noviembre 16 2020 0Comment

Circularizaciones a terceros: panorama de amenazas en la era covid19 | ASD Confirmation

En 2020 se ha producido un cambio imprevisible en las estructuras de la red de internet y en las estrategias de ataque en la industria de la ciberseguridad. La irrupción de la pandemia de covid19 sigue pasando factura a organizaciones e individuos de todo el mundo, al tenernos que enfrentar a un panorama de amenazas más intenso, complejo y saturado que nunca.

A muchas organizaciones les resulta difícil asignar recursos suficientes para gestionar y mitigar estas amenazas crecientes y en evolución, ya que han sufrido reveses operativos provocados por la repentina transición al teletrabajo.

A su vez nos encontramos con que ese mismo teletrabajo es el que está cambiando la manera en que muchas Firmas de Auditoría realizan sus confirmaciones a Terceros. En este 2020, hemos observado desde ASD la utilización incremental del e-mail como herramienta de confirmación primaria, sustituyendo al papel por temas de factibilidad operativa.

El Instituto Nacional de Ciberseguridad (INCIBE, por sus siglas), indica que el phishing, la técnica en la que el atacante se hace pasar por una empresa, un proveedor o una persona conocida para engañar al destinatario, se está sofisticando, situándose España en el ranking del sexto país del mundo con más ataques de phishing en 2019.

Trasladando esta situación observada a un contexto normativo, observamos que la NIA 505 indica que toda confirmación obtenida mediante respuesta directa escrita de un tercero sea en papel, soporte electrónico u otro medio conlleva evidencia, pero a su vez no deja de estar expuesta a algún riesgo de interceptación, alteración o de fraude.

¿Entonces qué consecuencia devendría si la tendencia es mediante operativa digital? La norma responde que en las respuestas electrónicas por mail se hace incluso más difícil demostrar su procedencia y la autoridad del que contesta, siendo las alteraciones difíciles de demostrar.

La NIA 500 ya indica que el proceso de confirmación electrónico podría incorporar para mitigar este riesgo técnicas para validar la identidad de un remitente de información de forma electrónica como, por ejemplo, a través del uso de encriptaciones de firmas digitales y de procedimientos para verificar la autenticidad de la página web. El problema es que, a efectos prácticos, con el correo electrónico, estas medidas de protección no pueden aplicarse, generándose entonces, un inevitable agujero de seguridad.

El auditor determinará si debe modificar el procedimiento o aplicar procedimientos adicionales para resolver dudas sobre fiabilidad. Por ejemplo, cuando la parte confirmante responda por correo electrónico, el auditor puede telefonearle para determinar si la parte confirmante envió la respuesta. La realidad es que telefonear al 100% de los casos, es altamente costoso, por no decir muchas veces inviable para las firmas.

La Solución entonces pasa por trabajar con una Plataforma Segura Cloud, la cual garantice que la información no viaje y se encuentre encriptada, y que sea capaz de poner en comunicación de manera automática y rápida al auditor con los terceros, mediante también acceso seguro a la misma con identificación personal de usuario y password, y con doble verificación (SMS) opcional (de la identidad del tercero) para acceder a la contestación de los saldos y las transacciones en el proceso de búsqueda de evidencias de la auditoría contable-financiera.

La Plataforma ASD Confirmation aportará un certificado electrónico (de todo el proceso de envío) el cual garantice la trazabilidad del mismo, la identificación del destinatario (IP) y la inviolabilidad documental mediante hash único.

Como cada vez es más importante para las organizaciones confiar su seguridad a proveedores certificados, así como conocer mediante servicios específicos de CiberInteligencia el nivel de seguridad de sus proveedores, el Firewall de Acceso y la subida de documentos se haya proporcionado por Amazon Web Service (AWS EU), así como el hosting, garantizando grandes presupuestos de seguridad por parte del Third-Party y minimizando al máximo el Third Party -Risk en consecuencia.

 

Para más información, escríbenos a info@asdaudit.com o ponte en contacto directo con nosotros.

ASD Confirmation es la Solución de ASD que te ayudará a digitalizar de manera segura y efectiva tus confirmaciones a terceros.