En 2020 se acometió desde la Asociación ISACA, de la que formo parte, un estudio de riesgos de entornos RJT (Replicated Journal Technology).

Una de las autoras es Ainhoa Inza, que me explicó en aquella época que el análisis y revisión de incidentes conocidos en entornos Blockchain y conexos era una buena base sobre la que elaborar una lista de comprobación orientada a la auditoría de proyectos en los que se usa esa clase de tecnología.

Se trataría de no volver a caer en errores ya conocidos.

Adjunto un enlace al documento «Identificacion_y_Control_de_Riesgos_en_Procesos_Validados_con_Blockchain» y lo incluyo a continuación.

La identificación temprana de posibles riesgos permite a las organizaciones tomar medidas proactivas para proteger sus activos, datos y transacciones. Además, el control efectivo de los riesgos en procesos validados con Blockchain contribuye a fortalecer la confianza de los usuarios y a garantizar la adopción exitosa de esta innovadora tecnología en diversos ámbitos.

Es fundamental asegurar la protección de datos, prevenir delitos, cumplir con regulaciones como el GDPR (Reglamento General de Protección de Datos).

El documento presenta una serie de recomendaciones y mejores prácticas para la gestión de riesgos en procesos validados con Blockchain.

Algunas de estas recomendaciones son:

• Asegurarse de que los desarrollos y despliegues de blockchain adoptados implementen eficazmente los controles propuestos.
• Controlar las identidades a nivel empresarial, utilizando una PKI propia o de una Autoridad de Certificación, nunca embebida o generada por la propia aplicación de blockchain.
• Verificar la seguridad de las aplicaciones de cartera y auditarlas para detectar problemas.
• Segregar las tareas a la hora de controlar las claves, protegiéndolas con contraseña y almacenándolas en un sitio diferente al de su explotación.
• Utilizar hardware certificado (por el CCN o por organismos de evaluación de conformidad especializados) para carteras y contextos de generación de claves.
• Verificar los mecanismos de implementación de forks y cómo y por quién se pueden implementar.
• Controlar el código fuente y verificar la seguridad del usado en la programación de Smart contracts.
• Verificar las especificaciones funcionales usadas para la programación de Smart Contracts.
• En los despliegues, probar en entorno de pruebas o preproducción con anterioridad para evitar interpretaciones incorrectas de directivas de programación o manejo de números muy grandes (el truncamiento en direcciones de cartera provoca que se puedan perder envíos de valor).

Además, el documento también destaca la importancia de establecer un marco de control de riesgos adecuado, que incluya la identificación temprana de posibles riesgos, la evaluación de su impacto y probabilidad, la implementación de controles efectivos y la monitorización continua de los riesgos identificados.

En resumen, las recomendaciones y mejores prácticas presentadas en este documento se centran en la necesidad de implementar controles efectivos para mitigar los riesgos asociados con la implementación de Blockchain, incluyendo la seguridad de las identidades, la protección de las claves, la verificación del código fuente y la implementación de controles adecuados para los mecanismos de forks.