Archivos Mensuales: septiembre 2012
Controles Sobre Los Datos.
Aunque los datos de una organización residan en Bases de Datos de última tecnología, con altas prestaciones en cuanto a características de seguridad, siempre se tiene que planificar e implementar controles para mitigar el riesgo de que nuestros datos pierdan integridad, confidencialidad o disponibilidad. Muchos gerentes o presidentes de empresas, mantienen la duda sobre la confiabilidad del manejo que las Gerencias de TI realizan. Si la organización es grande, muchas veces las tareas del manejo de datos son asignadas a más de una persona, por lo que la duda recae sobre la organización, procedimientos, estrategias de segregación de tareas y controles definidos para darle seguimiento al mantenimiento saludable de los datos. Las Gerencias de TI tienen que realizar no solo la tarea operativa de coordinar el manejo de los datos, sino también la proactiva demostración hacia la Alta Dirección de la efectividad y transparencia con la que se están administrando los datos. Es muy mala señal, cuando un Auditor de Sistemas pregunta por las políticas y procedimientos de administración de bases de datos y estos no existen. El primer mensaje que se proyecta con este hallazgo es que no se han configurado controles de una manera consciente. Posiblemente existirán controles, porque los técnicos de TI, en cada nivel, a partir de su conocimiento y las características del software que implementen, seguramente activaran algunos controles, llevando la administración de datos a un estado que podría denominarse inicial y de ser muy consistente y seguro, repetible, pero no documentado. Los Gerentes de TI deben de tener presente una premisa. Sin importar el tipo de organización que se trate, la confianza inicial en el manejo de datos ha sido asignada a ellos, a partir de que es un experto en la gestión de Tecnologías de la Información, pero es su responsabilidad el mantener e incrementar esa confianza a través del establecimiento de políticas y procedimientos que demuestren claramente como se garantiza la efectiva Administración de Datos. Internamente, la Dirección de TI también debe de organizar el proceso de Administración de Datos, de manera que se garantice que técnicamente se están aprovechando las funcionalidades del software administrador de bases de datos, que se han asignado las responsabilidades, que se han documentado todas los diseños relacionados con los datos (diagramas entidad – relación, reglas de transformación de datos, migraciones de datos y similares). Es importante también que las Gerencias de TI propicien el compartimiento de responsabilidades en cuanto a la seguridad de los datos. No hay nada más sospechoso que una Dirección de TI que administra de manera secreta los datos. Secreta para su Junta Directiva, para su Oficial de Seguridad, para su departamento de Auditoría o para cualquier otro mecanismo de control establecido por la Alta Dirección. En realidad, este tipo de organismo debe de formar parte operativa del proceso de Administración de Datos, realizando un rol de verificador de puntos críticos que permitan demostrar la transparencia en el manejo de datos. En organizaciones maduras en el manejo de datos, los Oficiales de Seguridad son los responsables de asignar y monitorear los permisos de acceso a los datos. Esto garantiza que cada función tiene los privilegios que necesita, que usuarios privilegiados no abusan de sus privilegios. De igual manera, se involucran ya sea a un Oficial de Seguridad o a un Oficial de Riesgos en el monitoreo de las bitácoras de auditoría de la bases de datos. Esta segregación de funciones sobre los datos, permite percibir un ambiente de alto control sobre los datos, especialmente cuando al descubrir hallazgos, se ven todos como parte de un mismo equipo que trabaja precisamente para identificar comportamientos anómalos en la gestión de datos.
La Inteligencia del Negocio: ¿Quién la usa?
Este día me dedique a revisar las últimas características de las plataformas de Inteligencia de Negocio. Resultado, una cantidad de sorpresas agradables a quién conoce las dificultades de hacer “sentido de negocios” con la información. Business Intelligence o BI es un término adoptado por las grandes casas de software como propio y debo decir que todas han hecho esfuerzos por colocar en manos de las empresas piezas de software de Inteligencia de Negocio que pueden resolver problemas y ayudar en la toma de decisiones de manera realmente inteligente. Hay que tener claro que ahora estamos más allá del Cubo Multidimensional que puede ser consultado de diversas maneras para facilitar el filtro idóneo para preguntas específicas. Este Cubo permitía conocer ventas específicas de una determinada zona geográfica, un municipio, un departamento. También permitía realizar el mismo análisis, por ejemplo Productos más vendidos por zona de manera repetitiva para todas las áreas de interés. Era una maravilla. Bueno, lo es, todavía existe en las plataformas de BI. Lo verdaderamente interesante es la incorporación de modelos matemáticos de decisión para el análisis de la información. Es decir, la capacidad de identificar, por ejemplo, variables que originan el comportamiento que vemos. Con modelos matemáticos incorporados en BI, podemos establecer porque las ventas se están comportando de la forma en la que lo hacen, lo que podría ayudar a reproducir escenarios similares en áreas con poca venta o desarrollar estrategias para ganar más mercado. Ese es el poder del software de Inteligencia de Negocios. Como se implementa es otra historia.
En mi experiencia en varias organizaciones, de diversos tamaños, con herramientas de Inteligencia de Negocios, el impacto causado al realizar esta inversión ha sido mínimo. La causa normalmente ha sido la dificultad que tienen los usuarios de interactuar con la complejidad de la representación de la información. Por supuesto, en estos casos, la información estaba en un cubo multidimensional, es decir, a la antigua usanza. Debo de intuir, que con modelos matemáticos de por medio, la curva de aprendizaje será aún más pronunciada. A esto hay que agregar el problema de que la información en modelos relacionales de las bases de datos debe de ser transformada para ajustarse a las necesidades del modelo matemático, descubrir las variables que entrarán al análisis, transformarlas de acuerdo al objetivo del modelo matemático a usar, aplicar el modelo y luego realizar una interpretación de los resultados. ¿Quién usa las herramientas de Inteligencia de Negocios? Los que saben hacer todas estas tareas. En organizaciones pequeñas tal vez se logre que una persona realice todo el proceso, pero en organizaciones más grandes, se requiere de formar un equipo que trabaje bajo un plan común, que reciba objetivos de análisis y que presente resultados para la toma de decisiones. De esta manera, cada miembro del equipo podrá profundizar en la ejecución de una parte del proceso, creando capacidad de creación de modelos de análisis en corto tiempo. Esta es una tarea más que obligará a la Gerencia de TI a mantener estándares de documentación y gestión acordes con las necesidades del negocio, que permitan que independiente de las personas que formen parte del equipo de Inteligencia de Negocios, los resultados sean consistentes con los objetivos.
La Auditoría Continua.
La creciente complejidad de las operaciones, especialmente de las de tipo financiero, el cumplimiento regulatorio y la necesidad de identificar oportunamente comportamiento anormal dentro de las transacciones financieras, ha llevado a muchas empresas a la decisión de implementar mecanismos de auditoría que funcionen en línea, que alerten sobre las actividades sospechosas y que permitan tomar medidas de protección o corrección más efectivas. Esta situación, aunque suena ideal requiere de una total transparencia, cumplimiento de estándares de documentación, asignación y segregación de responsabilidades, así como la flexibilidad para integrar a la infraestructura de TI los mecanismos para realizar el seguimiento de auditoría de forma automática. Creo que el término transparencia habla por si solo. No pueden existir secretos entre la Dirección de TI y el Auditor de Sistemas. El trabajo que la Dirección de TI realiza no puede seguir lineamientos antojadizos, que cambien a medida que se desarrollan las operaciones. Aunque seguir planes y estándares de documentación parece lo normal en TI, a veces no es así, porque los responsables de TI y especialmente los niveles técnicos no siguen los planes de trabajo, realizan cambios que no son documentados y no documentan sus intenciones a través de documentos de arquitectura que permitan visualizar tanto a ellos como a su auditor, la ruta que están siguiendo. Cuando se conoce la arquitectura objetivo, los cambios resultan transparentes para todos los actores, porque se entiende que son necesarios para lograr este fin último. La documentación es otro factor importante. Por ejemplo, al momento de decidir que tablas son claves para dejar pistas de auditoría, si se realiza un cambio a las reglas de registro en las tablas y esto no es documentado y divulgado, se podrían estar dejando fuera del seguimiento aspectos importantes del negocio. Desgraciadamente, si esto se descubre después de un caso de fraude, las omisiones o cambios realizados técnicamente y que no fueron correctamente documentados y divulgados pasan a ser acciones sospechosas para la organización. Por esa razón, la documentación es importante al momento de establecer un escenario de auditoría continua y para mantenerlo actualizado con los cambios. Esto implica que el proceso de Cambios debe de considerar la notificación al departamento de auditoría, para lograr mantener la transparencia de las operaciones de TI. El éxito de la Auditoría Continua no está en el secreto que mantenga el departamento de auditoría al respecto, sino en la verdadera integración de los mecanismos de auditoría dentro de las operaciones normales del negocio, las aplicaciones y la infraestructura tecnológica. Esto debe de ser conocido por todos, por lo que tienen la responsabilidad de brindar soporte al negocio con las TI y por los que analizan la información de auditoría, que tienen que tener el contexto real de las operaciones de TI, con el objetivo de no crear falsos positivos en sus hallazgos ni dejar pasar verdaderos hallazgos. De esta manera, los responsables de TI tienen la oportunidad de mostrar su proactividad en la buena gestión de TI y el negocio logra detectar problemas y tomar decisiones correctivas o preventivas oportunamente.
Los nuevos cargos responsables de las Tecnologías de la Información
De acuerdo al nivel de operaciones de la empresa, sus riesgos tecnológicos y su nivel de dependencia de la tecnología han surgido nuevas posiciones, para lograr segregación de funciones y una cobertura razonable de las responsabilidades de brindar beneficios al negocio y evitar riesgos por uso de las tecnologías. Hace muchos años el único cargo pensable era el Gerente de Sistemas o Informática. Impensable pensar en Gerente de Tecnologías de la Información, porque el uso de computadoras estaba supeditado a un centro de datos y las comunicaciones no eran tan importantes como hoy en día. En la medida que las Tecnologías de la Información crecieron para brindar más servicios al negocio, al grado de ser parte vital de la entrega de servicios o fabricación o venta del producto, el cargo de Gerente de Sistemas ascendió en el organigrama, trascendiendo del soporte, mayormente considerado parte del aparataje administrativo, hacia un elemento vital en el funcionamiento de la organización. Esto ha dado lugar a que en muchas empresas ya se utilicen cargos como Gerente de Tecnologías de la Información o Gerente de Tecnologías y Operaciones. Más aún, estos cargos, en las empresas que han iniciado emprendimientos de Gobierno Empresarial, están ubicados también a nivel de Vice-presidencia y tienen un lugar en juntas directivas. Me recuerdo que en Japón, hace dos años, ya se discutía si se seguirían nombrando CEOs, Chief Executive Officer, dado que sus contrapartes, los CIO, Chief Information Officer, estaban tomando control sobre las operaciones de los negocios en la medida de que las Tecnologías de la Información pasaron a ser la principal materia prima para entregar servicios y crear productos. Pero esto sólo nos indica que el nivel de envolvimiento del responsable de Tecnologías de la Información, por lo general subió de nivel en la jerarquía de los organigramas. Otros desarrollos se han generado a partir de la dependencia que las organizaciones tienen de las TI. La más notable es la que se refiere a seguridad. En organizaciones en las que la seguridad se considera un factor importante a cuidar para no perder o disminuir el ingreso, se han nombrado Oficiales de Seguridad (CISO – Chief Information Security Officer). Estos cargos no dependen de TI, si no más bien reportan a Junta Directiva o el CEO o Gerente General, con el objetivo de tener una función independiente, asesora y de supervisión sobre la creación de medidas de seguridad, así como la verificación de su cumplimiento y evaluación constante de los resultados. En general, es conveniente que las funciones de seguridad de la información no sean asumidas por el mismo personal de TI. De esta manera, se logra aseguramiento de una sana segregación de funciones respecto a la Seguridad de la Información.
Una tercer función, más sutil y refinada, es la del Oficial de Riesgos Tecnológicos. Esta función va más allá de los elementos de seguridad y evalúa factores que puedan llevar a cese de operaciones por causas atribuibles a las TI, creando un sistema de monitoreo que permita detectar, prevenir y administrar los riesgos tecnológicos a los que una empresa esta expuesta. Por supuesto, la creación de estos cargos dependerá de la decisión que tengan las máximas autoridades sobre el uso de las Tecnologías de la Información. En algunos países la decisión ha sido apoyada por regulaciones, pero mientras estas no existan, la decisión seguirá siendo de la Alta Dirección. Es recomendable ser visionario en este tipo de decisión, para no tomar decisiones en base a experiencias negativas pasadas, sino de una manera proactiva. Como el costo de crear un cargo adicional es a veces la principal determinante para no tomar la decisión, hay que recordar que estas funciones se pueden realizar también por servicios de outsourcing, lo que les permitirá realizar una inversión adecuada para iniciar funciones de seguridad y riesgo tecnológico sin perder la rentabilidad de las operaciones. Probablemente, al empezar a recibir datos de un consultor dedicado a evaluar, recomendar y proveer monitoreo periódico de las operaciones, la Alta Dirección llegará a tener la información suficiente para optar por un nombramiento de los cargos de manera permanente en la organización. Lo importante es empezar a hacer algo.
Auditando Tecnología … con Tecnología.
Definitivamente las Tecnologías de la Información están aportando mucho al soportar las operaciones de negocios de las empresas. Todas las áreas del conocimiento están recibiendo constantemente dispositivos y software que hacen su labor más eficiente y efectiva. La Auditoría de Sistemas no es la excepción y lo que se conoce como CAAT – Computer Assisted Audit Techniques, ahora están siendo apoyadas con una serie de equipos, metodologías y software. Como comentábamos hace algunos días, las pistas de auditoría que dejan las operaciones realizadas con el apoyo de Tecnologías de la Información son variadas y abundantes. Esto nos lleva a saber qué se ha hecho en los sistemas de información y quién lo ha hecho. Pero ¿Qué hará un auditor de sistemas que se encuentra con una gran cantidad de información en las pistas de auditoría? El enfoque tradicional nos llevaría a poner esa información en alguna aplicación para generar reportes y a partir de ahí, empezar a consultar todo tipo de actividad sospechosa. De esta manera aunque la información fuera bastante, se podían obtener resultados definidos, entendibles para la Alta Gerencia, accionables a partir de la evidencia. Pero hay que reconocer, que este seria un análisis forense, realizado al final de un periodo de revisión, que en muchas empresas es trimestral, semestral y algunas veces anual o bianual. Si estuviésemos hablando de un caso que implique fraude, posiblemente cuando se descubra la evidencia, los responsables habrán desaparecido de la organización.
El enfoque ideal, nos llevaría a configurar en una pieza de software, de manera constante, los parámetros de comportamiento de los sistemas de información que interesa monitorear, para que en el momento en el que la acción capaz de generar un hallazgo de auditoría este pasando, el software emita una alerta, vía correo electrónico para el auditor, para que este analice la información y pueda definir caminos de acción dependiendo de la gravedad del hallazgo. Mucho mejor. Esta es la Tecnología que la Auditoría de Sistemas moderna utiliza para realizar su función.
Y aún hay más. Debido a la cantidad de amenazas que se generan a partir del mal uso o configuración de las Tecnologías de la Información, los sistemas de auditoría están llegando incluso a permitir el monitoreo constante de las configuraciones de los equipos, comparándolas con estándares existentes por tipos de equipos. Esta tecnología incluso llega a mantener una conexión constante con bases de datos de vulnerabilidades, que permiten la comparación de las configuraciones auditadas contra configuraciones necesarias para cubrir las vulnerabilidades detectadas. Este tipo de Tecnología une la revisión de la configuración con la comparación contra el estándar más actualizado existente para cada tipo de dispositivo. Hay que recordar que la auditoría de sistemas al revisar la infraestructura tecnológica de una organización incluye componentes como bases de datos, equipos de comunicación, aplicaciones y datos, componentes que en centros de datos grandes existen de manera repetitiva, por lo que la ayuda de la Tecnología está más que justificada, para lograr realizar revisiones eficientes y eficaces. Esto es todo un reto para los Auditores de Sistemas, pero si nos gusta la Tecnología, es un trabajo gratificante.
La Evolución de los Frameworks de Gestión de TI.
Hoy en día existen una gran cantidad de Frameworks, metodologías y normas a seguir en la Gestión de TI. Los Gerentes de TI no están solos en la decisión de qué implementar en cada área de las operaciones de TI, desde la planificación, pasando por la organización y ejecución, hasta el monitoreo. En algunos países a los Gerentes de TI los asisten las regulaciones, que obligan a las empresas a cumplir con requisitos de gestión específicos, como la Ley Sarbanes – Oxley (el famoso SOX) para las empresas que cotizan en bolsa en Estados Unidos, o las normativas de Riesgo Tecnológico para las empresas financieras en casi todos los países.
Hace 20 años el uso de computadoras en las organizaciones era prohibitivo a empresas que pudiesen pagar el costo de mantener centros de datos. La computación era centralizada, por lo tanto, más fácil de gestionar, dado que todos los usuarios de este centro de datos tenían que seguir al pie de la letra las políticas y procedimientos establecidos para el uso de la Tecnología. Con el crecimiento del uso de las computadoras personales, el acercamiento de la Tecnología de la Información al usuario final y la capacidad de descentralizar el centro de datos a ubicaciones más convenientes, desde el punto de vista económico y de capacidad, entre otros factores, han llevado a un escenario más complejo de administración.
Paralelo al crecimiento de la industria de las Tecnologías de la Información, los frameworks, metodologías y normas han ido creciendo para estar a tono con los requerimientos de esta cambiante industria. No me atrevería a decir que funcionan a la par, pero sí los cambios en los frameworks asumen con relativa rapidez los cambios en la industria. Esta semana, revisando los lineamientos para la implementación y gobierno de Cloud computing, encontré alrededor de 6 documentos relacionados. Esos documentos tenían fechas del año 2012. En el pasado existieron casos extremos, como los estándares de la serie ISO 27000, sobre Seguridad de la Información, que pasaron varios años sin recibir cambios, pero a la fecha, tienen publicaciones de años recientes, que expanden temas relacionados con la Seguridad de la Información y a la vez resuelven problemas recientes. Entre estos nuevos estándares se pueden mencionar el ISO/IEC 27003:2010, que provee una guía para la implementación de Sistemas de Administración de la Seguridad de la Información y el ISO/IEC 27005:2011, que se refiere a la Administración de Riesgos de la Seguridad de la Información. Por supuesto, es importante identificar que el Framework de Control para las Tecnologías de la Información, tuvo también una actualización mayor en Abril de este año, con la nueva versión COBIT 5.
Con esta pequeña discusión podemos ver que las Tecnologías de la Información evolucionan y la empresa definitivamente adopta las nuevas tecnologías como un medio de mejora, casi natural, para mantener la competitividad de la organización. La Gestión de TI tiene guías de referencia para la óptima ejecución de todos sus procesos de gestión. Incluso para decidir la implementación o no de una Tecnología, en base a si los riesgos inherentes son mayores que los beneficios. Para hacer esto, la Gestión de TI debe de evolucionar a la par de las Tecnologías, asimilando los cambios en los marcos de referencia, en las normas y en las metodologías. No se debe permitir Gobernar las TI siguiendo los mismos lineamientos de hace 20 años, hay que evolucionar.
La Auditoría de la Seguridad Lógica.
La seguridad lógica puede pasar desapercibida para la Alta Dirección, dado que representa la confianza que se tiene en que la Gestión de TI ha tomado las precauciones necesarias para salvaguardar los datos y garantizar que nadie sin acceso autorizado podrá ver, manipular o extraer nuestros datos. Debido a que la seguridad lógica es la principal frontera que se establece entre nuestros datos y el personal autorizado, la conveniencia de tener un aseguramiento de su correcta administración resulta más que evidente. Esto es especialmente importante, si tomamos en cuenta que los estudios sobre seguridad de la información nos dicen que las mayores fuentes de amenazas a la seguridad de la información son internas. Por supuesto, las amenazas externas siempre existen y hay que anularlas y establecer las medidas necesarias para garantizar que personas ajenas a la organización lleguen a nuestros servidores a extraer datos o tomar control de nuestras operaciones. A este respecto, ya vimos la semana pasada, en la República Mexicana, un ataque masivo a sitios de gobierno y de medios de comunicación. Esto nos indica que las amenazas externas existen, por lo que no hay que esperar que nos pase a nosotros y tener las debidas medidas de seguridad configuradas para proteger lógicamente todos los activos informáticos.
En la administración de la seguridad lógica intervienen muchos componentes, dado que se refiere a las configuraciones que permiten acceder hasta los datos. Para ser puntual, los datos normalmente residen en servidores de bases de datos, colocados en algún lugar de la red institucional, con equipos de comunicaciones mediando entre las estaciones clientes y los datos. Proveer acceso a los datos normalmente debe de seguir una cadena de permisos de acceso. Los permisos pueden incluir: acceso a la red, al dominio, a la aplicación y a la base de datos. La permisividad que se da a los usuarios sobre los datos, depende del nivel de confianza y de responsabilidades asignadas a los mismos. Adicionalmente, la Gestión de TI debe de asegurarse que en cada equipo o componente, se han reducido o limitado las posibilidades de que una persona tome control sobre el componente, permitiendo asignar permisos a su discreción.
La Auditoría de Sistemas cuando revisa la seguridad lógica verifica que existan los procedimientos necesarios para controlar todos los componentes y que las configuraciones de cada componente no permiten que se puedan acceder sin conocimiento de la Gestión de TI. Una Auditoría más profunda, pasa a la revisión de permisos específicos asignados por usuario, de tal forma que se establezca que no existen accesos y privilegios asignados adicionales a los necesarios para cumplir con su perfil de trabajo. Incluso se puede llegar a utilizar herramientas de “hackeo ético”, para lograr probar que la infraestructura lógica está bien configurada y no está dejando vulnerabilidades expuestas. Este análisis realizado por la Auditoría de Sistemas provee a la Alta Dirección un nivel adicional de garantía de que la seguridad lógica esta siendo bien administrada y en el peor de los casos, si el análisis de Auditoría de Sistemas descubre hallazgos, de que medidas correctivas se están tomando y la seguridad lógica del acceso a datos será mejorada.
La Importancia de la Auditoría de las Bases de Datos.
Siempre que hablamos de Tecnologías de la Información, tenemos que tener presente que lo realmente importante para una organización es su información. Por la información es que la inversión en Tecnologías tiene sentido. Por eso, la Auditoría de las Bases de datos es importante, porque son estos repositorios en los que la información de la organización es almacenada. La evolución de las Tecnologías de la Información en el área de Bases de Datos ha evolucionado de depósitos con limitadas o vulnerables características de seguridad e integridad a componentes que proveen altas características para garantizar que los datos de una organización son utilizados para los fines autorizados y válidos, que son accedidos solo por el personal debidamente autorizado y con las medidas de seguridad necesarias para evitar los ataques externos que cada vez son más frecuentes. Establecido este escenario, parecería que nuestros datos están seguros si tenemos la Tecnología de Bases de Datos de última generación y no tenemos nada de que preocuparnos. Premisa falsa. La práctica nos enseña que siempre existen varios factores que deben de verificarse cuando se trata de bases de datos. La verificación independiente de un Auditor de Sistemas ayuda a la Alta Gerencia a garantizar que la Tecnología de Bases de Datos esta siendo usada de la mejor forma posible y que no se han cometido acciones u omisiones que ponen en riesgo la integridad y seguridad de nuestros datos. La Auditoría de Sistemas en este contexto, pasa a realizar una evaluación del cumplimiento de los estándares establecidos por el fabricante de la tecnología utilizada, el diseño de la base de datos, la verificación del registro correcto de los datos y el seguimiento a los procedimientos de Administración de Bases de Datos. Si estos elementos no son ejecutados de una manera profesional, aunque se haya realizado la inversión en la mejor Tecnología de Bases de Datos, siempre se tendrán riesgos sobre los datos de la organización. La realización de este examen, en el caso de una base de datos, debe realizarse de forma periódica, para lograr el objetivo de que no se detecten desviaciones en los parámetros normales de operación demasiado tarde. Dependiendo de la importancia de los datos para la organización, la evaluación debe de realizarse mensual, trimestral o semestralmente. Muchas veces pasa que nuevas vulnerabilidades son descubiertas y publicadas por los fabricantes de tecnologías y los responsables de la Gestión de TI no realizan los ajustes necesarios para mantener los datos seguros. A veces pequeños cambios temporales en la asignación de privilegios no se revierten oportunamente. A veces cambios en las aplicaciones modifican las condiciones de integridad de los datos. Solo la revisión periódica permite detectar y corregir estas situaciones que si se acumulan sobre el tiempo, podrían impactar de manera negativa en la calidad de los datos, en detrimento del soporte que las Tecnologías de la Información proporcionan al negocio.
El Método de Gestión de las Tecnologías de la Información.
Muchas veces veo en las organizaciones al personal de Tecnologías de la Información realizando un tareismo infructuoso, que no deja valor para la organización, ni satisfacción para el profesional de TI que desempeña las tareas. Siempre existen cosas urgentes que hacer, tareas que eran para ayer y no se han concluido, próximos proyectos que se prevé no se terminarán a tiempo, muchas dudas en el significado de cada tarea para todo el conjunto de servicios de TI. También veo a Gerentes de TI que se aferran a la idea de que las cosas mejorarán cuando se realice un próximo proyecto de implementación de ITIL o COBIT o cualquier estándar similar, para lo cual se ha solicitado presupuesto y tiempo, desgraciadamente medido en meses y a veces hasta años. Es impresionante el ver como las soluciones de Gestión de TI se plantean como proyectos, cuando la Gestión de TI es un proceso continuo, sujeto a mejora continua, que debe de visualizarse como una práctica común en las operaciones diarias de TI. Me parecería que a la Gestión de TI le está pasando lo mismo que le pasaba a la Gestión de la Calidad en las décadas de los 60 a los 90. Después de la revolución industrial, cuando la producción en masa se hizo común, salieron muchas teorías sobre como administrar la producción. Una de ellas fue la del Control Estadístico de la Calidad. Bajo este enfoque, la Gestión de la Producción dedicaba esfuerzos a capturar datos estadísticos de los errores, o productos fabricados con desperfectos, para ponerse como meta crear procesos de producción que redujeran el porcentaje de error anterior. Este enfoque originaba en primer lugar, ciclos infructuosos de reducción en el porcentaje de errores, para luego volver a los valores iniciales y a veces hasta sobrepasarlos. En todo caso, sea un porcentaje mayor o menor de producción con errores, era producción perdida, trabajo perdido y recursos no recuperables. A partir de los años 90, la cultura japonesa nos heredo los círculos de calidad. Bajo esta filosofía, el mismo trabajador es responsable de decir porque no se trabaja con calidad y de definir las recomendaciones para evitar los problemas que originan el producir con errores. Comparto una frase que me impacto bastante: “Es mejor medir dos veces y cortar una”. Pequeño detalle. Pero una gran realidad de los ambientes de producción, en el que gran parte del desperdicio se debe a fallos en la tarea de medición.
Pues bien, mi opinión es que al igual que los procesos de calidad modernos, la Gestión de TI debe de practicarse desde el día uno. Identificando las causas que están originando que no se avance en el objetivo de tener una coordinación adecuada entre las Tecnologías de la Información y el negocio. Creando pequeñas tareas que tengan problemas únicos a resolver y no permitiendo que los errores se cometan dos veces. Revisando el resultado de las decisiones tomadas y estando listos a resolver el siguiente problema. Este método de gestión de las TI seguramente hará funcionar mejor el soporte que las Tecnologías de la Información proporcionan al negocio, de tal manera que en el mediano plazo se perciban los beneficios y se ordene la Gestión de TI.
El Uso de Pistas de Auditoría Para Evaluar el Cambio de Sistemas.
Muchos Gerentes de TI, Gerentes Generales, Gerentes Financieros y los miembros de la Alta Dirección de las organizaciones se preguntan sobre como hacer que sus operaciones dejen las suficientes pistas de auditoría para proveer suficiente evidencia de que sus operaciones son eficientes, transparentes y que en los sistemas de información no se registra más que la información correspondiente a transacciones válidas, que pueden ser modificadas por personal debidamente autorizado y que no existen accesos no autorizados a la información. Este escenario de incertidumbre que se realiza en cada organización en mayor o menor medida, puede ser perfectamente administrado si se asignan las funciones y las responsabilidades de la creación de estos mecanismos de registro o controles, además de definir y realizar revisiones de auditoría que puedan establecer el nivel de confiabilidad de las pistas diseñadas a través de la realización de pruebas y verificaciones de los registros.
Con las prestaciones que ofrecen las Tecnologías de la Información en este momento, es bastante fácil implementar excelentes mecanismos de registro y controles que permitan dejar las pistas de auditoría necesarias para dar al negocio la confiabilidad de sus operaciones. Si pensamos en ERPs modernos, estos incluyen en su diseño, los registros necesarios para dejar las pistas de auditoría necesarias, junto con módulos de consulta destinados para realizar el trabajo del auditor de una manera sistemática. En otra área de software, las bases de datos como ORACLE y Microsoft SQL Server y similares, incorporan los registros de auditoría a nivel del repositorio de datos, permitiendo crear pistas de auditoría adicionales a las que puede dejar una aplicación.
La industria salvadoreña, sin embargo, esta llena de aplicaciones hechas a la medida, que utilizan plataformas tecnológicas que no tienen estas opciones de auditoría y muchas veces ni siquiera la seguridad mínima necesaria para garantizar que en caso se realice algún tipo de registro de auditoría, este no sea objeto de manipulación. Para los auditores de sistemas es un escenario difícil. Pero hay que reflexionar más y pensar quienes tienen el verdadero problema de control. Esto es, la Alta Dirección debe evaluar la cantidad de dinero que se realiza en una operación en base a información procesada y almacenada en una plataforma tecnológica deficiente y evaluar si tiene alta dependencia de la misma, si existen riesgos de casos de fraude, de pérdida de información y casos similares que impacten en pérdidas financieras o de imagen de la organización. Después de evaluar estos riesgos, la Alta Dirección necesita recibir un dictamen del Auditor de Sistemas sobre la confiabilidad de los controles del sistema actual, para poder realizar una evaluación de la conveniencia de invertir en la actualización de la plataforma tecnológica, con el simple objetivo de mejorar el control de las operaciones a través de la incorporación de pistas de auditoría acordes a estándares actuales, que permitirán actualizar el funcionamiento de la empresa salvadoreña a un nivel de modernidad adecuado. Cuando menos, la comparación entre riesgos y nivel de control de las plataformas actuales de una organización, pueden llevar a decisiones de la implementación de controles alternativos, de la segregación de responsabilidades y del establecimiento de puntos de control, así como su frecuencia de revisión para lograr minimizar la posibilidad de que se materialicen los riesgos. Siempre hay algo que se puede mejorar y hay que intentarlo, medir el efecto de las decisiones tomadas y volver a evaluar.
Gestión y Auditoría de TI 