Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.