cada dominio).

Podemos observar como el dominio “Capacidad de Recuperación de Datos” no se

encuentra reflejado en nuestro plan de auditoría. Al igual que nos mostraba la

información anterior de NIST, no se han definido controles asociados a la realización de

back-ups y/o recuperación/restauración de información.


162

3.3.3 PUNTOS FUERTES PLAN DE AUDITORÍA

A continuación se muestran los principales elementos de control del plan de auditoría

BYOD. Esta información se basa en el análisis mostrado anteriormente y tiene como

objetivo mostrar al lector cuales serían las áreas más revisadas en caso de auditar un

entorno BYOD con el plan de auditoría desarrollado en el presente proyecto.

Con esta información, podemos además concluir que las áreas mostradas a continuación

son las principales a la hora de llevar a cabo un despliegue de un entorno BYOD. Esto no

quiere decir que no se deban considerar otros elementos, sin embargo, para llevar a

cabo una adecuada gestión de un entorno BYOD, nuestro estudio identifica las

siguientes prioridades:

Imagen 35: Principales Puntos de Control del Plan de auditoría BYOD

• Comunicaciones, redes y accesos a los SI

• Formación y concienciación de los

miembros de las organizaciones

• Estratégias y tácticas con el fin de que TI

pueda ayudar a negocio a la consecución de sus

objetivos

• Elementos de configuración de la

infraestructura de TI


Planificación y Organización

Protección de Comunicaciones y

accesos

Formación y Concienciación


163 163

3.3.4 PUNTOS DÉBILES PLAN DE AUDITORÍA

En este apartado se identifican aquellas áreas menos revisadas por el plan de auditoría

BYOD y que por consiguiente sería recomendable valorar una posible ampliación del

plan o bien considerar si se podrían llevar a cabo auditorías específicas para controlar y

revisar los siguientes puntos:

Imagen 36: Puntos Débiles Plan Trabajo BYOD

Continuidad del Negocio: Hace referencia al Plan de Continuidad de Negocio (PCN) y a la inclusión de BYOD dentro del alcance del mismo. Ante un posible

desastre natural y/o urgencia crítica, se debe contemplar los dispositivos BYOD dentro de las acciones de recuperación definidas. Son comunes auditorías del

PCN, por lo que conviene incluir a los entornos BYOD en el alcance de las mismas.

Recuperación de datos: No se han incluido controles asociados a los procesos de generación de copias de seguridad o backups de los sistemas asociados al

entorno BYOD. Tampoco existen controles para verificar el proceso de restauración de las copias de seguridad creadas. Resulta fundamental tanto la

replicación de sistemas como las pruebas periódicas que verifiquen la capacidad para restaurar la información replicada.

Adquisición e Implantación de Servicios: El plan de auditoría expuesto se centra

en la revisión de políticas, procedimientos, sistemas y dispositivos ya instalados en la compañía. No se han definido controles que revisen el proceso de

adquisición y puesta en marcha de nuevos dispositivos o soluciones. Se recomienda la existencia de una metodología común para la identificación y la

Continuidad del Negocio

Recuperación de Datos

Adquisición e Implementación

de Servicios

Proceso de Mejora

Continua


164

evaluación de las soluciones de TI, correctamente documentada y comunicada al

resto de la organización.

Proceso de Mejora Continua: El proceso de mejora continua debe ser trasversal

a todas las áreas de la compañía. Se deben identificar nuevas oportunidades de uso de la tecnología para ganar una ventaja competitiva, ejercer influencia en la

re-ingeniería de los procesos de negocio e intentar mejorar la eficiencia. Las buenas prácticas recomiendan la existencia de un proceso de mejora continua

que se actualice periódicamente y cuyos resultados sean escalados a la dirección para apoyar e impulsar las posibles iniciativas y/o mejoras propuestas.


165 165

3.4 ANÁLISIS FINAL DEL PROYECTO (CLOUD COMPUTING & BYOD)

En este apartado se puede observar una comparativa entre los planes de auditoría para

auditorías de entornos Cloud Computing y Bring Your Own Device, con el objetivo de

observar, globalmente, qué puntos fuertes y débiles tiene el proyecto y cuáles pueden

ser los posibles motivos de los mismos.

Para que las secciones de este punto sean más fácilmente entendibles, se dividirá en

cinco sub-apartados, uno para cada estándar analizado.

3.4.1 COBIT 4.1

El primer punto en común entre ambos se produce al observar la visión general del

estándar, dado que ambos planes de auditoría cuentan con que el estándar recoge un

100% de los controles definidos en los dos planes de auditoría. Era de esperar que este

porcentaje fuese tan rotundo para ambos, dado que ambos planes de auditoría se

fundamentan en ISACA, y COBIT es una marca registrada de esta institución.

Tras entrar en detalle al cotejar los porcentajes de dominios del estándar para cada plan

de auditoría, se observa una similitud entre dominios y porcentajes, siendo las

variaciones mínimas. La única diferencia importante radica en la presencia del 12% del

dominio “Adquisición e Implementación” para Cloud Computing frente al 0% de este

mismo dominio en BYOD. Esto se debe a que los planes de auditoría no se centran en la

revisión de nuevas adquisiciones sino en la evaluación de todos los procesos asociados a

TI y Cloud Computing/BYOD que ya se encuentran implementados.

Por otro lado, es llamativo que en ambos casos, el dominio “Entrega y Soporte”, que

abarca un 50% y un 53% para Cloud Computing y BYOD respectivamente. Con esto, se

puede percibir que ambos planes de auditoría están enfocados especialmente en la

gestión de la configuración y del servicio, seguridad de los sistemas y formación.

3.4.2 ITIL v3

Al analizar la visión general del estándar, se observa que el estándar recoge un elevado

número de controles de los planes de auditoría desarrollados. No obstante, los

porcentajes varían: un 96% de controles contenidos por ITIL para auditorías en entornos

Cloud Computing frente a un 73% para entornos BYOD. Es lógico que no se hablen de

porcentajes tan absolutos como en el caso de COBIT; puesto que, al ser ITIL una marca

registrada de la OGC23 en el Reino Unido y otros países, no tiene una relación directa con

ISACA. Mientras que COBIT sí la tiene al ser una marca registrada de ISACA (recordemos

que nuestros planes de auditoría están basados en esta entidad). Sin embargo, la

diferencia entre los porcentajes obtenidos por ITIL, frente a los obtenidos por COBIT, no

23

Oficina Gubernamental de Comercio


166

es tan significativa, ya que ambos estándares han sido definidos basándose en unos

principios comunes

Al comparar los porcentajes de dominios del estándar para cada plan de auditoría, se

advierte una analogía entre dominios y porcentajes, al igual que sucedió con COBIT; sin

embargo, en este caso las variaciones son ligeramente mayores. Se observa una

diferencia interesante que consiste en que el segundo de los cinco dominios de ITIL, para

Cloud Computing es el dominio de “Diseño del Servicio” y su tercero es “Transición del

Servicio”; mientras que para BYOD estos controles están intercambiados entre sí. No es

extraño que, debido a las dimensiones de las infraestructuras Cloud Computing, el

número de controles del dominio “Diseño del Servicio” sea superior que en un entorno

BYOD.

3.4.3 ISO/IEC 27002:2005

Para el caso de la ISO/IEC 27002:2005, el primer punto destacable es que los dos planes

de auditoría cuentan con que el estándar recoge un 100% de los controles definidos

para los dos planes de auditoría. No es extraño, dado que la ISO es un estándar muy

amplio que abarca muchos más ámbitos que otros estándares.

En este estándar, donde se observa un mayor número de dominios (once), lo primero

que se comprueba es que todos los controles propuestos en nuestros planes de

auditoría abarcan en mayor o menor medida los once dominios propuestos por la ISO.

Esto es una buena noticia, puesto que la ISO debe ser un ejemplo de buenas prácticas y

al cubrir la totalidad de sus dominios, aseguramos que el trabajo realizado posee una

buena base extrapolable a cualquier auditoría para estos entornos.

En cuanto a los porcentajes de dominios del estándar para cada plan de auditoría, se

observa que, entre los dominios de ISO que menos representación tienen para los

planes de auditoría, los cuatro últimos coinciden (en distinto orden y con distinto

porcentaje). Estos cuatro dominios son: “Política de seguridad”, “Gestión de activos”,

“Seguridad física y del entorno” y “Gestión de la continuidad del negocio”. Que la

representación sea baja o menor que otros dominios, no implica que no se esté

revisando ese dominio de control sino que el número de controles asociados es menor

que en otras área. De hecho, en los puntos 3.2.1.3 y 3.3.1.3 , ya se mostró como todos

los dominios de la norma ISO se encuentran reflejados en los planes de auditoría.

Por otra parte, dos de los cuatro dominios predominantes en ambos planes de auditoría

coinciden. El primero de ellos es, a su vez, el que dominio con mayor porcentaje para

Cloud Computing (22%) y el segundo mayor para BYOD (con casi un cuarto del

porcentaje total para ambos casos (24%)); este dominio es el de “Gestión de

comunicaciones y operaciones”. Si revisamos este dominio en la norma ISO, podemos

apreciar cómo se trata del dominio más extenso de la misma, lo que explica la alta


167 167

cantidad de controles asociados al mismo. Algunas de los elementos más que se revisan

son: responsabilidades y procedimientos de operación, gestión de servicios de terceros,

gestión y aceptación de sistemas (características), protección contra código malicioso,

gestión de seguridad en redes, soportes de la información (dispositivos extraíbles),

intercambio de información, comercio electrónico y auditoría. El otro dominio común,

“Aspectos Organizativos de la Seguridad de la Información”, ocupa el tercer puesto tanto

para Cloud Computing como para BYOD. Este dominio hace a la coordinación y gestión

de la Seguridad de la Información, el papel de la dirección en ella, las responsabilidades,

los procesos de autorización, los acuerdos de confidencialidad y los contactos con

terceros.

3.4.4 NIST: Recommended Security Controls for Federal Information Systems and

Organizations

En este estándar, la primera diferenciación surge de la cantidad de controles que recoge

NIST para los dos planes de auditoría. En el caso de Cloud Computing, se recoge el 100%

de los mismos, pero para BYOD se recoge el 81% de ellos. Es lógico que, siendo NIST un

estándar menos relevante que ISO, no se recojan todos los controles en su estándar. El

motivo de que el número sea menor para BYOD puede ser porque el número de

controles establecidos para poder desarrollar correctamente el plan de auditoría de

Cloud Computing son casi el doble que los necesarios para BYOD, lo que nos conduce a

pensar que las dimensiones que un entorno Cloud Computing puede alcanzar, son

superiores a las de un entorno BYOD, por lo que se hace necesario ampliar el número de

controles para cubrir en la auditoría la totalidad del entorno.

En cuanto a la visión por dominios de control, llama la atención que el plan de auditoría

para Cloud Computing tenga cubiertos todos los dominios de NIST, mientras que para

BYOD se muestran dos dominios con un 0%. Estos dominios son “Planes de

Contingencia”, “Adquisición de sistemas y Servicios” y “Respuesta a incidentes”. El

motivo de este resultado, es que el plan de auditoría BYOD está centralizado en la

revisión de la gestión y securización de los dispositivos BYOD y el software necesario

para la administración de los mismos (estrategias, gestión de la configuración,

monitorización y control de acceso), sin entrar en demasiados detalles en cuanto a la

infraestructura y sistemas que sustentan dichos dispositivos.

En lo relacionado a los dominios del estándar con menos representación para cada plan

de auditoría, se advierte que, de los dominios de NIST con un porcentaje menor para

ambos planes de auditoría, uno de ellos coincide en ambos grupos. Este dominio es el de

“Protección de Medios”. Hace referencia a la protección física de la información, el

etiquetado, los procesos de cifrado, el transporte físico de dispositivos y los procesos de

formateo de sistemas reutilizables.


168

Desde otra perspectiva, coinciden dos de los cuatro dominios mayoritarios para cada

plan de auditoría. Se trata de los dominios de “Control de acceso” y “Auditoría”. El

primero de estos dominios ya fue clasificado como uno de los predominantes en el plan

de auditoría BYOD (véase punto 3.3.3).

3.4.5 SANS: 20 Critical Security Controls

En este último estándar, la primera similitud surge de la cantidad de controles que

recoge SANS para los dos planes de auditoría. En el caso de Cloud Computing, se recoge

el 60% de los mismos y para BYOD se recoge el 62% de ellos. Como se ve, la proporción

de controles recogidos es casi idéntica. Sin embargo, en un primer momento, pueden

parecer porcentajes muy bajos en comparación con los otros estándares. El motivo de

estos porcentajes obedece a que los 20 controles propuestos son genéricos para el

ámbito de la seguridad. Mientras que los anteriores se desglosan en otros más

específicos.

Relacionado con los dominios de control, es curioso que en este caso particular no

existan coincidencias ni para los controles con mayores porcentajes ni para los más

bajos. Es fácil que este caso se dé, como se ha comentado en los puntos anteriores,

debido al carácter generalista de estos controles impiden establecer una relación entre

los planes de auditoría y apenas entre las propias áreas de dominios de los planes de

auditoría desarrollados.

169

CAPÍTULO IV: CONCLUSIONES

4. RESUMEN DEL TRABAJO REALIZADO

A lo largo del presente proyecto, se han tratado de manera amplia y detallada dos

tecnologías vanguardistas que actualmente se encuentran en pleno desarrollo y cuya

importancia dentro de las organizaciones se hace cada vez más relevante: Cloud

Computing y Bring Your Own Device (BYOD).

El proyecto comienza planteando un modelo de control donde la auditoría interna

adquiere especial relevancia. Este modelo es conocido bajo el nombre de “las tres líneas

de defensa” y se recoge en directivas internacionales tales como Solvencia II24. A

continuación, se muestran de manera genérica los principales marcos de referencia y

estándares de los Sistemas de la Información bajo los cuales las organizaciones

establecen sus modelos de gobierno de TI. Seguidamente, se abordan las

particularidades de Cloud Computing y BYOD profundizando en la identificación y

clasificación de los riesgos que ambos entornos implican. La clasificación del riesgo se ha

realizado siguiendo la norma ISO/IEC 27005:2008 y nos permite ampliar los planes de

auditoría relacionando cada una de las áreas de control con el riesgo que tratan de

mitigar. La sección 4, Planteamiento y Solución, cubre el objetivo principal del proyecto

que es presentar al lector:

Un plan de auditoría completo para auditar entornos Cloud Computing.

(véase punto 3.1.2.1.1)

Un plan de auditoría completo para auditar entornos Bring Your Own Device.

(véase punto 3.1.2.2.1)

Estos planes de auditoría se han realizado tomando como base la información que ISACA

publica en sus documentos “Cloud Computing Management Audit/Assurance Program”

[2] y “Bring Your Own Device (BYOD) Security Audit/Assurance Program” [3]. Han sido

modificados y adaptados en base a los conocimientos y experiencia de los autores del

proyecto y se han ampliado mapeando cada uno de los controles con los principales

estándares y marcos de referencia internacionales de seguridad y gobierno de TI.

Además, cada uno de los marcos de referencia analizados ha sido dividido en dominios

para analizar las áreas principales sobre las cuales actúan los controles desarrollados.

Esto permite dar al auditor una visión concreta de qué es exactamente lo se está

revisando y cómo se podría mejorar el proceso de auditoría. El auditor debe ser capaz de

adaptar estos planes al entorno y las tecnologías presentes en la empresa objeto de la

24

Solvencia II directiva de seguros Europea que pretende que las entidades aseguradoras mantengan un volumen total de provisiones técnicas y un capital de solvencia que garantice su estabilidad ante fluctuaciones externas adversas.


170

auditoría. Se han incluido una serie de recomendaciones y buenas prácticas para ayudar

a los equipos auditores a realizar el proceso de auditoría de manera eficaz. No obstante,

cada entidad tiene sus propias metodologías de trabajo, por lo que el grado de

aplicabilidad de estas recomendaciones puede variar dependiendo del entorno en el

cual se lleve a cabo el trabajo de auditoría.

171 171


4.1 CONCLUSIONES FINALES DEL PROYECTO

En el presente proyecto se presentan dos planes de auditoría y buenas prácticas para

abordar con garantías y de manera eficaz sendos procesos de auditoría sobre entornos

Cloud Computing y Bring Your Own Device.

Los planes de auditoría desarrollados relacionan cada punto de control con los

principales estándares de Sistemas de la Información , aportando al auditor la capacidad

de consultar rápidamente la información que dichos estándares contienen acerca de

cada uno de los puntos de control. Cabe resaltar, que en auditorías reales, el proceso de

localizar el control exacto en el cual se encuentra la información necesaria no es

inmediato, pues se trata de estándares con un contenido denso y muy extenso. Es por

ello que este trabajo facilita notablemente la labor del auditor, mapeando cada control

con un total de cinco marcos de referencia.

Observando el análisis presentado en los puntos 3.2.1 y 3.3.1, se podría inducir a pensar

al lector, en la posibilidad de usar únicamente un marco como COBIT o la norma ISO ya

que éstos cubren la totalidad de los controles presentados. Sin embargo, es importante

indicar, que los estándares empleados son compatibles y toda la información es

complementaria. Una de las principales ventajas del trabajo realizado reside en la

universalidad de los planes de auditoría presentados desde el punto de vista de su

aplicabilidad sobre cualquier entorno corporativo.

Desde la perspectiva de la dirección de un departamento de seguridad o sistemas, el

desglose del análisis por dominios de control presentado en los puntos 3.2.2 y 3.3.2,

permite identificar el nivel de control que el proceso de auditoría aporta sobre cada

dominio. Dependiendo de la naturaleza y el entorno corporativo sobre el cual se realice

la auditoría, podría darse el caso de que desde la dirección de estos departamentos se

quiera reforzar el control sobre alguno de los dominios contemplados, reduciendo así los

riesgos existentes y con ellos las connotaciones negativas del impacto que la

materialización de los mismos pudiera tener.

Todos los puntos mencionados anteriormente, constituyen un conjunto de beneficios a

favor de la aplicación de los planes de auditoría presentados en un entorno corporativo

real. A continuación se enumeran dichas ventajas:

1. Identificación detallada de los riesgos asociados a entornos Cloud Computing y

Bring Your Own Device.

2. Mapeo de los controles definidos con estándares Internacionales de Sistemas de

la Información.

3. Adaptabilidad y aplicabilidad sobre cualquier entorno corporativo real.

4. Simplificación del proceso de auditoría frente a la complejidad de los entornos

presentados y la densidad de la información de los marcos de referencia.


172

5. Visión global del riesgo y su criticidad para la dirección de departamentos de

sistemas y/o seguridad de la información.

6. Identificación rápida de los puntos fuertes y débiles de control.

173 173


4.2 DESCRIPCIÓN OBJETIVOS

Una vez presentados los planes de auditoría para los entornos Cloud Computing y BYOD

es necesario revisar si el desarrollo del proyecto cumple con los objetivos que se

definieron en el apartado 1.2 “Objetivos Principales del Proyecto”.

Se ha investigado y recopilado las diferentes soluciones disponibles para los entornos de

Cloud Computing y BYOD, plasmando la situación actual de los mismos desde el punto

de vista de la seguridad y el riesgo que conlleva su implementación para las

organizaciones. Se han identificado los riesgos existentes en estas tecnologías,

cumpliendo de esta forma el primero de los objetivos “Mostrar cuál es la situación

actual en cuanto a entornos Cloud Computing y BYOD desde un punto de vista de la

seguridad y el riesgo”.

Una vez definidos los riesgos para Cloud Computing y BYOD, se ha procedido a su

valoración siguiendo la norma ISO 27005:2008 en función de la probabilidad de

aparición y el impacto que tendrían en caso de ocurrencia, obteniendo finalmente una

valoración de los cada uno de los riesgos descritos, de tal forma que el segundo de los

objetivos “Analizar los principales riesgos de Cloud Computing y BYOD” queda cubierto.

Dos planes de auditoría han sido definidos, uno para Cloud Computing y otro para BYOD.

Han sido contrastados con estándares y marcos de referencia de los Sistemas de la

Información reconocidos internacionalmente, tales como: COBIT 4.1, ITIL v3, ISO/IEC

27002:2005, NIST: Recommended Security Controls for Federal Information Systems and

Organizations (SP 800-53 Revisión 3) y SANS: 20 Critical Security Controls, valorando

cómo se relacionan los planes de auditoría desarrollados con los controles y dominios de

los estándares mencionados, cumpliendo el tercero de los objetivos “Realizar un plan de

auditoría que permita abordar de manera clara y concisa auditorías de entornos Cloud

Computing y BYOD”.

Este análisis nos aporta una idea del nivel de control y seguridad que abarcan estos

planes y la efectividad que pudieran llegar a tener en caso de ser implementados en un

entorno corporativo.

Por tanto, podemos concluir que se han alcanzado de manera exitosa todos y cada uno

de los objetivos propuestos inicialmente.


174

4.3 FUTURAS LÍNEAS DE DESARROLLO

Para la descripción de las futuras líneas de desarrollo, se han resaltado aquellas áreas

que dentro de las tecnologías tratadas, presentan una alta proyección de desarrollo, ya

sea por una necesidad o bien por una posible tendencia. Adicionalmente, se muestra

como la metodología expuesta a lo largo del trabajo podría ser aplicable a otro tipo de

auditorías informáticas

Las futuras líneas de desarrollo que se han identificado han sido las siguientes:

1. Cloud Computing: Estandarización e integración tecnológica.

Los entornos Cloud Computing todavía encuentran algunas limitaciones en relación a

la estandarización de las plataformas de los proveedores que dificultan en gran

medida los procesos de migración de datos y aplicaciones y la integración con otros

subsistemas de negocio que se requieran mantener en modo tradicional en una

compañía. Adicionalmente, un cliente cloud puede tener distribuidas sus

aplicaciones en diversos proveedores y requiere para su negocio que todas ellas se

integren y sincronicen en la implementación de procesos. La industria cloud tiene un

importante reto en el desarrollo de estándares y de un marco de interoperabilidad

efectivo (véase Estudio Cloud Computing. Retos y Oportunidades [28]).

2. Bring Your Own Device: Bring Your Own Application.

Si nos fijamos en las predicciones que Gartner establece para el año 201725 [29],

observamos como emerge un nuevo concepto muy ligado a BYOD, Bring Your Own

Applicaction (BYOA). Según Gartner, en el año 2017, un 25% de las empresas

dispondrán de una “App Store” corporativa para la gestión del software en

ordenadores y dispositivos móviles. La consultora tecnológica identifica tres ventajas

principales derivadas del uso de esta nueva tendencia:

Aumentar el control sobre las aplicaciones que usan los empleados.

Aumentar el control sobre los gastos de Software.

Mayor poder de negociación con los proveedores de Software.

3. Transposición de metodología del proyecto a otros tipos de auditorías

informáticas.

A continuación, se muestran gráficamente algunos tipos de auditorías informáticas

(incluidos BYOD y Cloud Computing) para las cuales se podrían realizar planes de

auditoría similares a los ya planteados en este proyecto, siguiendo una metodología

similar (estudio de la situación actual, análisis y clasificación de riesgos, desarrollo de

planes de auditoría para los entornos seleccionados, análisis de resultados):

25

http://www.gartner.com/newsroom/id/2334015

http://www.gartner.com/newsroom/id/2334015

175 175


Imagen 37: Tipos de Auditorías Informáticas

La imagen muestra algunas tipologías de auditorías que en la actualidad se realizan en

un departamento de Auditoría Informática. En muchos casos, este servicio se encuentra

subcontratado con terceras empresas, pero debido a la gran cantidad de trabajos

existentes y la criticidad de los mismos, cada vez son más las entidades que deciden

invertir en la creación de un departamento interno para auditar su propia informática.

Cabe resaltar que la existencia de un departamento de estas características debería de

ser independiente al departamento de Seguridad Informática de la entidad. La razón es

la misma que se explicó en el apartado 2.1.3 donde se habló de la importancia de la

objetividad que debe aportar una auditoría.

Con independencia de si la auditoría es externa o interna, lo que es una realidad es el

crecimiento de las competencias de una profesión que va ligada a la evolución, cada vez

mayor y más rápida, de las nuevas tecnologías. Es por ello que, no nos gustaría terminar

el proyecto sin antes animar al lector a profundizar en todos aquellos temas

relacionados con la auditoría informática.

177

BIBLIOGRAFÍA

[1] Forrester Consulting, “Key Strategies To Capture And MeasureThe Value Of Consumerization Of IT.” .

[2] Isaca, IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. Isaca, 2011.

[3] Norm Kelson and Jeff Kalwerisky, “Bring Your Own Device (BYOD) Security AuditAssurance Program.docx.” ISACA.

[4] “IIA Position Paper_the three lines of defense in effective risk management and control.pdf.” .

[5] Khushbu Pratap, “Best Practices for Creating an IT Internal Audit.pdf.” Gartner. [6] Khushbu Pratap, “IT Audit Standards, Frameworks, and Guidelines for Auditees and

Auditors.” . [7] NIST, “Visual Model Of NIST Working Definition Of Cloud Computing.” [Online].

Available: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html. [8] Catteddu, D. and Hogben, G., “Cloud Computing - Benefits, risks and

recommendations for information security,” ENISA, Nov. 2009. [9] C. S. Alliance, Ed., Security Guidance for Critical Areas of Focus in Cloud Computing.

Cloud Security Alliance, 2009.

[10] Bohn, Robert B., Messina, John, Mao, Jian, Tong, Jin, and Liu, Fang, “NIST Cloud Computing Reference Architecture.” IEEE Computer Society, 2011.

[11] Joint Task Force Transformation Initiative, “Recommended Security Controls for Federal Information Systems and Organizations,” National Institute of Standards &

Technology, 2009. [12] A. Scarfo, “New Security Perspectives around BYOD,” in Broadband, Wireless

Computing, Communication and Applications (BWCCA), 2012 Seventh International Conference on, 2012, pp. 446–451.

[13] K. W. Miller, J. Voas, and G. F. Hurlburt, “BYOD: Security and Privacy Considerations,” IT Professional, vol. 14, no. 5, pp. 53–55, 2012.

[14] “Cisco Study: IT Saying Yes To BYOD.” 16-May-2012. [15] Z. Hallock, J. Johnston, F. Macías, and R. Saville, “Cisco Bring Your Own Device

(BYOD) Smart Solution Design Guide.” 20-Dec-2012. [16] “Cisco - BYOD Smart Solution.” [Online]. Available:

http://www.cisco.com/web/solutions/trends/byod_smart_solution/indepth.html. [17] Gartner, “Mobile Device Policy and Procedures for Personally Owned Devices:

BYOD Program.” 2012.

[18] IseC Ltd., ISO27k Model Policy on BYOD security. 2012. [19] “Aruba Certified Solutions Professional (ACSP).” .

[20] “Aruba Networks - BYOD Solution (ClearPass).” . [21] “Bring Your Own Device (BYOD) Cisco Training.” .

[22] “Consumerization of IT - Top Risks and Opportunities.pdf.” ENISA. [23] I. G. Institute, Cobit 4.1. ISA, 2007.

[24] “Official ITIL® Website.” . [25] “ISO/IEC 27002:2005 - Information technology – Security techniques – Code of

practice for information security management.”

178


[26] NIST Special Publication 800-53 Revision 3 Recommended Security Controls for

Federal Information Systems and Organizations JOINT TASK FORCE TRANSFORMATION INITIATIVE. 2009.

[27] SANS: 20 Critical Security Controls. . [28] Miniterio de Industria, Energía y Turismo, “Estudio Cloud Computing Retos y

Oportunidades.” . [29] “Gartner Says That by 2017, 25 Percent of Enterprises Will Have an Enterprise

App Store.”

179

GLOSARIO DE TÉRMINOS

Active Directory: es el servicio de directorio de una red distribuida que permite mantener un

conjunto de objetos relacionados, como usuarios, grupos de usuarios, permisos, etc.

Acuerdo de Nivel de Servicio (ANS): contrato escrito entre un proveedor de servicio y su cliente

con objeto de fijar el nivel acordado para la calidad de dicho servicio. También es conocido por

sus siglas en inglés Service Level Agreement (SLA).

Antivirus: Aplicación para detectar la presencia de virus y puede neutralizar sus efectos.

Ataque: Método por el que se intenta tomar el control, desestabilizar o dañar un sistema.

Auditoría: Proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si un

proceso sigue los procedimientos establecidos.

Externa: La auditoría es llevada a cabo por una empresa externa.

Interna: La auditoría es llevada por el personal de la propia empresa.

Balanceo de Carga: Es la técnica usada para compartir el trabajo a realizar entre diferentes

recursos.

Informe Borrador: Informe de auditoría previo al informe definitivo.

Brecha de Seguridad: Fallo de seguridad en la que una vulnerabilidad puede ser explotada.

Bring Your Own Application (BYOA): Política empresarial que hace referencia a la utilización de

las aplicaciones de terceros por parte de los empleados en el ámbito laboral.

Bring Your Own Device (BYOD): Política empresarial que hace referencia a la utilización de

dispositivos móviles personales por parte de los empleados en el ámbito laboral.

Ciclo de Vida: Sucesión de estados o fases por los que una aplicación pasa a lo largo de su “vida”.

Cloud Computing: Modelo de negocio orientado a la prestación de servicios informáticos a

través de internet.

Control: Proceso que sirve para guiar la gestión empresarial hacia los objetivos de la

organización y un instrumento para evaluarla.

Centro de Proceso de Datos (CPD): Ubicación donde se concentran recursos hardware

necesarios para el procesamiento de información de una organización, equipadas con

mecanismos de control.

Cloud Service Provider (CSP): Empresa que proporciona un servicio de Cloud. En español se

conoce como Proveedor de Servicios de Cloud.

180


Consumerización: Tendencia creciente que hace referencia a la propagación de nuevas

tecnologías de la información surgidas en el mercado de consumo a las empresas y

organizaciones gubernamentales.

Departamento: Unidad o parte singular de una organización mayor (empresa).

DLP: Data Loss Protection, protección para la pérdida de datos.

DNS: Domain Name System, sistema de nombres de dominio.

EPS: Endpoint Protection Service, Servicios de Protection Finales

Enterprise Risk Management (ERM): Control de riesgos empresariales.

Estándar: Modelo o patrón de referencia.

Estrategia: conjunto de acciones planificadas sistemáticamente en el tiempo que se llevan a

cabo para lograr un determinado fin o misión.

Evento: Suceso que ocurre en un sistema.

Gestión de Evento/s: Proceso en el que se definen las acciones que se deben tomar ante

determinados sucesos.

IDS: Sistema de Detección de Intrusos.

Informe de auditoría: Documento de comunicación formal mediante el cual el auditor detalla al

cliente el alcance, los resultados y las conclusiones de la auditoría.

Ingeniería social: Práctica para obtener información confidencial a través de la manipulación de

usuarios legítimos.

Direccion IP: Dirección lógica asignada a una interfaz de un equipo dentro de una red de datos

que implementa protocolo IP.

IPS: Sistema de Prevención de Intrusos.

ITGI: Information Technology Governance Institute.

Licencia: Contrato para utilizar una aplicación o sistema cumpliendo una serie de términos y

condiciones establecidas dentro de sus cláusulas.

Línea de defensa: Área de control del riesgo.

Log: Registro de eventos durante un rango de tiempo determinado.

LOPD: Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

Marco de Referencia: Es un conjunto de convenciones usadas para poder comparar sistemas o

aplicaciones.


181 181

Metodología: Conjunto de métodos que se siguen en una investigación científica o en una

exposición doctrinal.

Migración: Proceso consistente en hacer que los datos y las aplicaciones existentes funcionen en

un ordenador, software o sistema operativo distinto.

Modelo Computación: modo que los usuarios puedan acceder a los servicios disponibles.

IaaS: Infrastructure as a Service, modelo de computación en la nube en la que se ofrece

la infraestructura como servicio.

PaaS: Platform as a Service, modelo de computación en la nube en la que se ofrece una

serie de módulos como servicio.

SaaS: Software as a Service, modelo de computación en la nube en la que se ofrece un

software como servicio.

Objetivo: Fin a que se dirigen las acciones o deseos de alguien.

Open Geospatial Consortium (OGC): Consorcio Internacional de Industrias formado por

compañías, agencias gubernamentales y universidades.

Órgano de Gobierno: Máximo órgano de una organización o corporación, y de la cual dependen

todos sus miembros o departamentos.

Plan de acción: Medida que detalla qué acciones se llevarán a cabo para reducir o eliminar el

riesgo identificado en un hecho observado.

Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un

asunto o campo determinado.

Riesgo: Contingencia o proximidad de un daño.

Dirección de Riesgo: Departamento/s o persona/s encargas de determinar las acciones

que se deben seguir en la gestión de riesgos.

Gestión de Riesgo: Método o acciones para reducir o asumir los riesgos existentes.

Informe de Riesgo: Documento o documentos en los que se describen los riesgos

existentes.

Nivel de Riesgo: Valoración cuantitativa que identifica la probabilidad de ocurrencia y el

impacto asociado a la materialización del riesgo.

Rol: función que alguien o algo cumple.

Sistema SIEM: Sistema para Gestión de la Seguridad de la Información y Gestión de Eventos.

SSL: Secure Sockets Layer (capa de conexión segura) protocolo criptográfico que proporciona

comunicaciones seguras por una red.

TI: Tecnología de la Información.

TIC: Tecnología de la Información y Comunicación.

182


TLS: Transport Layer Security, (seguridad de la capa de transporte) protocolo criptográfico que

proporciona comunicaciones seguras por una red.

VPN: Virtual Private Network, red privada virtual.

Vulnerabilidad: Capacidad de un sistema para hacer frente y resistir ataques o fallos.

WAN: Wide Area Network, red de computadores que abarca varias ubicaciones físicas.