Hallazgo en un Proyecto - Ricardo Marín

    En el marco de un reciente proyecto de auditoría de seguridad de la información para un estudio universitario, nuestro equipo tuvo la oportunidad de analizar en profundidad los controles de una organización anónima. Durante este ejercicio, identificamos un hallazgo que, si bien técnico en su naturaleza, resalta la importancia fundamental de prácticas básicas pero críticas en ciberseguridad.

    El hallazgo se centró en la ausencia de cifrado de datos en tránsito y en reposo. La descripción detallada reveló que la información confidencial, tanto la que se transmitía a través de la red como la que se almacenaba en bases de datos y otros medios, carecía de la protección criptográfica adecuada.

    Las consecuencias de esta omisión eran significativas y de gran alcance, ya que implicaba desde varios aspectos sensibles como la exposición de datos confidenciales a individuos no autorizados, con el riesgo latente de interceptación o robo; el incumplimiento de regulaciones de protección de datos, lo que podría acarrear sanciones legales y financieras severas; y por último, pero no menos importante, el daño sustancial a la reputación de la organización, erosionando la confianza de clientes y socios. Este escenario subraya que, sin el cifrado adecuado, incluso las infraestructuras de red más avanzadas pueden ser inherentemente vulnerables.

El Cifrado en el Marco de COBIT e ISO 27001

    Este hallazgo no es solo un problema técnico; representa una deficiencia en la gobernanza y gestión de la seguridad de la información, aspectos abordados por marcos reconocidos internacionalmente como COBIT e ISO 27001.

    Desde la perspectiva de COBIT (Control Objectives for Information and Related Technologies), este hallazgo se vincula estrechamente con el dominio de APO (Align, Plan and Organise), específicamente con el proceso APO13 (Manage Security). Este proceso enfatiza la necesidad de establecer y mantener un sistema de gestión de la seguridad de la información que proteja los activos críticos de la organización. La falta de cifrado efectivo es un indicativo de una gestión de seguridad deficiente que no aborda adecuadamente la protección de la confidencialidad de la información, uno de los pilares de la seguridad en COBIT.

    En cuanto a la norma ISO/IEC 27001 (Sistemas de Gestión de la Seguridad de la Información - SGSI), el hallazgo representa una no conformidad directa con varios de sus controles. Particularmente relevante es el Anexo A, que incluye una lista de controles de seguridad. El control A.10.1 (Cifrado) establece requisitos explícitos para el uso de cifrado para proteger la confidencialidad, autenticidad e integridad de la información. La ausencia de cifrado tanto en tránsito como en reposo demuestra un incumplimiento de este control fundamental. Además, la norma enfatiza la gestión segura de las claves de cifrado y el establecimiento de políticas y procedimientos claros relacionados con el cifrado (A.10.1.2 y A.10.1.3), aspectos que también habrían sido deficientes si el cifrado base no estaba implementado.

Recomendaciones y Mejoras

    La propuesta de mejora para este hallazgo es contundente y se enfoca en la implementación de medidas robustas:

  • Cifrado de datos en tránsito: Utilizar protocolos de comunicación seguros como HTTPS y TLS para todas las transmisiones de datos confidenciales a través de la red.
  • Cifrado de datos en reposo: Implementar el cifrado en bases de datos, servidores de archivos y cualquier otro medio donde se almacene información sensible.
  • Gestión de claves de cifrado: Establecer un sistema seguro y robusto para la generación, almacenamiento, distribución y revocación de claves de cifrado.
  • Políticas y procedimientos: Desarrollar e implementar políticas claras y procedimientos detallados para el uso del cifrado y la gestión de sus claves en toda la organización.

    Este ejercicio de auditoría académica refuerza la noción de que el cifrado no es una característica opcional, sino un requisito ineludible en el panorama actual de la ciberseguridad. Su correcta implementación es un componente crítico para garantizar la confidencialidad de la información y la resiliencia de cualquier entidad frente a las amenazas digitales.

 

Comentarios

Publicar un comentario

Entradas más populares de este blog

Normas COBIT 5 y 2019. Qué son, para qué sirven, y cuáles son sus beneficios (Ricardo Marín)

       En el complejo entorno empresarial actual, la información y la tecnología (I&T) son fundamentales para la innovación, el crecimiento y la eficiencia operativa. Para ayudar a las organizaciones a gestionar y gobernar sus activos de I&T de manera efectiva, ISACA (Information Systems Audit and Control Association) ha desarrollado COBIT, un marco de referencia reconocido globalmente , con dos versiones especialmente relevantes, COBIT 5 , y su evolución, COBIT 2019 . Antes de adentrarnos en estas versiones más recientes, es útil entender cómo y por qué surgió este influyente marco.      COBIT no apareció de la noche a la mañana como el extenso marco de gobierno que conocemos hoy. Sus raíces se remontan a principios de la década de 1990, cuando la comunidad de auditoría de sistemas de información identificó la necesidad de contar con un conjunto de controles y objetivos de control estandarizados para los procesos de TI. La primera versión, co...
Leer más

Artículo 9: Delitos Informáticos en Venezuela 2025: Análisis de la Legislación Vigente (Ricardo Marín)

Si bien la tecnología ha impulsado el progreso en Venezuela, también ha abierto un abanico de nuevas formas de delincuencia en el ciberespacio. A pesar de la existencia de la Ley Especial contra los Delitos Informáticos desde 2001, la pregunta que surge en este 2025 es si este marco legal se mantiene a la altura de la sofisticación y diversidad de los fraudes que hoy en día se presentan en el entorno digital venezolano. En opinión de muchos expertos y víctimas, la respuesta podría ser un tanto preocupante, dejando importantes áreas grises sin una clara definición ni sanción. La ley, en su momento, representó un avance al tipificar conductas como el acceso indebido, el daño a sistemas y la falsificación de documentos electrónicos. Sin embargo, el panorama del cibercrimen ha evolucionado a una velocidad vertiginosa, presentando desafíos que quizás la legislación actual no aborda de manera exhaustiva. Uno de los principales puntos de debate radica en la limitada extensión de la ley frent...
Leer más

Ley de Infogobierno y Auditoría de Sistemas en Venezuela (Ricardo Marín)

     La Ley de Infogobierno en Venezuela, formalmente conocida como Decreto con Rango, Valor y Fuerza de Ley sobre Infogobierno, fue promulgada y publicada en la Gaceta Oficial N° 40.274 el 17 de octubre de 2013. Su objetivo principal es establecer el marco normativo para el uso de las Tecnologías de Información (TI) en el Poder Público y el Poder Popular. Busca transformar la gestión pública a través de la eficiencia, la transparencia, la participación ciudadana y la promoción de la soberanía tecnológica, principalmente mediante el uso prioritario de Software Libre y estándares abiertos en la administración pública venezolana. Las implicaciones de esta ley para el país son significativas, ya que mandata una profunda transformación digital en el sector público. Exige que los entes gubernamentales adopten y utilicen las TI para optimizar sus procesos internos, mejorar la prestación de servicios a los ciudadanos (gobierno electrónico), garantizar la interoperabilidad entre ...
Leer más