Los controles de monitoreo de seguridad de información que no deben faltar en tu organización

Por Marlon Tello, gerente de Auditoría de PwC

Existe una variedad de controles de monitoreo que las áreas de seguridad de información, como segunda línea, implementan en las organizaciones con el objetivo de mitigar los riesgos que podrían impactar en sus procesos de negocio.

Cabe resaltar que luego de la evaluación de riesgos de cada organización estos monitoreos pueden o no aplicar e inclusive se pueden identificar otro tipo de monitoreos distintos de los que son materia de discusión en este artículo.

Algunos de los monitoreos, incluyen revisiones periódicas sobre los derechos de acceso concedidos a los usuarios en los sistemas de la organización, las cuales son requeridas para las organizaciones supervisadas por la Superintendencia de Banca y Seguro en el artículo 5.1 de la circular G-140-2009.

El monitoreo de las actividades realizadas por los usuarios con accesos privilegiados a nivel de aplicación, sistema operativo, bases de datos y red, debe incluir a los usuarios de personal tercero que brinda servicios a la organización; debido a que, si bien el trabajo operativo es tercerizado, la responsabilidad de las actividades y supervisión de estas sigue estando del lado de la organización contratante.

Además, es importante el monitoreo de transacciones críticas a nivel de aplicación. Estas deben ser definidas en conjunto entre el área de seguridad de información y las áreas de negocio.

Asimismo, a raíz de los cambios por la Pandemia COVID-19, como la implementación del trabajo remoto o el uso de equipos distintos a los de la organización para conectarse a la red interna, surgieron nuevos riesgos sobre los cuales las organizaciones deben considerar implementar controles de monitoreo.

Entre los más comunes se encuentran los monitoreos sobre accesos remotos a la red interna, para asegurar que las conexiones registradas sean las autorizadas, la implementación de este monitoreo es requerido en las organizaciones supervisadas por la Superintendencia de Banca y Seguro de acuerdo con lo indicado en el artículo 12 – sección 4 e) de la Resolución 504-2021; dicho monitoreo, se debe complementar con la revisión de los usuarios que se conectan desde más de un dispositivo, verificando que estén autorizados por la organización; y el monitoreo para verificar si existe más de un usuario conectado desde el mismo dispositivo a la red interna, en este último caso, de identificar ocurrencias puede ser que los usuarios estén compartiendo sus cuentas.

De la misma manera, es importante que exista documentación sobre el control de monitoreo que incluya lo siguiente:

  • Los pasos para ejecutar el control, de manera que si cambian los ejecutores se mantenga el conocimiento del procedimiento.
  • La frecuencia de ejecución del control.
  • Las personas involucradas en la ejecución del control de monitoreo y la revisión de los resultados.
  • De dónde se extrae la información para la ejecución del monitoreo y cómo nos aseguramos sobre la integridad y exactitud de dicha información antes de utilizarla para ejecutar nuestro control.
  • Qué evidencia y dónde se almacenará esta luego de la ejecución del control.

La ejecución de los controles de monitoreo culmina cuando el equipo de seguridad de información ha obtenido respuesta a todos sus hallazgos, solo así podemos asegurar que los riesgos relacionados a dichos controles se encuentran mitigados. Todos los hallazgos resultantes deben analizarse para descartar falsos positivos e ir afinando su diseño y ejecución en el tiempo. Es recomendable que un tercero independiente como, por ejemplo, el área de auditoría interna, control interno, cumplimiento o un proveedor como el auditor externo o consultor especializado revise periódicamente, como parte de su plan de trabajo, el diseño y operatividad de los controles de monitoreo, de manera que asegure que los objetivos de control definidos cubran el riesgo identificado por la organización.

Deja un comentario