Archivos Mensuales: noviembre 2012
La Formulación de la Estrategia de TI
Podemos realizar cualquier acción, incluyendo la Gestión de TI, con o sin estrategia. La diferencia será que sin estrategia perderemos ventajas en la utilización de los recursos, desenfocaremos el resultado final e incrementaremos los riesgos. Tener una visión estratégica en TI es fundamental para el éxito de cualquier operación de negocios. La Gestión de TI debe de ser liderada por una sólida estrategia, formulada para apoyar los objetivos de negocio y anticiparse a los retos que el negocio mismo le impondrá en el futuro.
Una característica de la Gestión Estratégica de TI es la visión completa de la función de TI. Carecer de visión completa implica empezar a dejar vacíos en el soporte al negocio. Todos sabemos que los negocios no van a parar por la carencia de soporte tecnológico, por lo que al dejar vacíos, estos serán llenados con “soluciones innovativas” de parte de los usuarios de tecnologías o servicios de TI proporcionados por terceras personas. Definitivamente, no tener en el radar todas las funciones de soporte de TI, permite que se generen múltiples versiones de soporte de TI en las empresas. Es importante entender que tener visión completa no necesariamente implica tener las soluciones en el presente. Más bien, implica conocer las necesidades de TI de la organización y el momento en el que son requeridas y por lo tanto estar listos para esos momentos de verdad que toca vivir en toda administración de TI.
La generación de una estrategia de TI pasa por el reconocimiento de las capacidades actuales y el establecimiento de la brecha real y la brecha permitida por las necesidades del negocio, así como todas las acciones necesarias para cerrar esa brecha en el momento oportuno. También incluye la predicción de cambios en las tecnologías, en el soporte que los fabricantes de la tecnología que usamos darán y la integración futura de tecnologías, para tomar decisiones de recambio, nuevas adquisiciones, mejoras en la capacidad y similares. Una gestión de TI con una buena estrategia debe de tener formulada su ruta de proyectos para un periodo de 5 años, 2 de los cuales deben de estar a detalle, con presupuestos financiados y recursos asignados para garantizar la operatividad de la estrategia.
Ahora que nos acercamos a el final del año 2012, es conveniente que no sólo revisemos nuestro presupuesto para el 2013, sino también que revisemos como va la ejecución de la estrategia de TI. Si el caso es que la estrategia no existe, también es tiempo para formular una. Para tomar una iniciativa que definitivamente apoyará al negocio de cualquier organización. Es el momento de evaluar desde todo punto de vista, por lo que mi recomendación es para todos los Gerentes de TI, que tengan una reunión de evaluación con todas las áreas de negocio que sirven, para que les comenten su opinión sobre el apoyo que la Gestión de TI proporciona y a partir de ahí decidan si su estrategia esta bien o requiere de ajustes.
La Seguridad de los Password
Aunque siempre se ha considerado que los passwords son un mecanismo “secreto” para proporcionar seguridad a nuestras acciones en sistemas de información y especialmente a nuestros datos, proporcionando confidencialidad, muy poco se hace para informar a todos los que usamos passwords sobre las amenazas existentes y la vulnerabilidad que presenta este mecanismo de control de acceso.
Revisando la seguridad de sistemas de información, descubrí que muchas herramientas de evaluación de seguridad en las configuraciones de los equipos, lo que realmente hacen es intentar descifrar los passwords y cuando lo logran, declaran el password como “débil”. Esto implica que en el lapso de segundos, algunos passwords pueden ser descifrados y lo sorprendente es la cantidad de cuentas que pueden tener passwords débiles en un sistema. Entonces, considerando esta situación de passwords descifrables en segundos y la existencia de hackers que utilizan programas para buscar estas cuentas y a partir de ahí revisar cuales pueden ser explotables, apropiándose de sus privilegios dentro del sistema, tenemos una situación de riesgos que en la mayoría de empresas podría ser alta. Este hecho definitivamente amerita la atención de la Gestión de TI.
A partir de esta realidad, lo que corresponde es revisar nuestra política de creación de passwords. Un factor determinante de la política, aunque no el único, es el tamaño. La teoría de cifrado de passwords se basa en la creación de algoritmos confiables, pero públicos, con los cuales se crea un texto cifrado a partir del texto legible para el usuario. El hecho de que el algoritmo sea conocido, aparte de aportar confianza al método usado, también proporciona un medio para que se creen algoritmos de descifrado de passwords. Adicionalmente, un hacker puede optar por la “búsqueda exhaustiva” de todas las posibles opciones, lo cual es cada vez más soportado por la capacidad de computo existente. Este último elemento principalmente, justifica que los passwords utilizados tengan como mínimo 12 caracteres. Existe un sitio web: http://howsecureismypassword.net, donde se pueden probar los passwords y saber que tan fácil o difícil es el descifrado de un password, a partir del tiempo que tomará en descifrarlo.
Si nos ponemos del lado del usuario, la dificultad de recordar un password es lo que los lleva normalmente a escoger una palabra pequeña como password. El promedio letras que podemos encontrar en un password es de 6 a 8 letras. Una recomendación, que podría ser parte de la política, es el utilizar cuatro letras de tres palabras que le sean familiares al usuario y armar el password separando cada grupo por un carácter especial o número. Esta regla aunque se oye difícil, en realidad es fácil de mostrar. Por ejemplo, si yo quiero que la frase “Libros Ciencia Ficción” sea la base de la creación de mi password, puedo terminar con el password lbrs_cnci_fcco, que de acuerdo al sitio antes mencionado, le tomaría a una computadora personal trescientos mil años descifrarlo. Esto hace de este password un éxito. Si usamos una parte de este password, por ejemplo lbrs_cnci, el tiempo cae gramáticamente a 22 horas. Esto es con 9 caracteres. Prueben combinaciones más pequeñas y más largas para entender las variaciones y apliquen lo que aprendan en afinar su política de creación de passwords y el trabajo de enseñar estos elementos de seguridad a los usuarios. En el caso de los passwords de servidores y bases de datos debería de ser mandatorio el crear passwords de más de 12 caracteres, incluyendo además caracteres especiales. El password es un elemento de la seguridad de los sistemas de información que depende totalmente de los humanos, por lo que se debe de implementar correctamente a través de políticas agresivas, que mantengan seguros todos los puntos de acceso a la infraestructura tecnológica de una organización.
Las certificaciones de COBIT 5 están en pleno desarrollo.
Estamos en Noviembre de 2012, mes en el cual la APMG está lanzando el programa de certificación de COBIT 5 Foundations. A partir de este mes, los profesionales que estén interesados en profundizar en COBIT 5 podrán optar a iniciar la preparación para tomar la certificación en los diferentes niveles. Según ha publicado APMG en su sitio web (http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx), el esquema de certificación de COBIT 5 tiene los niveles de Fundamentos (Foundations), Implementador y Evaluador. Adicionalmente, existe un curso de Introducción a COBIT 5, que ha sido impartido en las principales ciudades de todo el mundo, desde el lanzamiento de COBIT 5 en el mes de abril de 2012. Como Consultor en Gestión de TI, me interesan todos los niveles, pero mi recomendación para los profesionales de TI es que evalúen su desarrollo profesional y cargo actual, así como las perspectivas de su carrera profesional, para identificar que nivel de certificación que más les conviene.
Es importante conocer que COBIT es un marco de referencia ineludible para los que trabajan en el área de Soporte al Negocio a través de las Tecnologías de Información. Esto es cierto para todos los niveles. Aunque un profesional de TI no esté a nivel directivo y no participe en el diseño del servicio al negocio, siempre es importante que identifique que parte del servicio de TI es su responsabilidad, entienda en qué contexto está operando, cuales son los objetivos y las reglas de medición por la que se está evaluando y como impacta en los objetivos organizacionales. Posiblemente para profesionales de TI que laboran a nivel operativo, lo más recomendable sea el curso de Introducción a COBIT 5, para identificar todos los componentes de COBIT y estar atento a colaborar con su implementación en la organización. El curso de introducción, incluso esta recomendado para personas que no son profesionales de TI, pero coordinan las Tecnologías de la Información a un alto nivel, tales como Gerentes Generales, CEO, Presidentes, miembros de juntas directivas, auditores de sistemas y personal de auditoría interna. Es decir, todo el personal que gobierna y controla las Tecnologías de la Información en la empresa.
Muchas veces, cuando escuchamos sobre estándares y metodologías, siempre lo vemos como una decisión que alguien tomo en algún momento en el pasado y nos es ajeno el saber que es ser pionero en ese campo. En el caso de COBIT 5 la generación de profesionales de TI laborando en el período 2012 al 2015, estará exactamente en el tiempo de su inicio. Esto me indica que posiblemente la adopción venga hasta el año 2014 o 2015, como siempre pasa con todo, ya sean estándares, metodologías o tecnologías. Personalmente he tenido la experiencia de empresas que implementaron COBIT 4.1 y tienen la firme convicción de seguir con esa versión hasta que algo importante pase como para ameritar el esfuerzo de un cambio. Como ya he dicho en otros blogs, la concepción de COBIT es muy general y ayuda a brindar orden a la serie de estándares y metodologías de gestión de TI existentes, por lo que su implementación puede verse como un proyecto de varios años, durante los cuales, se implementan las diferentes metodologías elegidas para ayudar a gestionar las TI en la empresa. Lo importante es iniciar, para ir generando el orden en la Gestión Empresarial de TI.
Gestión y Auditoría de TI 