Archivo del Autor: Luis Cruz
El Control Interno de TI
Desde mi propia experiencia, aprender sobre el control interno no es fácil. Aunque la palabra control aparece en todos los libros de Gestión de Empresas y Producción de Bienes y Servicios, parece que a la mayoría de los profesionales nos entusiasma más el hacer cosas que el controlarlas sistemáticamente. Así, vemos industrias que se desarrollan haciendo cosas, con controles precarios o sin control y son exitosas. Estas experiencias exitosas en las que la falta de control no fue obstáculo para lograr objetivos, llevan a muchos profesionales de la Gestión a pensar que el control no es necesario. Tal vez sólo cuando se administra dinero, como pasa en las organizaciones financieras y entidades comerciales que manejan mucho dinero en efectivo, como los supermercados y almacenes, es que las actividades de control parecen naturales. Es decir, como se puede pensar en darle efectivo a una persona, permitirle que reciba ingresos de efectivo de los clientes y al final del día dejar que se vaya a su casa sin rendir cuentas minuciosamente de todas las transacciones realizadas durante el día. En este caso, incluso se ven controles adicionales, como el de la seguridad del lugar de trabajo, la ejecución de cortes de caja frecuentes para reducir riesgos de robo o pérdida y otros más. Esto implica que cuando se trata de ingresos, se entiende la necesidad de control. ¿Por qué no se entiende de la misma forma la protección de activos informáticos? A pesar de que han existido casos de fraude en lo que se no se roba dinero en efectivo, sino que se aplican transacciones ficticias, como pagos a créditos o descuentos no autorizados a ciertos clientes. Incluso, cosas más allá del ambiente interno, como el que se roben la información de tarjetas de crédito de los clientes de un almacén, perdiendo la confidencialidad de las operaciones. O que tal de los casos en los que se han tomado el sitio Web de una organización, perdiendo reputación. Y existen muchos casos más, pero todos estos casos, parecen no tener efecto en el entendimiento de que se necesita crear un ambiente de control interno en las operaciones de TI.
El Control Interno, es definido en COBIT 4.1. como “las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos”. Esta es una definición simple, fácil de seguir, que nos enseña que el control interno se trata de simples reglas a seguir, para documentar la forma en la que se realizan las actividades, como se realizan, como se supervisan, como se organización la empresa para asignar responsabilidades de supervisión y control. Esto permite evitar desviaciones que nos alejen de los objetivos institucionales, agregando valor y eliminando riesgos. Es cierto que en el caso de las Tecnologías de la Información las complejidades técnicas pueden llevarnos a tener dificultades para comunicar los mecanismos de control, pero por ejemplo, el especificar una política de seguridad de la información, acompañado de un plan documentado de seguridad y un manual de procedimientos de seguridad, proporcionan una mayor garantía a la Alta Dirección, de que la Gestión de TI esta efectivamente manteniendo un ambiente de control interno sano, que ha identificado los controles necesarios y los está ejecutando. Después de todo, le toca a la Auditoría Interna el verificar el diseño y efectividad de los controles, por lo que la Alta Dirección tiene así un balance de funciones para quienes le soportan todas sus operaciones y por lo tanto, no necesita conocer el detalle técnico de cada cosa. Los Auditores si necesitan saber detalles técnicos y por eso existen los Auditores de Sistemas, que normalmente son profesionales en las Tecnologías de la Información, con experiencia y certificaciones que garantizan a las organizaciones que las auditorías realizadas tendrán la calidad requerida y aportarán valor a la organización, a través del fortalecimiento del control interno.
La Formulación de la Estrategia de TI
Podemos realizar cualquier acción, incluyendo la Gestión de TI, con o sin estrategia. La diferencia será que sin estrategia perderemos ventajas en la utilización de los recursos, desenfocaremos el resultado final e incrementaremos los riesgos. Tener una visión estratégica en TI es fundamental para el éxito de cualquier operación de negocios. La Gestión de TI debe de ser liderada por una sólida estrategia, formulada para apoyar los objetivos de negocio y anticiparse a los retos que el negocio mismo le impondrá en el futuro.
Una característica de la Gestión Estratégica de TI es la visión completa de la función de TI. Carecer de visión completa implica empezar a dejar vacíos en el soporte al negocio. Todos sabemos que los negocios no van a parar por la carencia de soporte tecnológico, por lo que al dejar vacíos, estos serán llenados con “soluciones innovativas” de parte de los usuarios de tecnologías o servicios de TI proporcionados por terceras personas. Definitivamente, no tener en el radar todas las funciones de soporte de TI, permite que se generen múltiples versiones de soporte de TI en las empresas. Es importante entender que tener visión completa no necesariamente implica tener las soluciones en el presente. Más bien, implica conocer las necesidades de TI de la organización y el momento en el que son requeridas y por lo tanto estar listos para esos momentos de verdad que toca vivir en toda administración de TI.
La generación de una estrategia de TI pasa por el reconocimiento de las capacidades actuales y el establecimiento de la brecha real y la brecha permitida por las necesidades del negocio, así como todas las acciones necesarias para cerrar esa brecha en el momento oportuno. También incluye la predicción de cambios en las tecnologías, en el soporte que los fabricantes de la tecnología que usamos darán y la integración futura de tecnologías, para tomar decisiones de recambio, nuevas adquisiciones, mejoras en la capacidad y similares. Una gestión de TI con una buena estrategia debe de tener formulada su ruta de proyectos para un periodo de 5 años, 2 de los cuales deben de estar a detalle, con presupuestos financiados y recursos asignados para garantizar la operatividad de la estrategia.
Ahora que nos acercamos a el final del año 2012, es conveniente que no sólo revisemos nuestro presupuesto para el 2013, sino también que revisemos como va la ejecución de la estrategia de TI. Si el caso es que la estrategia no existe, también es tiempo para formular una. Para tomar una iniciativa que definitivamente apoyará al negocio de cualquier organización. Es el momento de evaluar desde todo punto de vista, por lo que mi recomendación es para todos los Gerentes de TI, que tengan una reunión de evaluación con todas las áreas de negocio que sirven, para que les comenten su opinión sobre el apoyo que la Gestión de TI proporciona y a partir de ahí decidan si su estrategia esta bien o requiere de ajustes.
La Seguridad de los Password
Aunque siempre se ha considerado que los passwords son un mecanismo “secreto” para proporcionar seguridad a nuestras acciones en sistemas de información y especialmente a nuestros datos, proporcionando confidencialidad, muy poco se hace para informar a todos los que usamos passwords sobre las amenazas existentes y la vulnerabilidad que presenta este mecanismo de control de acceso.
Revisando la seguridad de sistemas de información, descubrí que muchas herramientas de evaluación de seguridad en las configuraciones de los equipos, lo que realmente hacen es intentar descifrar los passwords y cuando lo logran, declaran el password como “débil”. Esto implica que en el lapso de segundos, algunos passwords pueden ser descifrados y lo sorprendente es la cantidad de cuentas que pueden tener passwords débiles en un sistema. Entonces, considerando esta situación de passwords descifrables en segundos y la existencia de hackers que utilizan programas para buscar estas cuentas y a partir de ahí revisar cuales pueden ser explotables, apropiándose de sus privilegios dentro del sistema, tenemos una situación de riesgos que en la mayoría de empresas podría ser alta. Este hecho definitivamente amerita la atención de la Gestión de TI.
A partir de esta realidad, lo que corresponde es revisar nuestra política de creación de passwords. Un factor determinante de la política, aunque no el único, es el tamaño. La teoría de cifrado de passwords se basa en la creación de algoritmos confiables, pero públicos, con los cuales se crea un texto cifrado a partir del texto legible para el usuario. El hecho de que el algoritmo sea conocido, aparte de aportar confianza al método usado, también proporciona un medio para que se creen algoritmos de descifrado de passwords. Adicionalmente, un hacker puede optar por la “búsqueda exhaustiva” de todas las posibles opciones, lo cual es cada vez más soportado por la capacidad de computo existente. Este último elemento principalmente, justifica que los passwords utilizados tengan como mínimo 12 caracteres. Existe un sitio web: http://howsecureismypassword.net, donde se pueden probar los passwords y saber que tan fácil o difícil es el descifrado de un password, a partir del tiempo que tomará en descifrarlo.
Si nos ponemos del lado del usuario, la dificultad de recordar un password es lo que los lleva normalmente a escoger una palabra pequeña como password. El promedio letras que podemos encontrar en un password es de 6 a 8 letras. Una recomendación, que podría ser parte de la política, es el utilizar cuatro letras de tres palabras que le sean familiares al usuario y armar el password separando cada grupo por un carácter especial o número. Esta regla aunque se oye difícil, en realidad es fácil de mostrar. Por ejemplo, si yo quiero que la frase “Libros Ciencia Ficción” sea la base de la creación de mi password, puedo terminar con el password lbrs_cnci_fcco, que de acuerdo al sitio antes mencionado, le tomaría a una computadora personal trescientos mil años descifrarlo. Esto hace de este password un éxito. Si usamos una parte de este password, por ejemplo lbrs_cnci, el tiempo cae gramáticamente a 22 horas. Esto es con 9 caracteres. Prueben combinaciones más pequeñas y más largas para entender las variaciones y apliquen lo que aprendan en afinar su política de creación de passwords y el trabajo de enseñar estos elementos de seguridad a los usuarios. En el caso de los passwords de servidores y bases de datos debería de ser mandatorio el crear passwords de más de 12 caracteres, incluyendo además caracteres especiales. El password es un elemento de la seguridad de los sistemas de información que depende totalmente de los humanos, por lo que se debe de implementar correctamente a través de políticas agresivas, que mantengan seguros todos los puntos de acceso a la infraestructura tecnológica de una organización.
Las certificaciones de COBIT 5 están en pleno desarrollo.
Estamos en Noviembre de 2012, mes en el cual la APMG está lanzando el programa de certificación de COBIT 5 Foundations. A partir de este mes, los profesionales que estén interesados en profundizar en COBIT 5 podrán optar a iniciar la preparación para tomar la certificación en los diferentes niveles. Según ha publicado APMG en su sitio web (http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx), el esquema de certificación de COBIT 5 tiene los niveles de Fundamentos (Foundations), Implementador y Evaluador. Adicionalmente, existe un curso de Introducción a COBIT 5, que ha sido impartido en las principales ciudades de todo el mundo, desde el lanzamiento de COBIT 5 en el mes de abril de 2012. Como Consultor en Gestión de TI, me interesan todos los niveles, pero mi recomendación para los profesionales de TI es que evalúen su desarrollo profesional y cargo actual, así como las perspectivas de su carrera profesional, para identificar que nivel de certificación que más les conviene.
Es importante conocer que COBIT es un marco de referencia ineludible para los que trabajan en el área de Soporte al Negocio a través de las Tecnologías de Información. Esto es cierto para todos los niveles. Aunque un profesional de TI no esté a nivel directivo y no participe en el diseño del servicio al negocio, siempre es importante que identifique que parte del servicio de TI es su responsabilidad, entienda en qué contexto está operando, cuales son los objetivos y las reglas de medición por la que se está evaluando y como impacta en los objetivos organizacionales. Posiblemente para profesionales de TI que laboran a nivel operativo, lo más recomendable sea el curso de Introducción a COBIT 5, para identificar todos los componentes de COBIT y estar atento a colaborar con su implementación en la organización. El curso de introducción, incluso esta recomendado para personas que no son profesionales de TI, pero coordinan las Tecnologías de la Información a un alto nivel, tales como Gerentes Generales, CEO, Presidentes, miembros de juntas directivas, auditores de sistemas y personal de auditoría interna. Es decir, todo el personal que gobierna y controla las Tecnologías de la Información en la empresa.
Muchas veces, cuando escuchamos sobre estándares y metodologías, siempre lo vemos como una decisión que alguien tomo en algún momento en el pasado y nos es ajeno el saber que es ser pionero en ese campo. En el caso de COBIT 5 la generación de profesionales de TI laborando en el período 2012 al 2015, estará exactamente en el tiempo de su inicio. Esto me indica que posiblemente la adopción venga hasta el año 2014 o 2015, como siempre pasa con todo, ya sean estándares, metodologías o tecnologías. Personalmente he tenido la experiencia de empresas que implementaron COBIT 4.1 y tienen la firme convicción de seguir con esa versión hasta que algo importante pase como para ameritar el esfuerzo de un cambio. Como ya he dicho en otros blogs, la concepción de COBIT es muy general y ayuda a brindar orden a la serie de estándares y metodologías de gestión de TI existentes, por lo que su implementación puede verse como un proyecto de varios años, durante los cuales, se implementan las diferentes metodologías elegidas para ayudar a gestionar las TI en la empresa. Lo importante es iniciar, para ir generando el orden en la Gestión Empresarial de TI.
La Clasificación de la Información.
Muchos incidentes de seguridad de la información pasan porque no se tiene idea de lo sensitivo que la información es para la empresa. La Gestión de TI tiene que ser proactiva en definir niveles de sensibilidad de la información y clasificar toda la información que administra. Esta tarea, permite definir riesgos reales, como lo ve la Alta Dirección, a la vez que proporciona el valor real de la información y la justificación para las inversiones en tecnología.
La Gestión de TI debe tener claro en primer lugar que su razón de ser es el negocio. Todos los frameworks y metodologías de gestión de TI, hacen énfasis en que en primer lugar, los procesos de negocios tienen que ser evaluados, para identificar los requerimientos de TI del negocio. Inmediatamente después pasan a centrarse en el modelo de información que soportará las operaciones de negocio. Luego, un elemento importante del modelo de información, es la clasificación de la información. Esta tarea, consiste en identificar cada pieza de información que se administra en la empresa y discutir con el negocio el nivel de acceso, en términos de poder verla, poder modificarla o eliminarla y las áreas internas y externas de la organización que usarán este acceso. Cuando vemos en los organismos de inteligencia de las grandes naciones que utilizan términos como “secreto” o “top secret”, no asumimos ese nivel de confidencialidad en nuestra información, por no poner en riesgo ventajas estratégicas en términos de planes de competitividad entre naciones, que incluso algunas veces son de carácter bélico. Sin embargo, la Gestión de TI tiene que interiorizar que el término “confidencialidad” aplica a todas las organizaciones. Hay que considerar varios aspectos. La Gestión de TI debe estar clara que en el ámbito comercial, prácticamente se libra una guerra todo el tiempo, en la cual, se trata de ganar a nuestra competencia con los mejores precios, los mejores servicios, las mejores ventajas, etc. Por ejemplo, la planificación de una estrategia de mercado, que incluye publicidad, preparación del producto o servicio y toda una actividad de divulgación interna, para asegurarse de que todos los empleados entienden que se le ofrece al cliente, se puede arruinar, si es conocida previamente por la competencia. Esto se puede dar si alguna presentación de entrenamiento o de discusión de la estrategia es sacada del ámbito de la empresa y compartida con alguien externo, ya sea intencionalmente o no. Esto implica, que la Gestión de TI debe de considerar la información, no sólo las bases de datos. Esto es, identificar claramente la información a clasificar, en todas sus posibles formas de uso y crear instrucciones específicas hacia el personal de la organización sobre la clasificación de la información existente y que tiene que ser observada sobre la información en todas sus presentaciones. Algo que aporta mayor relevancia a esta actividad es cuando la empresa administra información de otros, por ejemplo, los clientes, cuya información no debería de ser divulgada por nosotros. Información sensitiva que podría existir en nuestras bases de datos incluye datos personales de identificación de clientes y datos de tarjetas de crédito, que incluso poseen normativa especial para su manipulación (PCI DSS – Payment Card Industry Data Security Standard), con el fin de asegurar que no existan brechas de seguridad que lleven a divulgar esta información. Hay que notar, que si existen estándares, la Gerencia de TI podría exhibir negligencia en no aplicarlos, si son pertinentes para la organización.
La Auditoría del Licenciamiento de Software.
Mantener los equipos de cómputo funcionando de manera óptima requiere no sólo el software correcto, también requiere las oportunas actualizaciones y la utilización completa del software. Los que trabajamos todos los días con software se sistemas y aplicativos, vemos y entendemos que tiene que crecer, adaptarse a la solución de nuevos problemas, mitigar vulnerabilidades y resolver nuevos requerimientos. El software se mantiene en constante crecimiento, no basta con realizar una instalación y esperar que funcione por tiempo indefinido sin que necesite atención.
Las empresas afrontan problemas para mantener el software de manera óptima porque hay una inversión que realizar, la cual muchas veces requiere de aprobaciones que pueden llevar algún tiempo o mantenerse pendientes por más tiempo del correspondiente.
Si hablamos estrictamente de software de terceros, que tiene que ser adquirido a través de licencias, nos referimos al software que es necesario para poder utilizar los computadores y para brindarle seguridad a las operaciones del negocio. La lista de software en esta categoría incluye sistemas operativos, bases de datos, antivirus, procesadores de texto, hojas electrónicas, herramientas de desarrollo y algunas otras utilidades que dependiendo del giro del negocio, podrían ser necesarias para lograr resultados óptimos de la inversión de software. Este tipo de software, es fabricado en versiones. Se dice que es fabricado, porque es un producto de ingeniería de software, aunque muchas veces no se aprecia como tal, debido a la naturaleza relativamente reciente de esta ingeniería. Las versiones de las diferentes categorías mencionadas anteriormente, tienden a tener una relación de dependencia entre sí, para lograr que funcionen entre sí y para evitar crear vulnerabilidades en la infraestructura que pueden llevar a un paro de operaciones del negocio. Normalmente, el negocio tiene que elegir las aplicaciones que necesita para desarrollar sus operaciones y a partir de ahí, adquirir el software del cual dependen las aplicaciones para funcionar bien.
Adicionalmente, de manera más frecuente, los fabricantes de software generan actualizaciones, denominadas “patches”, para resolver errores encontrados en el software o para cerrar vulnerabilidades encontradas. A este respecto, para obtener las actualizaciones muchas veces los fabricantes exigen que se contrate el mantenimiento del software. Este es un pago que normalmente es igual o menor al veinte por ciento del costo del software. Es decir, que a la inversión inicial, se debe de presupuestar un pago periódico de mantenimiento para asegurar el funcionamiento del software. Un error encontrado muy a menudo en las instalaciones de cómputo, es el tener pagadas las actualizaciones y no aplicarlas en los equipos. Los departamentos de TI muchas veces retrasan esta tarea por el tiempo que tienen que utilizar en la realización de pruebas de las nuevas actualizaciones. Es difícil, pero es necesario, porque los contratos de licencia y mantenimiento de los fabricantes de software, no se responsabilizan por fallos en sus productos, trasladando la responsabilidad del uso del mismo al comprador. Esta es una práctica que aunque no nos gusta a los usuarios, es la forma en la que se adquieren estas licencias de uso de software.
Esto nos deja un panorama muy confuso para la Alta Dirección, que tiene que recurrir a las Auditorías de Sistemas para asegurarse de que el software en su empresa está actualizado, de que esta siendo usado de acuerdo con las licencias adquiridas y de que no se están violando derechos de propiedad intelectual en ningún lugar. Muchas veces, como parte de esta revisión incluso se aprenden otras cosas, como encontrar software que no es de la empresa, pero que está instalado en sus equipos, para ser usado por algún empleado que aprovecha los recursos de la empresa para otros fines. Con esto aprendemos que la auditoría del licenciamiento del software puede asegurar el buen uso de la inversión en software en una organización.
BYOD: ¿Será un problema en la Industria Salvadoreña?
BYOD, Bring your own device, es un problema de los países que han experimentado un gran desarrollo en sus servicios de telefonía móvil y que además cuentan con usuarios con poder adquisitivo alto como para adquirir dispositivos móviles de alta gama, que luego pretenden conectar a las redes de datos empresariales, originando un problema de seguridad difícil de manejar si no se toman previsiones para su correcta administración. La duda que surge es si resulta aplicable a la realidad salvadoreña, por no tener aún servicios telefónicos de primer mundo, al menos no a precios razonables, así como por el bajo poder adquisitivo de la población. La respuesta es que este ya es un problema hasta en los colegios, no se diga en los medios empresariales. La capacidad de los dispositivos móviles, aunque no sean de alta gama, así como la proliferación de dispositivos de bajo precio, pero con capacidades de conectividad alta, han logrado que en muchas empresas los empleados ya cuenten con estos dispositivos y los lleven a sus empresas y con o sin permiso de la Gestión de TI los integren a la red de datos. Este panorama pone riesgos en las empresas que podrían no estar preparadas para tratar con estos problemas de seguridad. Mi recomendación es que los Administradores de Red pongan atención detallada a el desempeño de su red, llevando estadísticas de usuarios y dispositivos conectados en todo momento, de tal manera que pueda detectar incrementos en el número de conexiones, para analizar la fuente de las conexiones extras y evaluar su conveniencia o no para el negocio. En algunas empresas, esta tendencia negativa, ha sido aprovechada para el bien del negocio. Por ejemplo, si la fuerza de ventas comienza a adquirir este tipo de dispositivos, ¿Porqué no aprovecharlos para potenciar las ventas? Esto se puede hacer creando estrategias publicitarias apoyadas por medios sociales, a los cuales la fuerza de ventas ya tiene acceso.
Personalmente pienso que prepararse para este nuevo reto de la mejor manera implica comenzar un proceso de diferenciación entre la información y el medio para acceder a ella. Tradicionalmente, se ha accedido a la información a través de computadoras de escritorio, luego fue a través de laptops o mini computadoras. Ahora el medio se esta volviendo más versátil, pudiendo ser una Tablet o un teléfono. Esto proporciona a los que trabajan con la información la capacidad de tener la mayor versatilidad posible, de acuerdo a la situación en la que se encuentre, ya sea en su empresa, en su hogar, en un aeropuerto, un hotel, viajando, etc. Por esta razón, un enfoque basado en la Administración de la Información pondría la información en un lugar accesible a todos estos medios, pero con la seguridad necesaria para que sea utilizada sólo por los usuarios autorizados, independientemente del dispositivo que se use para llegar a ella. Cuando uno piensa en la cantidad de sistemas cliente servidor aún funcionando o en los sistemas web que no han sido diseñados para desplegarse en varios dispositivos, podemos concluir que pasar a la modalidad de Administrar la Información independiente del dispositivo es un camino que requiere la atención de la Gestión de TI, para estar preparados para manejar efectivamente el uso de dispositivos móviles de comunicación en las empresas e incorporar una política efectiva de BYOD.
La Detección de Incidentes de Seguridad.
Sin importar el tamaño de la organización, la Gestión de TI debe de aprender a identificar, documentar, manejar, remediar y cerrar incidentes de seguridad. La imagen que más se viene a la memoria cuando hablamos de hoyos en la seguridad, es la de un recipiente con agua, que tiene varios agujeros, por los cuales el agua, nuestra información, se está saliendo. En el caso de la seguridad de la información, lo agravante es que la Gestión de TI podría no saber de la existencia de estos agujeros o de cuantos son. A través de incidentes de seguridad se pueden causar todo tipo de daños y crearse la causa raíz de múltiples problemas que afecten la disponibilidad, en primer lugar, así como la integridad y la confidencialidad de nuestra información.
Lo primero que tenemos que tener conciencia es que cuando iniciamos operaciones con cualquier sistema e infraestructura tecnológica, sin importar lo planificado y detallado del proceso de implementación, estamos iniciando un proceso de mantenimiento continuo, que si se hace efectivamente, debe de ser más proactivo que reactivo. Por lo tanto, en el momento que se inician las operaciones, deben de iniciar los procesos de monitoreo de las variables que más nos interesa controlar. La seguridad es definitivamente una de estas variables. La tendencia tradicional es el monitorear variables relacionadas con el desempeño. Esto tiene su causa en que cuando el desempeño baja y los usuarios lo notan, estos se encargan de que el departamento de TI conozca de las dificultades. Por esta razón, el comportamiento normal, dentro de las operaciones de TI será siempre asignar más recursos y hacer más énfasis en mantener las operaciones funcionando a un nivel de desempeño aceptable. Sin embargo, al iniciar operaciones, también se empezará a atraer a todas las amenazas a la seguridad de la información existentes. Hace algunos años, los virus por ejemplo, causaban estragos en los computadores, buscando especialmente inutilizar servidores de una manera sistemática. Debo decir que este tipo de incidentes, aunque se evaluaba como catastrófico, eran superables con una muy buena política de respaldos y el mantenimiento de imágenes de los servidores más críticos, que permitieran un restablecimiento en un tiempo razonable. En algún momento, el proceso de reinstalar servidores llego a ser rutinario para la Gestión de TI. Hoy día, la Gestión de TI se enfrenta a amenazas más sofisticadas, de hackers que no están pensando solo en dañar nuestra infraestructura, o extraer información, sino que evalúan que se puede explotar de nuestra información y en caso de no existir nada “de valor” para ellos, secuestran sigilosamente nuestros equipos para usarlos de base en el lanzamiento de ataques hacia otros lugares. Esto último podría hacer ver nuestro negocio como “el hacker” que está atacando a otros objetivos.
Es de suma importancia que la Gestión de TI, a la vez que mantiene un desempeño aceptable de las aplicaciones y la infraestructura, mantenga un registro de los eventos que pueden relacionarse con la seguridad y define un espacio de atención hacia aquellos que muestran repetitividad o han atacado la infraestructura más crítica. Aunque esta labor es parte de las responsabilidades de un Oficial de Seguridad (ISO – Information Security Officer), como ya es conocido que en los medios salvadoreños y centroamericanos no todas las empresas han definido aún esta plaza, es recomendable que estas asignen responsabilidades específicas sobre la seguridad de la información y el registro y seguimiento de incidentes. Lo importante es que aunque no se esté trabajando el tema integralmente, generando políticas y monitoreando cumplimiento e incidentes, si se tenga la información correspondiente a eventos que afecten la seguridad y de una manera periódica se le preste atención al tema, con el objetivo de mantener el estado “seguro” de la información. Esta labor podría ser abordada por un equipo que evalué los diferentes aspectos de cada incidente y cree las recomendaciones para lograr evitar que el mismo incidente se repita y aun mejor, prevenir que los incidentes de seguridad ocurran.
Cuando la Seguridad de la Información Falla . . .
La Gerencia de TI siempre se esfuerza por poner en producción sus soluciones. Una mirada a las implicaciones de seguridad de la información lleva a cambiar este objetivo a poner en producción de “forma segura” sus soluciones. Una pequeña investigación sobre casos de violación a la seguridad informática puede poner a reflexionar a la Gerencia de TI sobre la importancia de garantizar que no existen “vulnerabilidades descubiertas” en la infraestructura de TI, que permitan a otros tomar control sobre una parte o todas nuestras operaciones. Dejando los casos extremos en los cuales un hacker toma control sobre los servidores de una empresa, hay muchos puntos de falla que tienen que ser evaluados por la Gestión de TI para poder decir que se controla la seguridad de la información. Hay que analizar el nivel de control de la seguridad de la información a la luz de los criterios de confidencialidad, integridad y disponibilidad. Proporcionar confidencialidad implica que la información puede ser vista solo por el personal debidamente autorizado. Muchas veces se viola este concepto cuando a nivel de la aplicación se inician operaciones utilizando usuarios genéricos, que permiten ingresar y “probar” el funcionamiento de la aplicación. Este usuario a veces es el utilizado en planes de entrenamiento que ha sido prorrogado al ambiente de producción. Como resultado existen usuarios que pueden ver más allá de lo que deberían en una aplicación. El máximo error en este tipo de situaciones se da cuando se usan usuarios con privilegios de administración de la plataforma “para mientras” se termina de configurar la aplicación. En general, este es un principio que se viola más por negligencia en la correcta configuración de permisos, que por intrusiones externas, aunque esta es también una posibilidad que se debe de evitar. Proporcionar integridad significa que los datos no sufrirán cambios que los pongan en un estado incongruente. Esto se genera cuando una aplicación no calcula bien algo o cuando se pierden datos por causas físicas, como las sobrecargas de voltaje y el daño en el equipo. En esta área, la importancia de iniciar el programa de respaldos de datos tan pronto se inicia la operación en producción es crucial. En muchas implementaciones de sistemas los respaldos regulares inician después de la primera pérdida de datos. Es como si se necesitará una experiencia negativa para reforzar la conducta protectora sobre los datos. Implicaciones relativas a los respaldos de datos van más allá que la simple tarea de realizarlos. También se han dado casos en los que se quiere recuperar un respaldo y nos damos cuenta de que este no funciona. En este caso, se tenía una falsa seguridad sobre los datos. Por último, el criterio de disponibilidad se compromete cuando por cualquier causa, el acceso a los datos queda bloqueado a los usuarios. Esta situación se genera cuando los equipos pierden su habilidad de transmitir información debido a virus o ataques de negación de servicio o negligencia en las operaciones que llevan a parar servicios. En este sentido, podemos concluir que hasta el mantenimiento preventivo pasa a ser parte de la seguridad de la información, el correcto dimensionamiento de equipos y el monitoreo proactivo de situaciones que puedan originar una interrupción de los servicios de sistemas de información. La Gerencia de TI debe de balancear los requerimientos operativos con los de seguridad. Ciertamente los usuarios no impondrán mayores requerimientos de seguridad en su información, por lo que la Gerencia de TI debe de establecer un marco normativo que controle todos los aspectos de la seguridad de la información de una manera integral.
Gestión y Auditoría de TI 