Page 97 - Revista Auditoria Pública nº 83
P. 97
La importancia de los controles de seguridad en las fiscalizaciones de los ICEX
¡ Ataques con programas de secuestro. blicaban datos en la dark web por parte de los atacantes.
Son ataques en los que los ciberdelincuentes se apo-
deran de un activo de su víctima y exigen un rescate Es muy importante identificar las amenazas. Todas las
para su restitución. amenazas y riesgos, aunque improbables, deben ser
considerados en la valoración de riesgos y en el diseño
¡ Ataques distribuidos por denegación de servicio. de los controles generales de las tecnologías de la in-
Consisten en ataques que impiden a los usuarios de formación (CGTI). Por todo este entorno actual y por la
una red o sistema acceder a información, servicios u obligación legal existente, las administraciones públicas
otros recursos pertinentes. deben disponer de un sistema de ciberseguridad que las
proteja y/o les permita reaccionar y reestablecer sus ser-
¡ Programas malignos. vicios en el menor tiempo posible.
Son programas informáticos malintencionados con-
cebidos para dañar un dispositivo, perturbar su fun- En conclusión, para el auditor externo es necesario co-
cionamiento o acceder a él sin autorización. nocer los controles de ciberseguridad que dispone la en-
tidad con el fin de poder valorar los riesgos asociados a
¡ Amenazas de ingeniería social. ellos y poder dar una opinión en su informe de auditoría
Son amenazas que tratan de aprovechar un error o lo más fiable posible. Si el auditor no conoce cómo se
comportamiento humanos para obtener acceso a in- protege y la posible reacción de la entidad ante estos
formación o servicios. riesgos, no está realizando una valoración de todos los
riesgos significativos de la entidad y, por tanto, estaría
¡ Amenazas a los datos. realizando un trabajo acorde con las NIA-Es-SP.
Consisten en ataques para obtener acceso no autori-
zado a los datos y manipularlos con el fin de interferir
en el funcionamiento de un sistema.
2. ¿Qué es la ciberseguridad?
¡ Amenazas a internet.
Son ataques que afectan a la disponibilidad de inter- Frente al amplio espectro de ciberamenazas existente
net. Por ejemplo, los secuestros del BGP (Border Ga- en los entornos actuales de administración electrónica,
teway Protocol, o protocolo de pasarela fronteriza). las posibles consecuencias pueden ser muy variadas
y potencialmente nefastas. De acuerdo con el informe
2
¡ Desinformación e información errónea. de Cibernamenazas y tendencias del 2017 del CCN , las
Consiste en un ataque intencionado consistente en consecuencias de un incidente de ciberseguridad serían,
crear o divulgar información falsa o engañosa para entre otras:
manipular la opinión pública.
¡ Inactividad: en muchos casos los atacados suelen
¡ Ataques a la cadena de suministro. necesitar un tiempo de inactividad para hacer frente
Son ataques dirigidos contra una organización a tra- a la infección. Esta inactividad puede afectar a millo-
vés de las vulnerabilidades de su cadena de suminis- nes de personas.
tro, capaces de producir efectos en cascada.
¡ Costes económicos: por extorsión (se piden resca-
Son muchos los ejemplos de administraciones públicas tes) o por el coste de reparación y restauración de las
que han sufrido robos de información en sus bases de infraestructuras afectadas.
datos, indisponibilidades en sus sistemas, daños reputa-
cionales o sabotajes en sus servicios on line. Uno de los ¡ Pérdida de datos: la mayoría de los ataques son
más importantes en Cataluña fue en el Hospital Clínic de robo de información sensible.
Barcelona, en marzo del 2023, en el que los ciberatacan-
tes pidieron un rescate de varios millones de dólares para ¡ Pérdida de reputación: cuando aparecen noticias
liberar los datos y no publicarlos. El hospital tardó sema- con este tipo de ataques, la entidad sufre una pérdi-
nas en volver a la normalidad y meses después aún se pu- da de confianza.
2 https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2224-ccn-cert-ia-16-17-ciberamenzas-y-tendencias-edicion-2017/file.html
97
