Q2 2025

Aprovechamiento por parte de las Entidades Fiscalizadoras Superiores de los estándares NIST para fortalecer las auditorías en el sector público

By
Fuente: Adobe Stock Images, Michael Traitov

Autor: Thiago de Oliveira Teodoro, Tribunal de Contas da União (Tribunal Federal de Cuentas de Brasil)

Introducción 

Las Entidades Fiscalizadoras Superiores (EFS) desempeñan un papel esencial en la evaluación de la eficacia de las políticas gubernamentales. En una era marcada por  rápidos cambios tecnológicos, las políticas que rigen la ciberseguridad y la protección de datos están sometidas a una inmensa presión para cumplir con unos altos estándares de resiliencia y conformidad. El presente artículo pretende ampliar nuestra comprensión del tema a través del examen de nuevas perspectivas susceptibles de complementar las orientaciones existentes formuladas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) y descritas, principalmente, en los siguientes documentos:

  1. Manual del Grupo de Trabajo sobre Auditoría TI (WGITA) y de la Iniciativa de Desarrollo de la INTOSAI (IDI) sobre Auditoría de TI para Entidades Fiscalizadoras Superiores
  2. Guid-5100: Orientación de auditoria de los sistemas de información y el borrador inicial correspondiente.
  3. Guía para la auditoría de ciberseguridad y protección de datos del WGITA

En particular, la Guía para la auditoría de ciberseguridad y protección de datos enumera una serie de mejores prácticas del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology; NIST) que fueron utilizadas como base para mostrar cómo agregar funcionalidades de seguridad a las orientaciones actuales de la INTOSAI. El marco de ciberseguridad del NIST proporciona un entorno integral y un catálogo flexible y personalizable de controles de seguridad y privacidad para ayudar a las organizaciones a gestionar los riesgos asociados a los sistemas, hacer frente a las ciberamenazas y dar soporte a una gestión integral de riesgos a todos los niveles organizativos.

El presente repaso resaltará las que se pueden considerar las cinco familias de controles de seguridad y privacidad más críticas del NIST, referenciadas en las orientaciones de la INTOSAI y susceptibles de correlacionarse con ciberataques de alto impacto. 

Las cinco familias de controles NIST esenciales: lecciones aprendidas de ciberataques de alto impacto

1. Gestión de riesgos de la cadena de suministro (SR)

La gestión de riesgos de la cadena de suministro (Supply Chain Risk Management; SR) se ha convertido en una preocupación crítica debido a la creciente prevalencia de ciberataques contra las cadenas de suministro que amenazan tanto a entidades del sector público como del privado. Un ejemplo a destacar es el ataque a SolarWinds de 2020, en el que los adversarios se infiltraron en las actualizaciones de software y comprometieron la seguridad de numerosos sistemas, incluidos los de organismos gubernamentales. Tales incidentes demuestran la importancia de una rigurosa supervisión y evaluación de riesgos a la hora de tratar con proveedores externos. Para mitigar estos riesgos, las EFS deberían establecer orientaciones claras a efectos de evaluar las vulnerabilidades de dichos proveedores y verificar la autenticidad de componentes y servicios. La implementación de estándares como los recogidos en la Guía NIST 800-161 puede reforzar la seguridad al aportar marcos de ciberseguridad estructurados para identificar y gestionar los riesgos de la cadena de suministro.

2. Respuesta a incidentes (IR)

La gestión de la respuesta a incidentes (Incident Response; IR) resulta esencial para minimizar el impacto de las brechas de seguridad, particularmente de cara al ransomware y las amenazas persistentes avanzadas (Advanced Persistent Threats; APT). Un ejemplo simple de ello es el ataque del grupo de ransomware Conti a Costa Rica de abril de 2022, que afectó gravemente a múltiples organismos gubernamentales, entre ellos el Ministerio de Hacienda del país, y paralizó la recaudación de impuestos y otros servicios críticos. Este tipo de incidentes evidencian la necesidad de una planificación proactiva de la respuesta a incidentes en aras de asegurar la capacidad de las organizaciones para detectar, contener y recuperarse de los ciberataques. Las EFS deberían promover estrategias integrales de gestión de incidentes, incluidos marcos de asistencia, planes de respuesta estructurados y simulacros periódicos de los protocolos de actuación frente a incidentes. La adopción de estándares sectoriales como los de la publicación especial NIST SP 800-61 puede fortalecer aún más las capacidades de respuesta y mejorar la resiliencia general en materia de ciberseguridad.

3. Tratamiento de la información de identificación personal (PII) y transparencia (PT)

La privacidad y la protección de datos se han convertido en aspectos primordiales a medida que regulaciones como el Reglamento General de Protección de Datos (RGPD) están imponiendo requisitos estrictos de gestión y protección de la información de identificación personal (personally identifiable information; PII). El hecho de no proteger los datos confidenciales puede dar lugar a brechas severas, tal y como se vio en 2020, cuando los adversarios pusieron en peligro las comunicaciones gubernamentales y la información política crítica del Parlamento noruego. Incidentes de esta índole ponen de relieve la importancia de una sólida gobernanza de la privacidad y de las correspondientes medidas de conformidad. Las EFS deberían implementar evaluaciones de impacto sobre la privacidad y establecer marcos integrales de protección de datos para mitigar los riesgos. La incorporación del Marco de Privacidad del NIST brinda a las EFS la posibilidad de desarrollar un enfoque estructurado para la gobernanza de la privacidad, asegurando su conformidad, la rendición de cuentas y la preservación de la confianza pública en el tratamiento de los datos.

4. Monitoreo continuo y operaciones de seguridad automatizadas (CA, SI)

El monitoreo continuo y las operaciones de seguridad automatizadas (Continuous Monitoring and Automated Security Operations; Assesment, Authorization and Monitoring – CA; System and Information Integrity – SI) son esenciales para identificar y mitigar las vulnerabilidades en tiempo real, especialmente en los sistemas críticos. Un ejemplo significativo de ello lo constituye la explotación de vulnerabilidades de la aplicación MOVEit Transfer en 2023, donde los adversarios lograron incrustar malware en transferencias de datos legítimas, con el consiguiente impacto en numerosas organizaciones, incluido el Departamento de Energía de EE.UU. Este incidente muestra la importancia de un monitoreo de seguridad proactivo y automatizado para poder detectar y responder a las amenazas antes de que escalen. Las EFS deberían adoptar herramientas automatizadas, metodologías de seguridad adaptativas y marcos de monitoreo continuo a fin de reforzar la ciberresiliencia. Aprovechar las orientaciones de la NIST 800-137A en este sentido puede ayudar a instaurar prácticas de seguridad robustas que respondan de forma dinámica a las amenazas y vulnerabilidades emergentes.

5. Seguridad del Internet de las cosas (IoT) y la tecnología operativa (OT) – (PE, SC)

El Internet de las cosas (Internet of Things; IoT) y la tecnología operativa (Operational Technology; OT; Physical and Environmental Protection – PE; System and Communications Protection – SC) ostentan un papel central en las infraestructuras críticas, pero la debilidad de sus configuraciones los convierte en blancos prioritarios de ciberamenazas. Aquí, sirva como ejemplo singular el ataque de ransomware al oleoducto Colonial Pipeline en 2021, en el que los adversarios interrumpieron la distribución de combustible en todo Estados Unidos, provocando un desabastecimiento generalizado y desencadenando, a su vez, una respuesta a nivel federal para mejorar la seguridad de las infraestructuras críticas. Este incidente ilustra la necesidad de proteger los entornos IoT y OT con miras a prevenir disrupciones similares. Las Entidades Fiscalizadoras Superiores (EFS) deberían adoptar estrategias de la auditoría basada en riesgos que contemplen las vulnerabilidades de IoT y TO, inclusive la autenticación de dispositivos, el encriptado y la seguridad de las comunicaciones. A estos efectos, utilizar las orientaciones de las publicaciones especiales NIST SP 1800-25, 1800-26, 800-82 puede fortalecer la resiliencia y la seguridad de dichos sistemas.

Conclusión

Las cinco áreas de seguridad descritas abordan amenazas clave; sin embargo, cabría considerar otras muchas familias de controles de seguridad y privacidad NIST. Se podría aplicar una metodología similar para ampliar el análisis, centrándose en controles de seguridad específicos y ofreciendo recomendaciones más focalizadas. Tal aproximación permite aprovechar las orientaciones existentes de la INTOSAI e incorporar, al mismo tiempo, elementos concretos de otras normas y estándares, como el NIST.

En definitiva, si las EFS potencian los controles de ciberseguridad, podrán auditar y reforzar mejor los controles de seguridad, lo que, en última instancia, redunda en una mayor resiliencia de los sistemas de información del sector público.

Referencias
1.
Agencia de Ciberseguridad y Seguridad de las Infraestructuras. ED 21-01: Mitigate SolarWinds Orion Code Compromise (Mitigar la vulneración del código de SolarWinds Orion). Última modificación: 15 de abril de 2021. Consultado el 17 de noviembre de 2024. https://www.cisa.gov/news-events/directives/ed-21-01-mitigate-solarwinds-orion-code-compromise.
2.
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Guía sobre Ciberseguridad y Protección de Datos. 2022.
3.
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Guid-5100: Orientación sobre auditoría de sistemas de información. Junio de 2019.
4.
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). WGITA-IDI Handbook on IT Audit for Supreme Audit Institutions (Manual WGITA-IDI sobre Auditoría de TI para Entidades Fiscalizadoras Superiores). Febrero de 2014.
5.
Instituto Nacional de Estándares y Tecnología (NIST). Controles de seguridad y privacidad para sistemas de información y organizaciones. Publicación Especial 800-53, Revisión 5. Gaithersburg, MD: Departamento de Comercio de EE.UU., septiembre de 2020. https://doi.org/10.6028/NIST.SP.800-53r5.
6.
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Borrador revisado de la GUID 5101 de la INTOSAI: Auditoría de la Seguridad de los Sistemas de Información.
7.
Stortinget. Cyberattack on the Storting (Ciberataque al Parlamento). Modificado por última vez el 3 de septiembre de 2020. Consultado el 17 de noviembre de 2024. https://www.stortinget.no/en/In-English/About-the-Storting/News-archive/Front-page-news/2019-2020/cyberattack-on-the-storting/" \t "_new.
8.
Reuters. U.S. Energy Dept gets two ransom notices as MOVEit hack claims more victims (El Departamento de Energía de EE.UU. recibe dos solicitudes de rescate mientras el ataque a MOVEit se cobra más víctimas). 16 de junio de 2023. Consultado el 17 de noviembre de 2024. https://www.reuters.com/technology/us-energy-dept-got-two-ransom-requests-cl0p-data-breach-2023-06-16/.
9.
U.S. Department of Energy. Colonial Pipeline Cyber Incident (Incidente cibernético del oleoducto Colonial). Modificado por última vez el 13 de mayo de 2021. Consultado el 17 de noviembre de 2024. https://www.energy.gov/ceser/colonial-pipeline-cyber-incident.
10.
Departamento de Estado de EE.UU. Reward Offers for Information to Bring Conti Ransomware Variant Co-Conspirators to Justice (Oferta de recompensa por información para poder presentar cargos contra los conspiradores de la variante del ransomware Conti). Última modificación: 6 de mayo de 2022. Consultado el 17 de noviembre de 2024. https://www.state.gov/reward-offers-for-information-to-bring-conti-ransomware-variant-co-conspirators-to-justice/.

Popular Tags

cybersecurity
digitalization
emerging risks
risk based approach
science and technology

Related Articles
Fortalecimiento de la relación entre las EFS y el FMI

Como prestamista internacional de última instancia, el Fondo Monetario Internacional (FMI) ha sido el mayor proveedor de financiación de emergencia para COVID-19, poniendo a disposición de más de 85 países miembros una cantidad sin precedentes de 250.000 millones de dólares. Estos fondos, que se han utilizado en gran medida como apoyo presupuestario nacional, han sido fundamentales para reforzar las respuestas de los gobiernos a la pandemia. Sin embargo, la rápida dispersión de estas enormes sumas ha aumentado el riesgo de…

Aldcroft
El Centro para la Excelencia en Auditoría de la GAO celebra su quinto aniversario

“El Centro para la Excelencia en Auditoría (CAE) es un recurso para la comunidad auditora mundial. Está logrando lo que imaginé hace cinco años. Estoy satisfecho con su progreso y su capacidad para adaptarse a las necesidades de las Entidades Fiscalizadoras Superiores (EFS) y las organizaciones de auditoría nacionales, así como a la pandemia de COVID-19.”-Gene L. Dodaro, Contralor General de EE.UU. y Jefe de la Oficina de Rendición de Cuentas del Gobierno de EE.UU. (GAO).

Center for Audit Excellence
USA
La Ciencia de Datos Como Catalizador Para la Transformación de la Auditoría

En el contexto de la sociedad de la información, la transformación digital ha conducido a un crecimiento exponencial en la producción y el almacenamiento de datos, originando lo que se ha dado en llamar ciencia de datos para responder a la necesidad de nuevas herramientas capaces de tratar de forma inteligente grandes volúmenes de datos y transformarlos en información procesable apta para la toma de decisiones en múltiples entornos. 

Gardey Julieta
Argentina
OLACEFS
Back To Top
Previous Article
Next Article