Telefónica: Auditoría seguridad de infraestructura de Red y TI

Telefónica utiliza Audit On-Line, tecnología y metodología propia, para supervisar de forma automática y continua la efectividad de los controles clave de seguridad de los puntos clave de la infraestructura tecnológica de Telefónica en todo el mundo. Descarga abajo la ficha resumida de este proyecto.

 

La seguridad de la infraestructura tecnológica es algo crítico en cualquier operador de telecomunicaciones como Telefónica. Asegurar la efectividad de los controles sobre la configuración de los parámetros de seguridad y ciberseguridad de esta infraestructura tecnológica es una labor muy relevante para Auditoría Interna. Tan relevante como compleja

El Grupo Telefónica opera en más de once países, en los que explota redes de telecomunicaciones. Para su gestión dispone de multitud de elementos tecnológicos desplegados fuera de las propias redes de telecomunicaciones, entre los que se encuentran elementos de TI. De todos estos elementos, los más relevantes para la operación son los servidores de TI identificados como críticos en los análisis de riesgos por su impacto en el negocio, las bases de datos de tecnología Oracle por soportar los principales repositorios de información estructurada (también identificadas como críticas en los análisis de riesgos , y los elementos de red IP (routers) del core de la red telco.

Hay que asegurar que la infraestructura tecnológica esté correctamente configurada para minimizar los riesgos de ciberseguridad y de acceso lógico general. Por supuesto, también evitar operaciones potencialmente peligrosas en los elementos de Red y de Sistemas que puedan comprometer la calidad y la continuidad de nuestro negocio. Y, lógicamente, asegurar la protección de los datos propios y de los clientes. Asegurar todos estos niveles es clave para evitar algún incidente que pueda materializar un riesgo reputacional o de privacidad de datos al Grupo Telefónica.

En Auditoría Interna, el enfoque tradicional de las metodologías de revisión del entorno de control tecnológico, centradas en la gestión de riesgos de seguridad lógica y ciberseguridad en estos elementos, pasa por seleccionar una muestra lo más representativa posible de estos elementos y realizar manualmente una revisión de esta muestra. Pero esta aproximación puede dar problemas, como no elegir una muestra representativa donde ejecutar los procedimientos de auditoría, que los diferentes auditores no tengan las mismas competencias o no sean suficientes y que este tipo de trabajo, que requiere mucho tiempo, no puede realizarse con la frecuencia necesaria.

Además de estas limitaciones metodológicas, están las exigencias regulatorias: son cada vez más las normas y reglamentos – como por ejemplo es la Sarbanes-Oxley Act – SOX, o el reglamento europeo General Data Protection Regulation (GDPR)-  que requieren asegurar el marco de control de seguridad de la infraestructura relevante de la compañía. Esto, unido a la creciente preocupación por la ciberseguridad como riesgo global, convierte en algo cada vez más relevante la necesidad de asegurar  de forma recurrente el entorno de control de seguridad, especialmente en lo que se refiere a los elementos tecnológicos.

Este contexto es el que llevó al departamento de Auditoría Interna a desarrollar una solución tecnológica y una metodología de trabajo que hemos llamado Audit On Line (AOL EDGE) que permite asegurar el marco de control de la configuración de  seguridad de la infraestructura tecnológica. La herramienta permite revisar la configuración y parametrización de dicha infraestructura tecnológica crítica que sustenta elementos de Red y Sistemas de TI (capas de Sistema Operativo (SO)- y Bases de Datos (BBDD). Extrae automáticamente los parámetros clave de los servidores que componen dicha infraestructura para un primer análisis automático de cumplimiento y, posteriormente, realizar un análisis en profundidad en aquellos casos que sea requerido. AOL EDGE® permite aplicar un enfoque independiente, consistente en el análisis en todo el “footprint” de Telefónica y hacer comparativas homogéneas entre las operaciones auditadas.

El proyecto de Audit On-Line (AOL EDGE®) es una plataforma de Auditoría Interna de desarrollo propio, que permite revisar la parametrización de la infraestructura de elementos de Red y Sistemas de TI, a partir de la extracción y análisis automáticos, e independiente, de información relevante de los servidores que componen dicha infraestructura tecnológica.

  • Es un proyecto en continua evolución: permite desarrollos para análisis de nuevas tecnologías de activos a revisar, integrarse  con repositorios de información de activos tecnológicos y desarrollar cuadros de mando de seguimiento de parámetros.
  • Analiza automáticamente si las configuraciones están conformes con la normativa, con una visión independiente, centralizada, homogénea y a los efectos de una auditoría continua y online. Permite, por tanto, comparar resultados de forma consistente para todas las operaciones auditadas.

En una segunda etapa, después de identificar falsos positivos o justificaciones operativas, en su caso,  se realizan procedimientos estándar de auditoría, y se expande el alcance para identificar controles clave en otros procesos, o controles compensatorios y factores mitigantes que neutralicen o mitiguen, respectivamente, las vulnerabilidades previamente identificadas.

Con esta herramienta es posible obtener información suficiente para la evaluación de la efectividad de determinados controles clave de seguridad de acceso lógico y controles de ciberseguridad en la capa de infraestructura tecnológica, de forma automática e independiente. Esto posibilita un proceso continuo y sistemático de supervisión del estado de dicha infraestructura tecnológica clave muy amplia: 10.401 servidores en Sistemas TI, 1.608 servidores con bases de datos  y 9.103 elementos de Red. Esta planta alcanzada incluye principalmente los elementos identificados por las áreas ´técnicas como más críticos.

La herramienta AOL EDGE es solo un ejemplo de las múltiples innovaciones que está desarrollando el área de Auditoría Interna de Telefónica en el uso de las tecnologías emergentes para estar a la altura de la era digital y seguir el camino de la innovación que lidera y alienta el grupo Telefónica en todos sus ámbitos.

 

  Descarga la ficha del proyecto