Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.