APORTES DESDE LA AUDITORÍA A LOS ATAQUES DDOS

Estándar

Escrito en 30 Agosto 2017.

Los ataques cibernéticos que atentan contra la seguridad de la información privada de las empresas son cada vez más comunes hoy día. Muchos hackers pueden actuar por cuenta propia para afectar una empresa con el objetivo de obtener un beneficio a cambio, e incluso, pueden actuar bajo las órdenes de la competencia cuya intención es afectar a la organización directamente. En cualquier caso, las empresas deben prepararse para asumir dichos ataques y saber actuar frente a los mismos.

 Stewart (2017), consiente de la magnitud de un ataque cibernético, hace un llamado para que la Auditoría Interna haga aportes valiosos que prevengan dichas situaciones. De esta manera, lo primero que se tiene que considerar es las compañías y sus trabajadores deben estar preparados para detectar, prevenir, investigar y superar situaciones de riesgo como lo son los ataques cibernéticos. Incluso, esa preparación debe contemplar posibles represalias que los hackers puedan tomar en contra de ellas. Esto se debe considerar debido a que muchos de estos criminales están dispuestos a secuestrar información a cambio de beneficios económicos, dejando a la empresa vulnerable. Otro tipo de ataque muy común es el DDoS (Distributed Denial of Service) que afecta al servidor principal desde muchos ordenadores. El DDoS es un tipo de ataque que se usa como represalia por los hackers y su propósito es extorsivo. Las soluciones ante este tipo de ataques se van quedando cada vez más obsoletas y los hackers encuentran nuevas maneras de hacer daño a la empresa. Esto requiere que haya una contrafuerza de capacidades intelectuales puestas a prueba que generen soluciones a esta problemática y esto es una gran responsabilidad por parte de la auditoría interna.

De esta manera, el Auditor Interno debe considerar varios aspectos: conocer el funcionamiento de los ataques conocidos como DDoS, de esta manera se genera una ventaja frente al problema y se pueden tomar acciones anticipadas para prevenirlos. Por ejemplo, mayores medidas de protección de datos o capacitaciones dirigidas a los empleados para que no cometan errores en el uso de la tecnología y los recursos de la misma. Hay que reconocer además el grado de vulnerabilidad al que se está expuesto y para ello hay que partir por la premisa de que cualquier persona es vulnerable a un ataque.

Muchos recursos son utilizados por los hackers para desestabilizar el funcionamiento de una organización, estas situaciones de fraude son incentivadas generalmente por trampas que provocan que se desencadene todo el proceso. Por ejemplo, el simple hecho de abrir un link de un correo malintencionado puede desencadenar grandes consecuencias, pues es el punto de quiebre que el hacker usa para tener acceso al sistema operativo de la empresa.

Más puntualmente, Stewart (2017) hace una recopilación de lo que los auditores pueden hacer para ayudar a las organizaciones a prevenir y mitigar un ataque de tipo DDoS o cualquier riesgo cibernético. Lo primero es que los Auditores Internos ante cualquier ataque cibernético o una sospecha del mismo, deben acudir primero a los administrativos de la empresa y luego de manera inmediata a las autoridades para que se dé comienzo a un proceso judicial.

Segundo, las organizaciones deben utilizar con mayor prudencia los servicios de almacenamiento de la información en la nube (Clud Services), de tal manera que la información almacenada no se encuentre particularmente en situación de vulnerabilidad ante un ataque. Tercero, se debe fortalecer los sistemas operativos de las empresas, este fortalecimiento incluye estrategias que potencien la seguridad de los datos que son privados para la empresa. Además, una correcta y permanente actualización de este sistema operativo. Finalmente, también se requiere que haya un mayor control y un fortalecimiento de los sistemas que protegen el sistema operativo de la empresa. Es decir, una buena barrera contra dichos ataques.

Es necesario entender que el uso de la tecnología, aunque trae enormes beneficios, también vuelve vulnerable a una organización. Los recursos actuales son cada vez más ingeniosos para provocar trampas para los empleados u organizaciones que no manejan plenamente los recursos electrónicos. Por esta razón, los Auditores Internos deben ir un paso más allá de los enemigos, conocer su funcionamiento y sus patrones de comportamiento, para de esta manera tomar acciones preventivas y de mitigación y para preparar a la empresa ante posibles ataques. Sin lugar a dudas, se trata de crear además una conciencia de seguridad cibernética, que no afecte la funcionalidad de la tecnología en la eficiencia de las empresas. No se debe estigmatizar el uso de la tecnología por el riesgo de la manipulación de datos, sino que los auditores deben mantenerse a la vanguardia de los nuevos recursos que la propia tecnología tiene para ataques dichos ataques cibernéticos. El esfuerzo empresarial va a ser primordial a la hora de atender las sugerencias de los auditores y de crear una cultura de reconocimiento de riesgos y de prevención y mitigación de los mismos.

Bibliografía

Stewart, A. (2017). The Wrong Way to Battle Bad Press. En línea, disponible en: https://iaonline.theiia.org/2017/Pages/The-Wrong-Way-to-Battle-Bad-Press.aspx?utm_campaign=FFO&utm_medium=social&utm_postdate=08%2F15%2F17&utm_source=twitter