Archivo del Autor: Luis Cruz

Las certificaciones de COBIT 5 están en pleno desarrollo.

Estamos en Noviembre de 2012, mes en el cual la APMG está lanzando el programa de certificación de COBIT 5 Foundations. A partir de este mes, los profesionales que estén interesados en profundizar en COBIT 5 podrán optar a iniciar la preparación para tomar la certificación en los diferentes niveles. Según ha publicado APMG en su sitio web (http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx), el esquema de certificación de COBIT 5 tiene los niveles de Fundamentos (Foundations), Implementador y Evaluador. Adicionalmente, existe un curso de Introducción a COBIT 5, que ha sido impartido en las principales ciudades de todo el mundo, desde el lanzamiento de COBIT 5 en el mes de abril de 2012. Como Consultor en Gestión de TI, me interesan todos los niveles, pero mi recomendación para los profesionales de TI es que evalúen su desarrollo profesional y cargo actual, así como las perspectivas de su carrera profesional, para identificar que nivel de certificación que más les conviene.

Es importante conocer que COBIT es un marco de referencia ineludible para los que trabajan en el área de Soporte al Negocio a través de las Tecnologías de Información. Esto es cierto para todos los niveles. Aunque un profesional de TI no esté a nivel directivo y no participe en el diseño del servicio al negocio, siempre es importante que identifique que parte del servicio de TI es su responsabilidad, entienda en qué contexto está operando, cuales son los objetivos y las reglas de medición por la que se está evaluando y como impacta en los objetivos organizacionales. Posiblemente para profesionales de TI que laboran a nivel operativo, lo más recomendable sea el curso de Introducción a COBIT 5, para identificar todos los componentes de COBIT y estar atento a colaborar con su implementación en la organización. El curso de introducción, incluso esta recomendado para personas que no son profesionales de TI, pero coordinan las Tecnologías de la Información a un alto nivel, tales como Gerentes Generales, CEO, Presidentes, miembros de juntas directivas, auditores de sistemas y personal de auditoría interna. Es decir, todo el personal que gobierna y controla las Tecnologías de la Información en la empresa.

Muchas veces, cuando escuchamos sobre estándares y metodologías, siempre lo vemos como una decisión que alguien tomo en algún momento en el pasado y nos es ajeno el saber que es ser pionero en ese campo. En el caso de COBIT 5 la generación de profesionales de TI laborando en el período 2012 al 2015, estará exactamente en el tiempo de su inicio. Esto me indica que posiblemente la adopción venga hasta el año 2014 o 2015, como siempre pasa con todo, ya sean estándares, metodologías o tecnologías. Personalmente he tenido la experiencia de empresas que implementaron COBIT 4.1 y tienen la firme convicción de seguir con esa versión hasta que algo importante pase como para ameritar el esfuerzo de un cambio. Como ya he dicho en otros blogs, la concepción de COBIT es muy general y ayuda a brindar orden a la serie de estándares y metodologías de gestión de TI existentes, por lo que su implementación puede verse como un proyecto de varios años, durante los cuales, se implementan las diferentes metodologías elegidas para ayudar a gestionar las TI en la empresa. Lo importante es iniciar, para ir generando el orden en la Gestión Empresarial de TI.

La Clasificación de la Información.

Muchos incidentes de seguridad de la información pasan porque no se tiene idea de lo sensitivo que la información es para la empresa. La Gestión de TI tiene que ser proactiva en definir niveles de sensibilidad de la información y clasificar toda la información que administra. Esta tarea, permite definir riesgos reales, como lo ve la Alta Dirección, a la vez que proporciona el valor real de la información y la justificación para las inversiones en tecnología.

La Gestión de TI debe tener claro en primer lugar que su razón de ser es el negocio. Todos los frameworks y metodologías de gestión de TI, hacen énfasis en que en primer lugar, los procesos de negocios tienen que ser evaluados, para identificar los requerimientos de TI del negocio. Inmediatamente después pasan a centrarse en el modelo de información que soportará las operaciones de negocio. Luego, un elemento importante del modelo de información, es la clasificación de la información. Esta tarea, consiste en identificar cada pieza de información que se administra en la empresa y discutir con el negocio el nivel de acceso, en términos de poder verla, poder modificarla o eliminarla y las áreas internas y externas de la organización que usarán este acceso. Cuando vemos en los organismos de inteligencia de las grandes naciones que utilizan términos como “secreto” o “top secret”, no asumimos ese nivel de confidencialidad en nuestra información, por no poner en riesgo ventajas estratégicas en términos de planes de competitividad entre naciones, que incluso algunas veces son de carácter bélico. Sin embargo, la Gestión de TI tiene que interiorizar que el término “confidencialidad” aplica a todas las organizaciones. Hay que considerar varios aspectos. La Gestión de TI debe estar clara que en el ámbito comercial, prácticamente se libra una guerra todo el tiempo, en la cual, se trata de ganar a nuestra competencia con los mejores precios, los mejores servicios, las mejores ventajas, etc. Por ejemplo, la planificación de una estrategia de mercado, que incluye publicidad, preparación del producto o servicio y toda una actividad de divulgación interna, para asegurarse de que todos los empleados entienden que se le ofrece al cliente, se puede arruinar, si es conocida previamente por la competencia. Esto se puede dar si alguna presentación de entrenamiento o de discusión de la estrategia es sacada del ámbito de la empresa y compartida con alguien externo, ya sea intencionalmente o no. Esto implica, que la Gestión de TI debe de considerar la información, no sólo las bases de datos. Esto es, identificar claramente la información a clasificar, en todas sus posibles formas de uso y crear instrucciones específicas hacia el personal de la organización sobre la clasificación de la información existente y que tiene que ser observada sobre la información en todas sus presentaciones. Algo que aporta mayor relevancia a esta actividad es cuando la empresa administra información de otros, por ejemplo, los clientes, cuya información no debería de ser divulgada por nosotros. Información sensitiva que podría existir en nuestras bases de datos incluye datos personales de identificación de clientes y datos de tarjetas de crédito, que incluso poseen normativa especial para su manipulación (PCI DSS – Payment Card Industry Data Security Standard), con el fin de asegurar que no existan brechas de seguridad que lleven a divulgar esta información. Hay que notar, que si existen estándares, la Gerencia de TI podría exhibir negligencia en no aplicarlos, si son pertinentes para la organización.

Los Principales Indicadores de TI.

Una de las principales preocupaciones de todos en el ambiente laboral es el obtener retroalimentación sobre nuestro desempeño. La Gestión de TI recibe retroalimentaciones de muchos tipos, debido a que tiene la característica de apoyar todas las áreas de la organización. Si somos sinceros, en la mayoría de los casos, las evaluaciones del desempeño de TI van desde el “bien” o “razonable”, hacia abajo. Son excepcionales los casos en que la Gestión de TI logra “excepcional” o “excelentemente bien” en una evaluación. Esto tiene su raíz en el servicio mismo que la Gestión de TI entrega a la organización. Pero también en la Gestión de TI propiamente dicha, que tiene que hacer un “mea culpa” y comenzar a Gobernar las TI.

La Gerencia de TI debe de poner atención a indicadores básicos que le permitan mantener el nivel de servicio que el negocio necesita. Pensemos un poco en el significado de la frase anterior. En la mayoría de las veces, las necesidades del negocio no han sido debidamente investigadas por la Gestión de TI. Esto ha pasado cuando implementamos una solución sin levantar un buen documento de requerimientos, cuando se adquieren equipos sin realizar una evaluación detallada de los requerimientos del negocio y cuando la Gestión de TI no es proactiva en investigar soluciones de TI que ya están siendo utilizadas por la competencia. Entonces, un indicador básico es: El número de objetivos de negocios que TI apoya de manera directa. De acuerdo al tamaño de la empresa, podrían crearse indicadores más específicos por monto de negocios, por canal de venta, por área operativa o por criticidad para el aseguramiento del ingreso o la imagen institucional. A partir de este indicador y su contenido, porque es importante en la Gestión de TI tener presente no sólo el número de objetivos de negocio sino también como se definen, se pueden identificar indicadores críticos que se relacionen con el nivel de soporte requerido en cada caso. Por ejemplo, si un objetivo de negocio implica la implementación de nuevos canales de venta que utilicen la tecnología de la información, debe de crearse los indicadores que medirán el nivel de soporte que se le dará a este objetivo. Si los objetivos son acompañados de metas, discutidas ampliamente con la Alta Dirección, se crearán medidas objetivas para evaluar la gestión de TI. Lo importante de tener metas cuantitativas relacionadas con los objetivos de negocio radica en que para soportar estos “indicadores primarios”, la Gestión de TI podrá generar los “indicadores secundarios” que sean necesarios para garantizar el cumplimiento de los primeros. Esto es importante, porque cuando la Gestión de TI decide implementar metodologías de gestión como COBIT o ITIL, se encuentra con una gran cantidad de procesos y funciones a implementar y la decisión de cuáles implementar resulta difícil. Teniendo indicadores primarios, se deben de elegir los procesos y funciones en base al nivel de contribución que estos tendrán en los indicadores primarios. Una práctica apropiada para seleccionar los procesos a implementar de una metodología o marco de referencia, es realizar la revisión de todos los procesos o funciones que presentan, asignándoles una prioridad de implementación inmediata, que podría ir de 2 a 6 meses, de mediano plazo, que podría ir de 6 meses a un año y de largo plazo, que seria de 1 a 2 años. Una Gerencia de TI no tiene excusas para que pasados dos años, siga sin tener control sobre todos los procesos de Gestión de TI. Se trata de enfocarse y luego iniciar el proceso de implementación, que va desde la preparación, este proceso podría realizarse en 6 meses a un año, para luego implementar progresivamente los diferentes procesos de Gestión de TI. Hay que tener en cuenta que lo importante es implementar el total de procesos que son necesarios para un negocio, no todos los procesos de la metodología.

La Auditoría del Licenciamiento de Software.

Mantener los equipos de cómputo funcionando de manera óptima requiere no sólo el software correcto, también requiere las oportunas actualizaciones y la utilización completa del software. Los que trabajamos todos los días con software se sistemas y aplicativos, vemos y entendemos que tiene que crecer, adaptarse a la solución de nuevos problemas, mitigar vulnerabilidades y resolver nuevos requerimientos. El software se mantiene en constante crecimiento, no basta con realizar una instalación y esperar que funcione por tiempo indefinido sin que necesite atención.

Las empresas afrontan problemas para mantener el software de manera óptima porque hay una inversión que realizar, la cual muchas veces requiere de aprobaciones que pueden llevar algún tiempo o mantenerse pendientes por más tiempo del correspondiente.

Si hablamos estrictamente de software de terceros, que tiene que ser adquirido a través de licencias, nos referimos al software que es necesario para poder utilizar los computadores y para brindarle seguridad a las operaciones del negocio. La lista de software en esta categoría incluye sistemas operativos, bases de datos, antivirus, procesadores de texto, hojas electrónicas,  herramientas de desarrollo y algunas otras utilidades que dependiendo del giro del negocio, podrían ser necesarias para lograr resultados óptimos de la inversión de software.  Este tipo de software, es fabricado en versiones. Se dice que es fabricado, porque es un producto de ingeniería de software, aunque muchas veces no se aprecia como tal, debido a la naturaleza relativamente reciente de esta ingeniería.  Las versiones de las diferentes categorías mencionadas anteriormente, tienden a tener una relación de dependencia entre sí, para lograr que funcionen entre sí y para evitar crear vulnerabilidades en la infraestructura que pueden llevar a un paro de operaciones del negocio. Normalmente, el negocio tiene que elegir las aplicaciones que  necesita para desarrollar sus operaciones y a partir de ahí, adquirir el software del cual dependen las aplicaciones para funcionar bien.

Adicionalmente, de manera más frecuente, los fabricantes de software generan actualizaciones, denominadas “patches”, para resolver errores encontrados en el software o para cerrar vulnerabilidades encontradas. A este respecto, para obtener las actualizaciones muchas veces los fabricantes exigen que se contrate el mantenimiento del software. Este es un pago que normalmente es igual o menor al veinte por ciento del costo del software. Es decir, que a la inversión inicial, se debe de presupuestar un pago periódico de mantenimiento para asegurar  el funcionamiento del software. Un error encontrado muy a menudo en las instalaciones de cómputo, es el tener pagadas las actualizaciones y no aplicarlas en los equipos. Los departamentos de TI muchas veces retrasan esta tarea por el tiempo que tienen que utilizar en la realización de pruebas de las nuevas actualizaciones. Es difícil, pero es necesario, porque los contratos de licencia y mantenimiento de los fabricantes de software, no se responsabilizan por fallos en sus productos, trasladando la responsabilidad del uso del mismo al comprador. Esta es una práctica que aunque  no nos gusta a los usuarios, es la forma en la que se adquieren estas licencias de uso de software.

Esto nos deja un panorama muy confuso para la Alta Dirección, que tiene que recurrir a las Auditorías de Sistemas para asegurarse de que el software en su empresa está actualizado, de que esta siendo usado de acuerdo con las licencias adquiridas y de que no se están violando derechos de propiedad intelectual en ningún lugar. Muchas veces, como parte de esta revisión incluso se aprenden otras cosas, como encontrar software que no es de la empresa, pero que está instalado en sus equipos, para ser usado por algún empleado que aprovecha los recursos de la empresa para otros fines. Con esto aprendemos que la auditoría del licenciamiento del software puede asegurar el buen uso de la inversión en software en una organización.

BYOD: ¿Será un problema en la Industria Salvadoreña?

BYOD, Bring your own device, es un problema de los países que han experimentado un gran desarrollo en sus servicios de telefonía móvil y que además cuentan con usuarios con poder adquisitivo alto como para adquirir dispositivos móviles de alta gama, que luego pretenden conectar a las redes de datos empresariales, originando un problema de seguridad difícil de manejar si no se toman previsiones para su correcta administración. La duda que surge es si resulta aplicable  a la realidad salvadoreña, por no tener aún servicios telefónicos de primer mundo, al menos no a precios razonables, así como por el bajo poder adquisitivo de la población. La respuesta es que este ya es un problema hasta en los colegios, no se diga en los medios empresariales. La capacidad de los dispositivos móviles, aunque no sean de alta gama, así como la proliferación de dispositivos de bajo precio, pero con capacidades de conectividad alta, han logrado que en muchas empresas los empleados ya cuenten con estos dispositivos y los lleven a sus empresas y con o sin permiso de la Gestión de TI los integren a la red de datos. Este panorama pone riesgos en las empresas que podrían no estar preparadas para tratar con estos problemas de seguridad. Mi recomendación es que los Administradores de Red pongan atención detallada a el desempeño de su red, llevando estadísticas de usuarios  y dispositivos conectados en todo momento, de tal manera que pueda detectar incrementos en el número de conexiones, para analizar la fuente de las conexiones extras y evaluar su conveniencia o no para el negocio. En algunas empresas, esta tendencia negativa, ha sido aprovechada para el bien del negocio. Por ejemplo, si la fuerza de ventas comienza a adquirir este tipo de dispositivos, ¿Porqué no aprovecharlos para potenciar las ventas? Esto se puede hacer creando estrategias publicitarias apoyadas por medios sociales, a los cuales la fuerza de ventas ya tiene acceso.

Personalmente pienso que prepararse para este nuevo reto de la mejor manera implica comenzar un proceso de diferenciación entre la información y el medio para acceder a ella. Tradicionalmente, se ha accedido a la información a través de computadoras de escritorio, luego fue a través de laptops o mini computadoras. Ahora el medio se esta volviendo más versátil, pudiendo ser una Tablet o un teléfono. Esto proporciona a los que trabajan con la información la capacidad de tener la mayor versatilidad posible, de acuerdo a la situación en la que se encuentre, ya sea en su empresa, en su hogar, en un aeropuerto, un hotel, viajando, etc. Por esta razón, un enfoque basado en la Administración de la Información pondría la información en un lugar accesible a todos estos medios, pero con la seguridad necesaria para que sea utilizada sólo por los usuarios autorizados, independientemente del dispositivo que se use para llegar a ella. Cuando uno piensa en la cantidad de sistemas cliente servidor aún funcionando o en los sistemas web que no han sido diseñados para desplegarse en varios dispositivos, podemos concluir que pasar a la modalidad de Administrar la Información independiente del dispositivo es un camino que requiere la atención de la Gestión de TI, para estar preparados para manejar efectivamente el uso de dispositivos móviles de comunicación en las empresas e incorporar una política efectiva de BYOD.

La Detección de Incidentes de Seguridad.

Sin importar el tamaño de la organización, la Gestión de TI debe de aprender a identificar, documentar, manejar, remediar y cerrar incidentes de seguridad. La imagen que más se viene a la memoria cuando hablamos de hoyos en la seguridad, es la de un recipiente con agua, que tiene varios agujeros, por los cuales el agua, nuestra información, se está saliendo. En el caso de la seguridad de la información, lo agravante es que la Gestión de TI podría no saber de la existencia de estos agujeros o de cuantos son. A través de incidentes de seguridad se pueden causar todo tipo de daños y crearse la causa raíz de múltiples problemas que afecten la disponibilidad, en primer lugar, así como la integridad y la confidencialidad de nuestra información.

Lo primero que tenemos que tener conciencia es que cuando iniciamos operaciones con cualquier sistema e infraestructura tecnológica, sin importar lo planificado y detallado del proceso de implementación, estamos iniciando un proceso de mantenimiento continuo, que si se hace efectivamente, debe de ser más proactivo que reactivo. Por lo tanto, en el momento que se inician las operaciones, deben de iniciar los procesos de monitoreo de las variables que más nos interesa controlar. La seguridad es definitivamente una de estas variables. La tendencia tradicional es el monitorear variables relacionadas con el desempeño. Esto tiene su causa en que cuando el desempeño baja y los usuarios lo notan, estos se encargan de que el departamento de TI conozca de las dificultades. Por esta razón, el comportamiento normal, dentro de las operaciones de TI será siempre asignar más recursos y hacer más énfasis en mantener las operaciones funcionando a un nivel de desempeño aceptable. Sin embargo, al iniciar operaciones, también se empezará a atraer a todas las amenazas a la seguridad de la información existentes. Hace algunos años, los virus por ejemplo, causaban estragos en los computadores, buscando especialmente inutilizar servidores de una manera sistemática. Debo decir que este tipo de incidentes, aunque se evaluaba como catastrófico, eran superables con una muy buena política de respaldos y el mantenimiento de imágenes de los servidores más críticos, que permitieran un restablecimiento en un tiempo razonable. En algún momento, el proceso de reinstalar servidores llego a ser rutinario para la Gestión de TI. Hoy día, la Gestión de TI se enfrenta a amenazas más sofisticadas, de hackers que no están pensando solo en dañar nuestra infraestructura, o extraer información, sino que evalúan que se puede explotar de nuestra información y en caso de no existir nada “de valor” para ellos, secuestran sigilosamente nuestros equipos para usarlos de base en el lanzamiento de ataques hacia otros lugares. Esto último podría hacer ver nuestro negocio como “el hacker” que está atacando a otros objetivos.

Es de suma importancia que la Gestión de TI, a la vez que mantiene un desempeño aceptable de las aplicaciones y la infraestructura, mantenga un registro de los eventos que pueden relacionarse con la seguridad y define un espacio de atención hacia aquellos que muestran repetitividad o han atacado la infraestructura más crítica. Aunque esta labor es parte de las responsabilidades de un Oficial de Seguridad (ISO – Information Security Officer), como ya es conocido que en los medios salvadoreños y centroamericanos no todas las empresas han definido aún esta plaza, es recomendable que estas asignen responsabilidades específicas sobre la seguridad de la información y el registro y seguimiento de incidentes. Lo importante es que aunque no se esté trabajando el tema integralmente, generando políticas y monitoreando cumplimiento e incidentes, si se tenga la información correspondiente a eventos que afecten la seguridad y de una manera periódica se le preste atención al tema, con el objetivo de mantener el estado “seguro” de la información. Esta labor podría ser abordada por un equipo que evalué los diferentes aspectos de cada incidente y cree las recomendaciones para lograr evitar que el mismo incidente se repita y aun mejor, prevenir que los incidentes de seguridad ocurran.

Cuando la Seguridad de la Información Falla . . .

La Gerencia de TI siempre se esfuerza por poner en producción sus soluciones. Una mirada a las implicaciones de seguridad de la información lleva a cambiar este objetivo a poner en producción de “forma segura” sus soluciones. Una pequeña investigación sobre casos de violación a la seguridad informática puede poner a reflexionar a la Gerencia de TI sobre la importancia de garantizar que no existen “vulnerabilidades descubiertas” en la infraestructura de TI, que permitan a otros tomar control sobre una parte o todas nuestras operaciones. Dejando los casos extremos en los cuales un hacker toma control sobre los servidores de una empresa, hay muchos puntos de falla que tienen que ser evaluados por la Gestión de TI para poder decir que se controla la seguridad de la información. Hay que analizar el nivel de control de la seguridad de la información a la luz de los criterios de confidencialidad, integridad y disponibilidad. Proporcionar confidencialidad implica que la información puede ser vista solo por el personal debidamente autorizado. Muchas veces se viola este concepto cuando a nivel de la aplicación se inician operaciones utilizando usuarios genéricos, que permiten ingresar y “probar” el funcionamiento de la aplicación. Este usuario a veces es el utilizado en planes de entrenamiento que ha sido prorrogado al ambiente de producción. Como resultado existen usuarios que pueden ver más allá de lo que deberían en una aplicación. El máximo error en este tipo de situaciones se da cuando se usan usuarios con privilegios de administración de la plataforma “para mientras” se termina de configurar la aplicación. En general, este es un principio que se viola más por negligencia en la correcta configuración de permisos, que por intrusiones externas, aunque esta es también una posibilidad que se debe de evitar. Proporcionar integridad significa que los datos no sufrirán cambios que los pongan en un estado incongruente. Esto se genera cuando una aplicación no calcula bien algo o cuando se pierden datos por causas físicas, como las sobrecargas de voltaje y el daño en el equipo. En esta área, la importancia de iniciar el programa de respaldos de datos tan pronto se inicia la operación en producción es crucial. En muchas implementaciones de sistemas los respaldos regulares inician después de la primera pérdida de datos. Es como si se necesitará una experiencia negativa para reforzar la conducta protectora sobre los datos. Implicaciones relativas a los respaldos de datos van más allá que la simple tarea de realizarlos. También se han dado casos en los que se quiere recuperar un respaldo y nos damos cuenta de que este no funciona. En este caso, se tenía una falsa seguridad sobre los datos. Por último, el criterio de disponibilidad se compromete cuando por cualquier causa, el acceso a los datos queda bloqueado a los usuarios. Esta situación se genera cuando los equipos pierden su habilidad de transmitir información debido a virus o ataques de negación de servicio o negligencia en las operaciones que llevan a parar servicios. En este sentido, podemos concluir que hasta el mantenimiento preventivo pasa a ser parte de la seguridad de la información, el correcto dimensionamiento de equipos y el monitoreo proactivo de situaciones que puedan originar una interrupción de los servicios de sistemas de información. La Gerencia de TI debe de balancear los requerimientos operativos con los de seguridad. Ciertamente los usuarios no impondrán mayores requerimientos de seguridad en su información, por lo que la Gerencia de TI debe de establecer un marco normativo que controle todos los aspectos de la seguridad de la información de una manera integral.

Auditando la Segregación de Funciones en los Sistemas.

Este tópico resulta sumamente interesante en las empresas con muchos empleados. En primer lugar, nunca se encuentra un diseño de la segregación de funciones que debía implementar el sistema. Luego, nadie revisa si se están creando faltas a la segregación de funciones. Por último, hasta los auditores tienen problemas para identificar el tamaño del problema de segregación de funciones existentes. Lo que normalmente ocurre, es que producto de una investigación o hallazgo se deduce que un usuario tenía privilegios que impactaban en el criterio de segregación de funciones, pero no se pasa a investigar si había más usuarios en la misma situación, con las mismas transacciones o con otras.

La segregación de funciones es una característica de control interno que busca no permitir que un usuario pueda iniciar, procesar, finalizar y hasta eliminar sus acciones, sin la necesidad de que un segundo o tercero intervengan a manera de control. Por ejemplo, el proceso de adquisición de bienes debería de segregar las funciones siguientes: la requisición o solicitud, la recepción de bienes y la autorización del pago del bien. Si permitimos que estas actividades sean desarrolladas por una misma persona, esta podría autorizar pagos, para bienes que no se han recibido o ni siquiera solicitado, montando un esquema de fraude para la empresa. Este tipo de casos, por la misma naturaleza humana, pasan en todas las organizaciones, grandes o pequeñas, llevando a vacíos de control. Por supuesto, el problema se aborda de manera diferente de acuerdo al tamaño de la organización. Estas funciones podrían no estar separadas en una empresa pequeña, pero precisamente por la característica de ser pequeña, es fácil para los propietarios, realizar una revisión total de todas las operaciones e identificar si se ha cometido algún tipo de error. En organizaciones grandes, la segregación de funciones es un poco más difícil de implementar, pero más necesaria. No solo problemas de fraude se pueden dar por falta de una adecuada segregación de funciones. Por ejemplo, producto de la gran cantidad de transacciones realizadas por la misma persona se puede dar el cruce de pagos, procesando el pago de una factura similar, tal vez del mismo proveedor y con productos similares, en lugar de otra. Con esto concluimos, que también hay situaciones de control interno que requieren de la Segregación de Funciones como mecanismo de control.

Es importante, al momento de auditar la Segregación de Funciones, identificar el nivel de segregación de funciones que se ha diseñado, para conocer si la administración esta conscientemente organizando este control. La mejor evidencia, es la matriz de segregación de funciones, que establece “a priori” las operaciones que no se permite sean realizadas por la misma persona. Establecida esta fuente de información, se procede a verificar que efectivamente se está cumpliendo con el diseño de segregación de funciones objetivo. Si la organización es grande, se tendrá que pasar toda la información a una base de datos, en la cual se buscarán personas que cumplan con el criterio de tener privilegios para las operaciones excluyentes. En estos casos, la principal labor del auditor es la identificación de las fuentes de información para crear la base de datos. Este tipo de labores hace de la tarea de auditar sistemas una actividad retadora, debido a que no siempre la información está disponible de la mejor manera para ser procesada. Si el sistema utilizado no asigna privilegios a nivel de transacciones, probablemente habrá que crear la base de datos a partir de los históricos que indiquen quién hizo cada transacción, es decir, el usuario que hizo las solicitudes de bienes, el usuario que hizo las recepciones y el usuario que autorizó los pagos. Al menos este mínimo de pistas de auditoría debe de existir en el sistema de una organización grande, para tener recursos para realizar el análisis. Definitivamente, esto exige gran creatividad de parte de quién audita los sistemas.

Auditando la Seguridad Física de TI

Las operaciones de Tecnología de la Información muchas veces se limitan a implementar sistemas de información e instalar el equipo informático necesario, descuidando aspectos importantes de la seguridad de la información. Especialmente los aspectos físicos de la seguridad son descuidados, en términos de diseño, mantenimiento y actualización. La seguridad física comprende aspectos como el cuidado de que sólo personal autorizado tenga acceso físico a los equipos sensitivos, la disposición ordenada del equipo, el ordenamiento y separación del cableado eléctrico y de datos, las condiciones de medioambiente, como humedad, temperatura y protección de luz solar y polvo, la disposición adecuada de los espacios de trabajo, tanto en centros de datos como áreas de trabajo y  la protección eléctrica no solo de equipos, sino también de personas. Es decir, la gestión de TI debe de considerar que las operaciones se desarrollan en ambientes físicos, que deben de ser acondicionados para lograr los objetivos de negocios, sin descuidar que fallas relacionadas con la seguridad física comprometan la disponibilidad, integridad y confidencialidad de la información.

Al realizar revisiones de seguridad física se logra detectar aquellos aspectos que presentan riesgos a la seguridad de la información debido a la mala operación de los aspectos mencionados anteriormente. Por experiencia, al realizar la primera evaluación es cuando más elementos relacionados con aspectos físicos de la seguridad se detectan. Por ejemplo, si la ubicación del centro de datos no ha sido bien seleccionada, presentando riesgos físicos, se definirían recomendaciones para mitigar los riesgos identificados. Solo la ubicación del centro de datos puede dar lugar a identificar una serie de riesgos relacionados con la seguridad física, porque en muchas organizaciones, la distribución física de espacios no obedece a evaluaciones técnicas, sino más bien a consideraciones estéticas o a consideraciones de lo que es “justo” para un Gerente General asignarle a las Tecnologías de la Información. Este punto incluso tiene una ley. La ley de Putt. Archibald Putt definió el siguiente enunciado: “La Tecnología esta gobernada por dos tipos de gente: aquellos que entienden lo que no dirigen y aquellos que dirigen lo que no entienden”. Este enunciado, explica porque al realizar una auditoría de la seguridad física encontramos hallazgos como: centros de datos con acceso físico no controlado, con construcciones no seguras, a veces, incluso compartiendo espacio físico con otras áreas, con  capacidad eléctrica inadecuada y sin la protección eléctrica adecuada. Son precisamente las decisiones “no técnicas” sobre los aspectos físicos de la seguridad las que son mayormente identificadas al realizar auditorías. Recuerdo de un lugar en el que se estableció un centro de datos en un lugar que tenia cañerías plásticas de agua descubiertas. El riesgo de dañar información y causar daños a personas por cortocircuitos eléctricos en el caso de romperse una cañería era alto.

La lista de puntos a auditar cuando hablamos de seguridad física es grande. Crece aún más cuanto más crece la operación que se audita. Va desde aspectos como tener la capacidad de restringir accesos físicos con cerraduras hasta evaluar la capacidad de absorber descargas atmosféricas. Definitivamente una amplia gama de aspectos que podrían llevarnos a perder información y fallar en los objetivos de seguridad de la información y la continuidad de las operaciones del negocio.

Auditando el Cumplimiento Regulatorio

El cumplimiento de las regulaciones impuestas por organismos controladores es una tarea que resulta difícil de implementar en las organizaciones salvadoreñas y centroamericanas. Independientemente de las buenas intenciones que tenga la Gerencia de TI en implementar todas las normas, el acompañamiento del Auditor de Sistemas ayuda a verificar el total cumplimiento, así como la mejora en términos de eficiencia y efectividad.

Siempre he pensado que las organizaciones no deberían de esperar que existan regulaciones para trabajar en la mejora de la gestión de TI, debería de ser la forma de operar “de facto” para todos. El no hacerlo implica ser altamente ineficientes en la búsqueda de soluciones a problemas que son ya conocidos y tienen una solución definida. Pensado así, la implementación de una norma debería de estar regida por la pregunta ¿Qué problema necesito resolver? A partir de esta pregunta, se debería de seguir un proceso de selección del estándar o metodología más conveniente, definir el nivel de implementación necesaria y proceder con la implementación. Pasado un tiempo prudencial, dos semanas, un mes, dos meses, realizar una evaluación del funcionamiento de la implementación y luego hacer ajustes. Luego, la Gestión de TI será la realización continua de evaluaciones de mecanismos de control para buscar su mejora.

Cuando una organización está normada, es decir, tiene regulaciones de estricto cumplimiento, lo que ha pasado es que alguien más hizo el análisis de qué normas tenían que implementarse y ha definido la lista necesaria para cumplir con un reglamento. Por supuesto, cuando hay regulaciones, habrá también multas y sanciones, dependiendo del tipo de industria. Lo cual hace que la verificación del auditor sea necesaria para la Alta Dirección, para evitar el impacto de que una revisión de la entidad reguladora encuentre que nuestra empresa no cumple con una regulación. En nuestro medio, este tipo de comportamiento se aplica principalmente a el sector Financiero, por razones obvias. Un segundo sector, corresponde a las empresas que han sido adquiridas por corporativos internacionales, que utilizan las normas como marcos de referencia exigibles a sus subsidiarias.

En todo caso, al involucrar a un Auditor de Sistemas en la revisión del soporte que las Tecnologías de la Información proporcionan al cumplimiento de objetivos institucionales, este tomará en cuenta el cumplimiento regulatorio, así como todas aquellas normas y metodologías que proporcionen una respuesta a la mitigación de riesgos. El objetivo será, en primer lugar, verificar que se cumple con las regulaciones, para evitar impactos provenientes de multas y sanciones impuestas por un organismo regulador. Como objetivo secundario, se verificará que la Gestión de TI haya implementado las normas y metodologías en sus procesos de gestión que sean más relevantes al soporte que dan al negocio. Por ejemplo, si una organización se dedica a las ventas al detalle y depende de sus puntos de venta para mantener el flujo de ingresos, es necesario verificar que los niveles de servicio para los sistemas y equipos que apoyan el proceso de ventas estén correctamente definidos y sean ajustados de acuerdo con las necesidades. Es sorprendente, pero a veces la Gestión de TI olvida crear los procesos de gestión que permitan administrar los niveles de servicios en operaciones que son críticas para el negocio. Por eso, el trabajo del Auditor de Sistemas resulta provechoso para las organizaciones. De esta manera se promueve la mejora continua de los procesos de gestión de TI y se asegura un soporte efectivo y eficiente de las Tecnologías de la Información a los objetivos de negocio.

A %d blogueros les gusta esto: