Vinculación del Auditor de Sistemas con la Auditoría Interna

La Auditoría de Sistemas como actividad profesional está insertada dentro de la práctica de Auditoría, ya sea interna o externa. Por lo tanto, los Auditores de Sistemas deben tener fundamentos de Auditoría que le permitirán coordinar, desarrollar y presentar resultados en sintonía con las prácticas de Auditoría que se siguen en las empresas.

La Auditoría de Sistemas guiada por los estándares de ISACA y especialmente por COBIT 5, tiene una alineación natural con la Auditoría Interna, debido a que esta busca el fortalecimiento de los sistemas de control, gestión de riesgos y gobierno de las empresas. Debido a esta alineación, resulta lógico que los Auditores de Sistemas sean contratados en las empresas a través de los Auditores Internos, creándose una dependencia laboral entre estas dos profesiones. Un auditor de sistemas certificado (CISA) debe de conocer que en el ámbito de la Auditoría Interna existen normas y marcos de referencia que resulta necesario conocer para poder comunicarse eficientemente con los Auditores Internos y lograr sinergia en el trabajo. ISACA nos ha señalado por largo tiempo algunos marcos de referencia, normalmente orientados a las tecnologías de la información, tales como ISO 2000, ISO 27000, ITIL y similares, pero de igual manera se debe de considerar las Normas Internacionales para el ejercicio Profesional de la Auditoría Interna, emitidas por el Instituto de Auditores Internos (IIA, de sus siglas en inglés), cuya última versión entró en vigencia en enero de 2017. Este marco considera principios básicos para la práctica de la Auditoría Interna que son usados de referencia para la implementación y la operación de las Unidades de Auditoría Interna en las empresas.

Entre otras cosas, las normas del IIA establecen la relación existente entre las Unidades de Auditoría y la dirección de la organización. Un punto importante que establece es que debe existir un Director Ejecutivo de Auditoría (DEA), quién es el responsable de la planificación, organización, ejecución e informe de los resultados de la actividad de Auditoría Interna. Normalmente, un Auditor de Sistemas soportará al DEA en la parte del aseguramiento que corresponde a las Tecnologías de la Información, por lo que debe establecer un protocolo de trabajo cooperativo que permita apoyar eficientemente en cada fase del ciclo de ejecución de un Plan de Auditoría Interna, que normalmente tendrá un ciclo anual. Con el auge del uso de las Tecnologías de la Información en todos los ámbitos de las empresas, el rol del Auditor de Sistemas es vital para definir un alcance adecuado de un Plan de Auditoría Interna. En este sentido, el Auditor de Sistemas deberá de preocuparse por el conocimiento de la empresa y sus operaciones informáticas para apoyar al DEA en la definición de un Plan de Auditoría razonable para mitigar los principales riesgos.

Es importante recalcar que el éxito de la comunicación entre el Auditor de Sistemas y el Director Ejecutivo de Auditoría es crucial para garantizar la efectividad de la ejecución del Plan Anual de Auditoría. La comunicación es en ambas vías. El Director Ejecutivo de Auditoría debe alertar al Auditor de Sistemas sobre el análisis de situaciones que involucren las Tecnologías de la Información. El Auditor de Sistemas debe alertar al Director Ejecutivo de Auditoría sobre aspectos deficientes en la información de la organización y en el uso de Tecnologías de la Información que impactan negativamente en los resultados de la empresa. Es importante recalcar que riesgos como la interrupción de operaciones por fallas en Tecnología, o la materialización de fraudes por una gestión de accesos deficiente, si bien son temas que revisará el Auditor de Sistemas, muchas veces requieren de soluciones que van más allá de la Gestión de las Tecnologías e impactan en los procesos, políticas y la definición de responsabilidades de cada puesto.

Otros aspectos de la vinculación de la Auditoría de Sistemas con la Auditoría Interna serán tocados en publicaciones posteriores.

Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad

En ocasión de celebrarse el IV Congreso de Auditoría Interna en El Salvador, realice la preparación de un Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad. El objetivo es presentar a la comunidad de Auditores Internos un enfoque de Auditoría Interna a la revisión de la implementación de medidas de seguridad de la información, basadas en el Framework  de Cyberseguridad de NIST (National Intitute of Standards and Technology). De este framework ya hemos hablado en el blog y los interesados en el tema pueden realizar una búsqueda y encontrar artículos sobre categorías específicas del framework, así como de la aplicación de normas en la Seguridad de la Información y de aspectos de Auditoría de Sistemas relacionados.

La presentación del Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad ha sido el siguiente:

  1. Entender que es la Cyberseguridad. Este fenómeno del siglo XXI, que nos ataca de formas diferentes cada día y genera el riesgo de Cyberseguridad en las empresas.
  2. Discutir que riesgos de Cyberseguridad existen de manera genérica, para que cada persona pueda evaluar hacia su organización cuales son más relevantes en su contexto.
  3. Presentar el Framework de Cyberseguridad del NIST. Una iniciativa del Gobierno de los Estados Unidos, pero que ha tenido un impacto en la industria, especialmente en los proveedores y como se está compartiendo información sobre vulnerabilidades.
  4. Presentar el Programa de Auditoría de la Seguridad de la Información. Este es un programa basado en el programa de aseguramiento establecido por COBIT 5.
  5. Concluir sobre los aspectos relevantes que un Auditor Interno debe considerar respecto a la Seguridad de la Información. Estos son:
    • Asegurar que existe un responsable de la Seguridad de la Información en la organización.
    • Asegurar que existen los procesos, procedimientos y prácticas debidamente documentadas.
    • Asegurar que existen las métricas que permitan opinar a un Auditor de Sistemas, sobre la eficiencia y eficacia de las medidas de control de la Cyberseguridad.

El programa puede ser descargado a través del siguiente link:

Seguridad de la Información Enfocada en Cyberseguridad

anexo1 Medidas de Seguridad Implementadas

 

Detección, una categoría importante para mejorar la seguridad

La detección de amenazas puede entenderse como el “santo grial” de la Seguridad de la Información. En general, afirmamos que la seguridad es buena cuando se previene un efecto negativo sobre nuestras operaciones. Si la función de seguridad se limita a pasar un informe de los ataques recibidos todas las acciones que se pueden realizar serán para reparar daños y volver a parámetros aceptables de confidencialidad, integridad o disponibilidad. Creo que por muchos años la Seguridad de la Información ha funcionado así, pero es el deseo de la industria que esto cambie a una postura más preventiva, que incluso genere capacidad de respuesta.

La categoría de Detección en el framework de Cyberseguridad refleja el énfasis que debe darse al desarrollo de actividades que proporcionen a una organización la capacidad de actuar antes de que daños mayores se materialicen. Debo recalcar que el framework especifica claramente “actividades”. Esto indica que el personal a cargo de la Seguridad de la Información debe tener una actitud activa respecto a los eventos de cyberseguridad. Esta categoría del framework en la actualidad está siendo soportada por la mayoría de herramientas de seguridad. Para poner un ejemplo, el software utilizado para realizar un análisis de vulnerabilidades, que tradicionalmente se ha desarrollado como una actividad puntual desarrollada cada cierto tiempo, 2 o 4 veces al año, ha migrado a un software que monitorea cambios en los equipos en tiempo real, a efectos de detectar si en cada cambio que se realiza a un equipo, o en cada nuevo descubrimiento de vulnerabilidades, se ha creado una brecha de seguridad que necesita ser mitigada. Por supuesto, la evolución proporcionada por el software pasaría a no tener relevancia, si no existe una persona que tenga la responsabilidad de entender la brecha detectada, evaluar el riesgo real para la organización, priorizarla respecto al universo de riesgos que se está atendiendo y proceder acorde con su evaluación.

Entre las herramientas que pueden soportar la categoría de detección, en los últimos años han tenido un desarrollo muy profundo, las que permiten realizar un análisis en tiempo real del comportamiento de los flujos de datos. Este tipo de herramientas necesitan implementarse de rigor si se quiere de verdad “detectar” amenazas, especialmente si el total de activos a monitorear es muy grande. Definitivamente es imposible para humanos, monitorear eventos de cyberseguridad sin contar con herramientas. Las herramientas necesarias podrían clasificarse en 3 tipos: las que actúan a nivel de la red de datos, las que actúan directamente sobre los activos y las que correlacionan eventos de diversos dispositivos. A nivel de la red de datos, podemos utilizar detectores de intrusos para monitorear el tráfico que viene de Internet, así como dispositivos que escuchan el tráfico de la red interna para identificar si en el medio están pasando tráfico que pueda contener amenazas. Entre las herramientas que actúan a nivel de los activos, están los buscadores de vulnerabilidades y software de protección de malware. Finalmente, los correlacionadores de eventos, o mejor conocidos como SIEM (Security Information and Event Management) permiten utilizar las bitácoras generados por diversos equipos, adicionando la característica de la correlación, ampliando la capacidad de detección de eventos que representen amenazas.

Esto nos indica que para lograr una implementación efectiva de la categoría de detección, se debe definir una organización responsable de la detección de amenazas, dotarla de herramientas idóneas para la detección de amenazas y gestionar la información proporcionada por las herramientas para mantener un universo actualizado de riesgos, priorizarlos y dar seguimiento al cumplimiento de las acciones de acuerdo con las prioridades. Bajo este mecanismo de funcionamiento se busca reducir las sorpresas, detectando eventos que puedan causar daños a la Seguridad de la Información, anulando o mitigando cualquier impacto negativo por las acciones de la amenaza.

Protección, la segunda categoría del framework de Cyberseguridad

Instintivamente, cuando pensamos en Seguridad, se piensa en la palabra protección. Cuando pensemos en Seguridad de la Información, es importante recordar que en el contexto del Framework de Cyberseguridad del NIST, este término ocupa la segunda categoría, por lo cual, es importante primero haber identificado todos los elementos que interesa asegurar, a través de la implementación de la categoría de Identidad. (Para más información ver   Identificar, el primer paso de la Cyberseguridad).

La categoría de protección en el Framework de Cyberseguridad incluye las siguientes sub-categorías: control de accesos, concientización y entrenamiento, seguridad de los datos, procesos y procedimientos de protección a la información, mantenimiento y tecnologías de protección. Tradicionalmente, los presupuestos de seguridad de una organización han sido dirigidos a la última sub-categoría, bajo el supuesto de que la tecnología por si misma puede brindar protección. Sin embargo, no ha sido suficiente. Es importante entender que la tecnología de protección, tales como antivirus, firewalls y similares, son herramientas necesarias para ser efectivos en proporcionar seguridad a la información. Sin estas herramientas la seguridad no puede ser alcanzada, pero el adquirir las herramientas no proporciona seguridad, sino se siguen procedimientos adecuados, si el personal no está consciente a un nivel aceptable de las amenazas de seguridad y si el control de accesos no ha sido establecido para garantizar que sólo personal autorizado tiene acceso a la información.

Entre los casos que puedo comentar, es típico tener una solución de antivirus, que ha sido adquirida para el total de los equipos de la organización, sin embargo, no todos los equipos de la organización tienen instalado el software, o si lo tienen, este no está actualizado para proporcionar el máximo de protección posible. Cuando esto pasa es inefectivo para la organización, no sólo porque se ha invertido dinero en algo que no es bien utilizado, sino también porque el impacto de tener fallas en la seguridad de la información, acarreará costos adicionales a la organización. Esto deja bien claro, que aparte de la herramienta, se deben implementar procedimientos que optimicen la protección. Esto incluye procedimientos de auditoría de sistemas. Como un ejemplo, al realizar una auditoría de sistemas a la implementación de medidas de seguridad, encontré que no sólo la actualización de firmas fallaba, sino también la actualización del software de antivirus. En esa ocasión, aprendí que los administradores de las herramientas de seguridad tienden a confiar en lo que les informan consolas centrales, sin preocuparse por verificar la información, aunque sea muestralmente, como se hace en la auditoría de sistemas.

Para evitar el problema de ser juez y parte, se ha creado la función de Oficial de Seguridad de la Información. Este rol debe de establecer los procedimientos de seguridad mínimos que permitan que el Plan de Seguridad de la Información sea ejecutado de manera consistente. También debe de evaluar el nivel de cumplimiento de los procedimientos y su nivel de efectividad, que le permita identificar puntos de mejora. Esto es la teoría, en la práctica de las empresas del área centroamericana, este rol aun no es entendido por la alta dirección, que lo ven como una tarea adicional del Gerente de Sistemas o de alguien en informática. Si alguien de la Alta Dirección de una empresa lee esto, es importante que entienda que las amenazas informáticas evolucionan diariamente, por lo tanto la protección contra esas amenazas no puede ser pensada de manera estática y requiere de constante medición, evaluación y adecuación.

Identificar, el primer paso en la Cyberseguridad

Hace unos días recalcaba la importancia del framework de Cyberseguridad de NIST en el contexto de los eventos de ataques a las infraestructuras de TI que están sucediendo. Vamos a iniciar un recorrido por las fases, comentando puntos que han probado ser hitos difíciles de superar en la gestión de la seguridad de la información.

La primera fase se refiere a la identificación de todo lo que tiene importancia para la gestión de la información. El lector debe de tener sumo cuidado en no confundir esta fase con la tradicional identificación de activos de información de otros frameworks. Aunque es necesario tener identificados los activos de información, esto es dispositivos que almacenan, transportan o procesan información, el framework también incluye en esa fase importantes categorías que se relacionan con la identificación de funciones crítica de la gestión de TI. Estas categorías son: el ambiente de negocios, el gobierno de la seguridad, la evaluación de riesgos y el análisis de riesgos operacionales. Estas categorías en la realidad tienden a ser ignoradas en las empresas, pero representan hitos fundamentales en el control de la seguridad de la información. Quizá la más relevante sea la evaluación de riesgos de seguridad porque es la que aporta información crucial para entender la importancia de la seguridad de la información para el negocio. Es también la más difícil de asimilar para el negocio. Mi mejor comentario aquí para los dueños de negocio es: si no quieren gastar de forma aleatoria en seguridad, participen en la evaluación de riesgos para dejarle claro a los responsables de la seguridad adónde es que están los riesgos que impactan en la organización. Es importante mencionar que el framework no es solamente técnico y cuando establece la categoría de evaluación de riesgos, en unos de sus componentes especifica directamente que “los impactos potenciales al negocio” sean identificados. Esta frase debe dejarnos clara la idea de que la implementación de la cyberseguridad debe realizarse de acuerdo con los lineamientos del negocio. Hay que recordar aquí que un riesgo es todo lo que podría pasar que tiene la probabilidad de impedir el lograr los objetivos de negocio.

Tener una idea de los riesgos ayudará también a definir el Gobierno de la Seguridad que es necesario para la empresa. Es importante que se identifiquen roles y responsabilidades a todos los niveles de tal forma que se obtenga la seguridad a partir de un conjunto ordenado de esfuerzos. En el área de gobierno, el establecimiento de políticas de seguridad que son continuamente monitoreadas para establecer su efectividad y necesidades de mejora es una tarea primaria.

En la categoría del ambiente de negocios, es importante considerar aquellos procesos de gestión de TI que están pensados para interactuar con el negocio. El establecimiento de niveles de acuerdo de servicios, la gestión de proveedores, la gestión de la capacidad y similares, que garanticen que la información estará disponible, se mantendrá integra y será confidencial cuando las necesidades del negocio así lo requieran.

Por último, la gestión del riesgo operacional es una necesidad eminente de la Gerencia de TI. Esto es identificar riesgos en las operaciones de TI y preparar acciones mitigantes o de reacción en caso de que se materialicen. Esta categoría es importante para no perder disponibilidad en caso de un evento contingencial. Por ejemplo, que pasaría si un empleado “critico” se enferma. Esto es un riesgo operacional. ¿Hemos preparado a alguien más para desempeñar sus funciones críticas? ¿Sabíamos que era crítico? ¿Tenemos documentación suficiente para responder al negocio aunque falte el empleado? Estas preguntas nos hacen entender que no sólo hay que identificar activos en esta fase, sino que es una fase para identificar todo lo que es importante para una gestión eficiente de la seguridad de la información, tomando como criterio primordial el impacto que se necesita evitar a las operaciones del negocio.

La Cyberseguridad: una implementación urgente

Las amenazas a las plataformas informáticas en el 2015 han aumentado de una forma mayor a lo sucedido históricamente. Las facilidades proporcionadas por las comunicaciones han abierto grandes posibilidades para los negocios, para incrementar productividad y para estar comunicado en todo momento. Pero esto también está permitiendo un nuevo tipo de ataques, permanentes, masivos, más elaborados. Quienes gobiernan las tecnologías de la información ahora tienen que pensar en que un gobierno efectivo también debe de gobernar la seguridad de la información.

Hoy quiero llamar la atención hacia el framework de Cyberseguridad, desarrollado por el Instituto de Estándares y Tecnología (NIST – National Institute of Standards and Technology). Nace a partir de una orden ejecutiva presidencial, que por sí solo debería de ser una alerta del nivel de urgencia que existe por implementar medidas de seguridad en cualquier organización. El framework está formado por un conjunto de estándares y mejores prácticas que fueron consensadas a través de diferentes talleres con actores predominantes en la industria de las Tecnologías de la Información. La misma ISACA ha formado parte de este esfuerzo y quienes seguimos de cerca la producción de material para orientar el gobierno de las tecnologías de la información ya contamos con una publicación de esta entidad para implementar Cybersecurity: “Implementing the NIST Cybersecurity Framework”. Esto también ha extendido el conjunto de certificaciones emitidas por ISACA, existiendo ahora certificaciones para los niveles de Fundamentos, Practicante, Especialista y Experto en Cyberseguridad. Esto adicional a la tradicional CISM (Certified Information Security Manager). Definitivamente, tantos esfuerzos por el NIST e ISACA no deben de pasar inadvertidos por los Gerentes de TI, que tienen que empezar a preparar su caso de negocio para implementar medidas de seguridad en su organización y buscar que su personal cuente con conocimientos sobre seguridad de la información.

Personalmente me parece bastante atinado el proveer a todos de un conjunto de 100 medidas, que se constituyen en una base bastante extensa de salvaguardas para proteger la empresa. Estos controles tendrán éxito en su implementación en la medida que formen parte de un esfuerzo coordinado que pone la seguridad en un papel defensivo, pero con capacidad de identificación y respuesta. Este enfoque busca que incidentes de cyberseguridad causen el más mínimo, sino nulo, impacto al negocio. Las funciones especificadas por el framework, siguen una lógica muy similar a la de los ataques, sólo que ahora estas acciones deben de ser ejecutadas preventivamente. Las funciones son identificar, proteger, detectar, responder y recuperar. En muchas empresas, cuando se habla de seguridad de la información, enumeran acciones que protegen la información, tales como controles de acceso físico y lógico, el cifrado de información, la instalación de antivirus y firewalls. Proteger está bien, pero las otras funciones también son importantes. La identificación es necesaria para conocer la superficie de ataque existente. Cuantas veces al auditar, hemos encontrado que existen equipos sin antivirus instalado. Esto sucede porque nadie se ha tomado el trabajo de identificar todos los activos de la organización y verificar que el número de equipos sea igual al número de antivirus instalados y actualizados. Los virus informáticos si se toman el tiempo de buscar adónde se pueden instalar y encuentran esos activos que no están protegidos. Esto muestra la necesidad de mantener indicadores más informativos del funcionamiento de las medidas de protección, que busquen una protección del 100% de los activos.

Las funciones de detección, respuesta y recuperación proponen el tener la capacidad de conocer que se está recibiendo un ataque y a partir de ahí activar protocolos que permitan responder oportunamente y recuperar el control de la situación. Esto en el fondo implica que no sólo deberíamos decir nos atacaron, sino también conocer quién nos atacó, como entró a la organización, que activos fueron afectados e iniciar acciones para limitar y anular el margen de acción del atacante. Esto implicará que las organizaciones deberán a utilizar herramientas más sofisticadas, similares a las que utilizan los hackers, para evaluar la seguridad de la organización. Estas herramientas permitirán también el cruzar información de los fabricantes sobre las últimas vulnerabilidades descubiertas y su impacto en la infraestructura de la organización. El análisis de vulnerabilidades y la evaluación de riesgos  de seguridad constituyen en este contexto dos controles vitales para el éxito de un programa de cyberseguridad y la priorización de la implementación de controles de seguridad.

Como podemos intuir de estas líneas, hablar de Cyberseguridad implica comenzar a pensar más como hacker y utilizar las mismas herramientas que tradicionalmente ellos han utilizado para encontrar y cerrar las posibles brechas que nos hacen vulnerables a los ataques. Esto debería de ser el accionar responsable de una Gerencia que busca el éxito de las operaciones de negocio, minimizando riesgos y evitando interrupciones a las operaciones, mientras se mantiene una atención eficiente y efectiva a los clientes.

Controles para la Seguridad de la Información

Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.

La Gerencia de Sistemas debe poner la debida atención a entender y analizar los riesgos relacionados con la seguridad de la información y a establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados les impacten. Durante muchos años he sido testigo de muy buenas intenciones de muchos gerentes de sistemas para establecer los controles necesarios para brindar seguridad a la información de su organización, pero estas intenciones no son compartidas con los gerentes generales o gerentes financieros, que objetan iniciativas, por considerar que los gastos son excesivos. Los segundos a veces cambian de mentalidad cuando se ha sufrido un ataque que implicó pérdidas financieras, daños a la reputación o serios retrasos en las operaciones.

En todo caso, para tranquilidad de todos, los Gerentes de Sistemas tienen que realizar un análisis de riesgos de seguridad de la infraestructura y presentar a la organización el listado de posibles amenazas visualizadas, estableciendo su probabilidad de ocurrencia y el impacto que tendría cada una de ellas en las operaciones, a efectos de que sea claramente entendible por todos la ventaja o desventaja de establecer un control adicional, aunque esto requiera de alguna inversión. Esta práctica es efectiva para visualizar los riesgos, pero debe optimizarse a través de la identificación de controles que permitan, a un costo razonable, mitigar el riesgo.

Los riesgos, para ser entendidos, deben de ser expresados en función de la jerga del negocio. Por ejemplo, si se enuncia como una amenaza el que un virus tome control de un servidor y lo deje inoperante, nuestro riesgo real es que los negocios que se realizan con las aplicaciones existentes en ese servidor se vean interrumpidos porque el servidor fue atacado por un virus. Establecer el impacto en función de la amenaza de perder o retrasar el ingreso de efectivo si llevará al negocio a invertir en tener un sistema antivirus instalado en el servidor y en equipos clientes que tengan relación con el mismo. Si bien en este caso el control primario es el sistema antivirus, y este representa una inversión, se debe de ser muy analítico para decidir la conveniencia o no de implementar controles adicionales, que tal vez no incluyan inversión, pero que requieren del cuidado del personal. Pongamos un par de ejemplos. Si consideramos que para garantizar el éxito de un antivirus, este debe de estar actualizado, tanto en su software, como en las definiciones de virus, podemos entender que es necesario asegurar que la persona responsable del mantenimiento del software antivirus, realiza revisiones rutinarias que verifiquen que el software está funcionando y que resuelva cualquier problema que cause que la solución de antivirus no funcione de la mejor manera posible. Estas revisiones también constituyen un control. Los gerentes deben de exigir a los técnicos que realizan estas funciones que dejen evidencia del monitoreo realizado y de acciones correctivas que se han tomado. Un segundo control podría ser la restricción de utilizar dispositivos de memoria usb en equipos sensitivos. Aquí la decisión debe ser basada en el siguiente razonamiento “Si los puertos usb no son necesarios para mi negocio, los bloqueo”. Esto reduce la posibilidad de que un virus entre directamente al equipo por estos dispositivos. Este control nos llevaría a desactivar la capacidad de que los usuarios administren sus equipos y por lo tanto no puedan sobrepasar la configuración que desactive los puertos usb. También para esto es necesario tener un control del número de equipos existentes en la organización, para garantizar que en todos está debidamente configurada esta configuración.

Como el lector podrá deducir, la amenaza de un virus, estaría siendo mitigada con tres controles. Uno requiere inversión, pero los otros dos requieren de la definición de prácticas de trabajo que ayuden a confirmar la efectividad de la inversión realizada en el antivirus. No implementar estos controles adicionales podría ponernos en la situación en la que se ha invertido en un software de antivirus y aun así se materializa el riesgo.

Esto nos lleva a la conclusión de que los controles de seguridad no están basados totalmente en la inversión que realiza una organización, sino más bien en la aplicación constante de un análisis de los riesgos existentes y la adopción de medidas que mitiguen al máximo la posibilidad de ocurrencia.

Auditoría de Sistemas

Vamos a comentar un poco sobre la Auditoría de Sistemas, comenzando con su definición. Es importante hablar de este tema, porque en El Salvador y en la región centroamericana en general no se ha llegado a valorar el verdadero aporte que un buen auditor de sistemas proporciona a la organización. Muchos perciben la auditoría de sistemas como una asistencia al Auditor Financiero externo o al Auditor Interno. Pocos perciben la necesidad de considerar Auditorías de Sistemas que realmente auditen las Tecnologías de la Información, ayudando a comprender si quienes son responsables de la función de TI están desempeñando un trabajo completo, que proporciona un soporte a las operaciones actuales del negocio, mientras se prepara para asumir los retos futuros, evaluando riesgos y aprovechando al máximo la inversión en TI. Lógico es pensar, que en primer lugar, la Alta Gerencia también ha valorado muy poco la función de TI en la organización, considerándola un centro de costo, más que un aliado estratégico en el logro de objetivos de negocio. Por otro lado, si la Alta Dirección le da importancia a contar con sistemas de información e infraestructura de Tecnologías de la Información que soporten con efectividad y eficiencia al negocio, también incluirá en sus planes el contar con Auditoría de Sistemas que le ayude a verificar que efectivamente es así y que además le ayude en la formulación de Planes de Acción razonables para mejorar el desempeño del soporte de TI al negocio.

Primero, hay que valorar la función de las Tecnologías de la Información en la organización, luego hay que auditarlas para comprobar su efectividad.

Bajo este enfoque, igual que la Auditoría Interna, la Auditoría de Sistemas proporciona una labor de soporte a los objetivos de negocio, proporcionando aseguramiento sobre la función de TI en la organización y proveyendo consultoría adecuada a los objetivos de la organización. A este respecto, es conveniente definir previamente que es un Auditor Interno. De acuerdo al Instituto de Auditores Internos (IAI, www.theiia.org) “la Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Para el IAI un Auditor de Tecnología de la Información es un Auditor Interno que se enfoca en el uso que la Organización hace de las Tecnologías de la Información. Por lo cual, el desarrollar una buena práctica de auditoría de sistemas, implica realizar el trabajo de acuerdo con metodologías de auditoría interna que van desde la creación de un Plan Anual de Auditoría, la creación de revisiones específicas de procesos de gestión de TI o de la correcta configuración de Tecnologías específicas, hasta la revisión y discusión de hallazgos con los responsables de la función de TI y la elaboración de informes para la alta gerencia que permitan revelar efectivamente los principales problemas detectados y las soluciones recomendadas para mejorar el funcionamiento de las Tecnologías de la Información en la organización.

Es importante recalcar que el proceso de auditoría de sistemas es altamente técnico. Un análisis sin fundamento técnico carecería de valor para el auditado, porque no se le estarían identificando problemas clave ni generando recomendaciones que mejoren la forma en la que se brinda soporte al negocio. Esto incluye las mismas herramientas que se utilizan, como los escaneadores de infraestructura, que requieren ser configurados efectivamente para lograr los mejores resultados, a través de parámetros específicos del equipo que se está auditando. Es tan importante esto, que los mismos fabricantes del software para realizar auditorías, otorgan a través de examenes detallados, certificaciones del conocimiento que una persona tiene para auditar utilizando estas herramientas (a manera de ejemplo se puede consultar http://elearn.tenable.com/course/info.php?id=55). Adicionalmente, ISACA, la entidad que ha normado a nivel mundial el conocimiento requerido para certificarse como Auditor de Sistemas, CISA, (Certified Information System Auditor, http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx) otorga una certificación relativa al conocimiento que el auditor de sistemas tiene en cinco áreas de conocimiento. El auditor de sistemas de información certificado debe demostrar conocimiento en el proceso de auditoría, el gobierno y la gestión de TI, la adquisición, desarrollo e implementación de Sistemas de Información, la operación, mantenimiento y soporte de los sistemas de información  y la protección a los activos de información. En estas áreas, un auditor de sistemas es probado a través de un examen su conocimiento sobre las normas existentes, las prácticas más recomendadas por los fabricantes y el funcionamiento de las tecnologías auditables. Esto tiene el objetivo de proveer aseguramiento de que quién posee una certificación en auditoría de sistemas, tiene el conocimiento técnico y conoce la metodología de trabajo de la auditoría interna para lograr cumplir con su trabajo de aseguramiento y consultoría para ayudar a la alta dirección a retroalimentarse sobre el funcionamiento de la función de TI en la organización.

Auditando la Integridad de la Información

Últimamente la seguridad de la información y los riesgos de la información han ocupado espacio en este blog. Esta vez pensé escribir de algo diferente, la integridad de la información, pero si reflexionamos un poco, no es un tema tan diferente. El estándar de seguridad de la información ISO 27001 estableció como criterios para definir la seguridad de la información que para considerarla asegurada, la información debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad. Esta tríada, ampliamente conocida en el mundo de las Tecnologías de la Información como CIA, por las siglas en inglés (Confidenciality, Integrity, Availability) definen los atributos que la información debe poseer para considerarla segura. Así que técnicamente, seguimos en el tema. Es importante considerar aquí que la probabilidad de que nuestra información pierda seguridad por daños a la integridad es mucho mayor porque los daños a la integridad son causados normalmente por causas internas. Esto implica un mayor riesgo que debe de ser considerado por el auditor de sistemas.

Mi principal consideración acerca de la integridad de la información es que la estructura de los datos de una organización define su integridad. Esto es así porque cada dato recibe un nombre, un tipo de datos, una longitud y valores permitidos que son específicos para cada organización. Es importante asegurarse que esta definición existe a través de una documentación adecuada y que además ha sido apropiadamente actualizada de acuerdo con los cambios que la afectan. Este punto se dice fácil, pero ha probado ser difícil en múltiples revisiones de auditoría. Los casos que se encuentran van desde que no hay documentación hasta que la documentación no corresponde con el uso que se le da a cada dato.

Es conocido también que una buena práctica de gestión de datos exige asignar la propiedad de los datos a personas específicas. El auditor de sistemas debe entonces verificar que se han definido las personas responsables de realizar y aprobar las definiciones de datos apropiadas que permitan conocer adónde y como se almacenan los datos que se utilizan en los procesos de negocio.

Si se han establecido estos dos elementos, el auditor de sistemas puede entonces entrevistar a los responsables de los datos, tanto desde el punto de vista técnico como funcional, establecer cuáles son los datos más críticos de la organización y proceder a preparar pruebas, utilizando la información de la definición de los datos, que permitan establecer que se mantiene una integridad razonable en la organización. Esto es, hablando en términos técnicos que el 100% de los datos cumplen con la definición de los mismos y que no se tienen valores fuera de rango, valores nulos, referencia a valores inexistentes, registros huérfanos y demás. Este valor esperado de 100% de datos conforme a la norma es difícil de cumplir por múltiples razones, que van desde mala digitación y malos controles de aplicación hasta errores en las aplicaciones. Muchas veces, al realizar la evaluación de la integridad y encontrar deficiencias en los datos, es más importante determinar porque se dio la diferencia para determinar la causa raíz de la falta de integridad y proceder a implementar una solución que elimine el problema de integridad para el elemento auditado, así como para futuros cambios que se realicen en la estructura de los datos. Por ejemplo, si un programa está guardando mal la información y esto causa que no se almacene un dato, el auditor de sistemas debe de identificar el error en el programa como la causa raíz y acordar con la Gerencia de Sistemas un plan de implementación para corregir el programa y evitar que se siga repitiendo el daño a la integridad de la información.

Auditar la integridad de los datos de una organización es una de las tareas más difíciles para un Auditor de Sistemas, debido al tamaño de los sistemas de información utilizados hoy en día, la complejidad de reglas de negocio que se le aplican a los datos y la falta de cumplimiento de buenas prácticas como la asignación de responsables y la documentación adecuada.

La Administración Segura de los Recursos de TI

Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.

A %d blogueros les gusta esto: