La Corporación para la Asignación de Nombres y Números en Internet (ICANN) ha completado otro año de auditorías de los sistemas clave utilizados para desempeñar las funciones de la Autoridad de Números Asignados en Internet (IANA). La empresa de contabilidad RSM US LLP realizó dos auditorías de Control de la Organización y Sistemas: una auditoría SOC2 de los Sistemas de Asignación y Mantenimiento de Registros y una auditoría SOC3 de los servicios de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) de la Zona Raíz para los períodos de 12 meses que finalizan el 30 de septiembre de 2023 y el 30 de noviembre de 2023, respectivamente.
Por decimocuarto año consecutivo, se ha completado una auditoría sin excepciones para la gestión de la Clave para la firma de la llave de la zona raíz (KSK) de DNSSEC que asegura el Sistema de Nombres de Dominio (DNS). Mediante el uso del marco de SOC 3, la auditoría demuestra la existencia de controles efectivos de seguridad, disponibilidad e integridad de procesos para la gestión de la KSK de la zona raíz. El informe se encuentra a disposición del público en este enlace.
Durante el período de auditoría de este año, además de las habituales operaciones trimestrales de firma de claves, se llevaron a cabo actividades rutinarias de evolución, como la introducción de nuevo hardware y de Representantes confiables de la comunidad. Aunque se generó una nueva KSK a principios de 2023, ese trabajo se suspendió en lugar de reiniciarlo en 2024 utilizando una plataforma técnica más nueva.
La auditoría SOC2 detectó cuatro excepciones durante el periodo. Aunque todos los problemas detectados se han resuelto, es la primera vez en muchos años que se identifican excepciones. Estas lecciones se utilizarán para reforzar las prácticas operativas en toda la organización de la ICANN.
"Cuando los auditores identificaron las excepciones en agosto de 2023, la organización de la ICANN adoptó medidas inmediatas para remediarlas", expresó Kim Davies, Vicepresidente de Servicios de la IANA y Presidente de la entidad PTI. "También hemos implementado procedimientos adicionales para abordar las cuestiones identificadas de cara al futuro".
El próximo año, la ICANN tiene previsto realizar una auditoría SOC3 además de la auditoría SOC2 para los Sistemas de Asignación y Mantenimiento de Registros. Esto proporcionará una mayor transparencia, dado que dará lugar a la publicación de un informe de alto nivel que abarcará estos sistemas, de forma muy similar al informe proporcionado para la auditoría de las operaciones de la KSK de la zona raíz.
Las auditorias SOC evalúan los controles de una organización en relación con "principios y criterios de servicios de confianza” y son gestionadas por el Instituto Estadounidense de Contadores Públicos Matriculados (AICPA). Estas auditorías independientes de terceros constituyen una parte importante de la responsabilidad multifacética de la ICANN por las funciones de la IANA ante la comunidad de múltiples partes interesadas.
Acerca de la ICANN
La misión de la ICANN es ayudar a garantizar una Internet global, unificada, estable y segura. Para contactar a otra persona en Internet, debemos ingresar una dirección –un nombre o un número– en nuestra computadora u otro dispositivo. Esa dirección debe ser única para que las computadoras puedan localizarse unas a otras. La ICANN ayuda a coordinar y brindar soporte a estos identificadores únicos en todo el mundo. La ICANN fue creada en 1998 como una corporación de bien público y sin fines de lucro con una comunidad integrada por participantes de todo el mundo.