Los Diferentes Ángulos de la Seguridad de la Información

Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.

La Gestión de la Seguridad de la Información

Escribo este blog en abril de 2014. Este mes, ha sido excepcional para el área de la Seguridad de la Información, debido al descubrimiento de una vulnerabilidad en una implementación del protocolo SSL que podría haber proporcionado una gran capacidad a un potencial atacante para penetrar en servidores y tener acceso a información que no debería de ser conocida. Es un hecho que los conocedores de seguridad se han quedado perplejos ante las dimensiones de la vulnerabilidad detectada. Pero todavía más relevante, es el hecho de que la pieza de código afectada fue publicada en mayo del año 2012, por lo que ha estado operando por 2 años sin que se detectara esta vulnerabilidad. Es importante mencionar que la vulnerabilidad es indetectable desde cualquier infraestructura privada, porque existe en el enlace de comunicaciones, que es público y por lo tanto, se tenía que realizar una prueba de penetración muy detallada, para interceptar los paquetes de información “encriptados” y detectar una forma de acceder a la información que se estaba transportando. Esto ilustra la complejidad del tema de la seguridad. Varias acciones de remediación pueden realizarse en las empresas vulnerables a este problema. Se habla de renovar certificados, de realizar los parches correspondientes, de actualizar palabras secretas (passwords) y cosas similares. Pero si analizamos desde el punto de vista de la Gestión de la Seguridad de la Información, estamos hablando de las mismas actividades que se definen, ejecutan, monitorean y ajustan en un Plan de Seguridad. Esto constituye un indicador claro de la efectividad que proporciona el tener formalmente implementado un Plan de Seguridad de la Información, incluyendo su revisión bianual por parte de un auditor certificado. Es inconcebible, por ejemplo, que en este caso en el que se ha tenido una exposición de más de dos años, los passwords y los certificados sigan siendo los mismos, cuando es una recomendación primaria de seguridad de la información la renovación frecuente. Este es un principio básico, mediante el cual renuevo el mecanismo de seguridad al actualizarlo, logrando que si las credenciales de autenticación han sido comprometidas, la vulnerabilidad generada quede sin efecto al descartarlas. Quiero recalcar aquí, que hasta la tarea de concientización sobre la seguridad de la información es importante. Si tomamos como ejemplo el cambio de passwords, a muchas personas no les gusta o no entienden la necesidad de realizar el cambio y ven la tarea como una tediosa y ridícula petición de la Gerencia de TI. He visto como en algunos lugares se implementa la autenticación con dos factores, lo cual incrementa el trabajo de ingreso a un sistema para el usuario, por lo que para no ser tan autoritativos o molestos, se proporciona como una opción para los usuarios que quieran estar más seguros. Puesto en estos términos, la tasa de usuarios que deciden pasar por el trabajo de utilizar el segundo factor de autenticación resulta baja. Esto definitivamente no es servicio al cliente, en términos de seguridad. Se debe de entender claramente que los usuarios en una organización no son los dueños de la información, por lo cual, deben de acatar todos las regulaciones establecidas para tener segura la información de la organización, que es el fin último de la medida. Todavía más allá, la concientización debe ayudar a dejar claro a un usuario sobre las amenazas existentes, la existencia de posibles vulnerabilidades, haciendo énfasis en esta naturaleza probabilística de su existencia, estableciendo que podrían existir o no, más sin embargo, las medidas de seguridad nos ayudan a estar preparados, logrando prevenir su ocurrencia, detectar su materialización o disminuir su impacto en el logro de objetivos. Así vemos que hasta la tarea de concientización tiene un rol importante en la gestión de la Seguridad de la Información. Por supuesto, medidas más técnicas, como las implementadas en la red de comunicaciones, la utilización de software antivirus, la ejecución de respaldos, la creación de un plan de contingencia y demás, deben de formar un Plan de la Seguridad de la Información completo, que identifique, mitigue y responda a eventos que pongan en peligro la pérdida de confidencialidad, integridad o disponibilidad de nuestra información.

La importancia del Plan de Contingencia de TI

El objetivo de este blog es establecer que es un Plan de Contingencia de TI y su importancia en las organizaciones.

El Plan de Contingencia de TI es una herramienta que mitiga el riesgo de no poder continuar con las operaciones por períodos que se prolongan más allá de lo soportado por los procesos de negocio. Es decir, no estamos hablando de interrupciones debidas a un corte de energía eléctrica. Un corte de energía eléctrica en los países centroamericanos es tan frecuente, que para poder operar, los centros de datos y lugares críticos de procesamiento de datos, deben de tener implementados sistemas de redundancia eléctrica, protección ante los cambios de voltaje y la generación de energía alterna a la fuente primaria. Por supuesto, la inversión a realizar en la protección eléctrica debe ser en proporción a la importancia que tiene el proteger los activos y mantener las operaciones funcionando. Si ponemos de ejemplo un Banco, seguramente para no interrumpir el flujo de atención a clientes, la protección eléctrica incluirá hasta plantas de generación eléctrica con capacidad para mantener operando todas las oficinas de manera continua. No hacer esto, implicaría además de un impacto financiero, al retrasar la percepción de ingresos, un daño a la imagen del Banco, que tendría a los clientes esperando a que se reanuden los servicios.

El Plan de Contingencia de TI va más allá. Cuando el centro de datos falla, junto con todos sus mecanismos de protección primaria, cuando se pone en riesgo no sólo las operaciones, sino la integridad física de las personas, el Plan de Contingencia debe de ser la guía que indica qué hacer. Responde a preguntas como: ¿Qué pasa si se inunda mi área de operaciones? ¿Qué pasa si se incendia el edificio? ¿Qué pasa si un terremoto destruye el edificio? ¿Qué pasa si un volcán hace erupción y me obliga a parar operaciones? En todos estos casos, la ejecución de negocios de manera normal no es posible, por lo que el Plan de Contingencia de TI debe prever como se trasladarán las operaciones, las tareas que hay realizar, quién será el responsable de realizarlas, como se comunicarán los equipos y la ejecución de procedimientos de contingencia para que se reconecten los vínculos con clientes, proveedores y empleados. Definitivamente, un Plan de Contingencia de TI es uno de esos planes que uno quisiese no tener nunca que ejecutar, pero llegado el momento de un desastre, es considerado un activo valioso de la empresa, preparada para afrontar problemas y seguir adelante con la ejecución de planes.

La creación de un Plan de Contingencia de TI inicia con las priorización de todos los activos de información, entendiendo en cada caso el nivel de criticidad para los objetivos de la empresa. Posiblemente, en una organización grande existan servicios que facilitan labores secundarias que no son precisamente en las que hay que enfocarse. Esta categorización debe ser realizada con la participación con los dueños de la información, comenzando con la alta dirección. Como resultado de este análisis, quién realiza el Plan de Contingencia de TI conocerá exactamente el orden en el que deben de afrontarse las contingencias, los servicios que deben iniciarse primero y todos los recursos involucrados. Esta priorización debe ser realizada tanto a nivel cualitativo como a nivel cuantitativo. Debe establecerse claramente el monto de pérdida por el cese de operaciones para poder establecer un plan de contingencia que con una inversión razonable minimice la pérdida. Esto es, el Plan de Contingencia no debe de ser más costoso que la pérdida, porque si ese fuera el caso, no tendría viabilidad financiera. Esto permite concluir que el Plan de Contingencia de TI es importante desde el punto de vista financiero para una organización, reduciendo la pérdida y el impacto en el negocio en caso de un desastre.

La Medición del Riesgo de TI

Iniciaré este tema, planteando la situación ideal de la gestión de riesgos de TI. De manera ideal, una buena organización de TI es capaz de identificar la eminente materialización de un riesgo, algo que está por suceder que impactará negativamente las operaciones normales, ejecutar acciones que eliminen o mitiguen la materialización del riesgo y luego eliminen la causa raíz por la cual se incrementó el riesgo operativo de la organización. Es importante entender que esta situación se puede dar a cualquier nivel, en cualquier área de las operaciones de TI, más sin embargo, la organización está lista para identificar y responder a los riesgos. Fin de la situación ideal. Se vale soñar pensarán algunos, esto suena como la fantasía de un Gerente de Informática.

Medir el riesgo de TI es importante para iniciar proyectos de control interno de TI, seguridad de la información y auditoría de sistemas. Cada norma y procedimiento en estas áreas menciona que se deben de tomar decisiones basadas en el nivel de riesgo existente. Sin embargo, independientemente de la implementación de normas específicas, la gestión de TI necesita conocer de la situación de riesgos existente en las operaciones de TI y tomar decisiones que permitan eliminar o mitigar los riesgos existentes.

Para ejemplarizar un riesgo, pensemos en que sucede en nuestro centro de cómputo cuando existe un alza en el voltaje eléctrico. La vulnerabilidad aquí es el suministro eléctrico, que está expuesto a la amenaza de un incremento en el voltaje, que ciertamente puede dañar servidores y equipos de comunicaciones. El resultado final, al materializarse esta amenaza, es un alto en las operaciones de TI y por consiguiente, un alto en las operaciones de negocio. Manejar este riesgo implica, primero reconocer que esta situación se puede dar, esto es el paso de identificación. Las acciones que se deben de tomar, son preventivas. Este es un riesgo que no podremos mitigar después de ocurrida la incidencia, sin pérdidas grandes para la organización. Las medidas preventivas pueden incluir el diseño de un circuito eléctrico propiamente aterrizado y con el equipo necesario para asegurar que cualquier alza de voltaje es debidamente canalizada hacia el aterrizaje, llegando incluso hasta la desconexión total de la red de suministro y pasando a una alimentación secundaria, ya sea por baterías o plantas eléctricas propias. Obviamente, el nivel de respuesta dependerá de cuánto dinero esté en riesgo.

Como regla general existe una sola razón que permite que todas las decisiones de control y mitigación de riesgos sean tomadas, que es cuando el ingreso proveniente de las operaciones del negocio está en riesgo evidente de ser interrumpido. Disminuir el ingreso es letal para las organizaciones, dado que impacta directamente en los resultados.

La principal dificultad a la hora de evaluar riesgos en TI radica en que normalmente no hay una vinculación de los servicios de TI contra los procesos que generan ingresos y el nivel de dependencia que estos procesos tienen de los servicios. Si hablo solo de la industria salvadoreña, en la mayoría de empresas los mismos “servicios de TI” no han sido definidos, lo cual significa que el universo de riesgos es imposible de definir. Esto es grave en un marco de gestión de TI en el que se quiere conocer, evaluar y gestionar los riesgos de TI. Esto nos lleva a concluir, que para medir el riesgo de TI, se tiene como pre-requisito conocer la operación de TI y la dependencia que el negocio tiene de TI para lograr sus objetivos. Esto implica conocer que hacemos, con qué lo hacemos y establecer una medición del nivel de importancia que tenemos en la creación de valor para la empresa. Créanme que escribir estas líneas es fácil, pero la realidad es que en el entorno salvadoreño la mayoría de empresas no ha logrado aún definir su catálogo de servicios, con lo cual podrían iniciar esta cadena de decisiones que les lleven a una eficiente y efectiva gestión de riesgos. Esto incluso proporciona respuesta a los gerentes de informática que aún preguntan y ¿Para qué implementar normas y metodologías de gestión en TI? Realmente, la implementación planificada del Gobierno de TI, proporciona a los departamentos de TI la visibilidad y el control que permite a toda la organización entender la importancia de la función de TI.

COBIT 5 en El Salvador

Estamos en Octubre del 2013. Hace aproximadamente un año, en Noviembre del 2012, escribí el blog “Las certificaciones de COBIT 5 están en pleno desarrollo”, en el comenté sobre los anuncios que ISACA estaba realizando sobre la nueva versión de su Marco de Gestión de las Tecnologías de la Información. Pues bien, casi un año después, COBIT 5, ha sido totalmente lanzada y su partes más importantes están ya disponibles para los que quieran iniciar su conocimiento y puesta en práctica. Como anticipé en el 2012, no existe una gran cantidad de implementaciones durante el año 2013, pero las organizaciones que se preparan para el 2014 ya están pensando en su adopción e iniciando su aprendizaje. Cuando el blog que mencioné cumpla un año, el 5 de Noviembre de 2013, estaremos a un día de inaugurar el primer curso de Fundamentos de COBIT 5 en El Salvador, iniciando un ciclo de aprendizaje sobre la metodología COBIT 5 en este país.

En esta versión, más aún que una metodología, COBIT 5 se define como un marco de negocio para el gobierno y la gestión de la empresa. Este es un término muy amplio, que envuelve todo el quehacer de una organización. Pero si lo pensamos, la Tecnología de la Información ya es así, amplia y envuelve todo el quehacer de una organización. La misma evolución de la Tecnología de la Información es la que ha originado un Marco de Trabajo que ayuda a coordinar entre los objetivos de la organización y los objetivos del uso de la Tecnología, mientras se crean más servicios y se adopta más tecnología en las empresas. Este ha sido el patrón normal de crecimiento del uso de la Tecnología y nada indica que pueda cambiar en los próximos años. Los negocios que saquen mayor provecho de los avances tecnológicos y los adopten de manera eficiente, tendrán una verdadera ventaja competitiva en el mercado. COBIT 5 invita a las empresas no solo a invertir, pero también a mantener gobierno sobre las inversiones, asegurando los beneficios y mitigando los riesgos del uso de las Tecnologías de la Información. Los que trabajamos en el área centroamericana, podemos hacer un uso bastante productivo de este enfoque, tomando ventaja de una metodología de Gobierno de la Tecnología de la Información que algunas legislaciones en el área apenas empiezan a vislumbrar como necesarias para garantizar que los entes regulados no defrauden la confianza que los ciudadanos ponen en ellos. Esto es especialmente cierto en el área financiera, pero es de igual valor a empresas que han invertido en Tecnologías de la Información y necesitan entender como esa inversión les está aportando valor. Esto implica que no sólo los Gerentes de TI se benefician de la existencia de COBIT 5, sino que también quienes dirigen las empresas y toman las decisiones de inversión, esto es Gerentes Generales, Presidentes, Directores, miembros de junta directiva, entre otros.

COBIT 5 incluye varios componentes, de acuerdo a los diferentes roles que una organización necesita para mantener gobierno de las tecnologías de la información: los inversionistas, la gerencia general, los responsables de la gestión de TI, los responsables de la seguridad de información, auditores de sistemas, responsables de la gestión de riesgos, entre otros. Actualmente se puede ver como un cuerpo de conocimientos abierto, que puede añadir en el futuro más componentes para audiencias más especializadas. Por supuesto, también existe documentación para el proceso de implementación y para la evaluación. Es un cuerpo de conocimiento que requiere de aprendizaje para los que necesitan gobernar las tecnologías de la información. Hasta que se entiende todo su contexto, pueden las empresas iniciar planes de implementación de COBIT 5 que van de acuerdo con sus necesidades y que les permiten hacer un uso eficiente y efectivo de las Tecnologías de la Información.

El Ciclo de la Auditoría de Sistemas

El principal objetivo de la Auditoría de Sistemas es la revisión del estado de los controles internos que han sido definidos por la organización para lograr una mayor certeza de que la Gestión de las Tecnologías de la Información soportará efectiva y eficientemente los objetivos de negocios. Los controles son variados, a veces impuestos por la forma de trabajo de la organización, a veces establecidos a través de la Gerencia General y la Gerencia de Informática. En algunas organizaciones, especialmente las  financieras, los controles son requeridos por las normativas regulatorias del país, que buscan desde luego, tener instituciones financieras eficientes, que proporcionen seguridad a los ciudadanos que confían en ellas para administrar sus fondos.

La importancia del establecimiento de controles, radica en la búsqueda del aseguramiento de que los objetivos de negocio serán logrados y no se verán interrumpidos, disminuidos o retrasados por eventos que causen efectos no deseados en las operaciones. Puesto en términos técnicos, los controles mitigan riesgos, que de ser materializados, provocarán algún tipo de pérdida en la organización. A veces, las organizaciones confían en que sus controles son suficientes para prever todos los riesgos a los que se enfrenta. Esta primera aseveración podría ser falsa y esto determina la primera razón por la cual la Auditoría de Sistemas es necesaria, proveyendo una opinión sobre la completicidad de los controles y sobre la efectividad en su diseño. Omitir controles necesarios es la mayor causa de los eventos que impactan negativamente a una organización. Como un ejemplo de esto podemos mencionar lo que pasa cuando se pierde un dispositivo que almacena información importante y al buscar el respaldo, este no se encuentra o está bastante desactualizado, no logrando mitigar el riesgo de pérdida de información. En muchos casos, al revisar el problema, un auditor encuentra que no existen políticas que definan las necesidades de respaldo de datos de la organización, que no hay responsables definidos y que no existen procedimientos de verificación del nivel de éxito que tienen las operaciones de respaldo. Recuerdo una ocasión en la que el dispositivo de cinta que hacia el respaldo presentaba alertas de incompleticidad de la operación de respaldos ¡por un mes! Increíble. Pero cierto.

La segunda confirmación que hace la auditoría de sistemas, es sobre la efectividad de los controles. Esto pasa en organizaciones que han construido un marco regulatorio que consideran completo, que incluye las políticas necesarias, que definen y muestran la voluntad que la alta dirección tiene de gestionar eficientemente las TI, que han definido procedimientos, que han adoptado estándares apropiados y que llevan un sistema de registro considerado completo. En este tipo de organizaciones, he tenido la experiencia de que el personal de TI llena formularios “para cumplir con la auditoría”. Esto desvirtúa la aplicación de un control. Los que gestión TI deben de considerar el control como parte de su trabajo, con un resultado que tiene un impacto en efectividad, eficiencia y calidad directa de su trabajo. Para el caso del dispositivo de respaldo que presentaba error, el técnico responsable debió de conocer de esa situación lo más pronto posible, a efectos de tomar las medidas correctivas necesarias para evitar que se repitiera el error. En estos casos, la Auditoría de Sistemas verifica que la ejecución de los controles no tenga excepciones importantes, que demuestren negligencia u omisión en la ejecución de controles.

La ejecución de ciclos de auditoría en períodos razonables, de acuerdo a la situación de cada organización, permite identificar áreas críticas que tienen controles deficientes y/o que ejecutan sus controles de manera deficiente, permitiendo iniciar un ciclo de mejoras en la Gestión de las TI. Esta acción permite incrementar el nivel de soporte que las Tecnologías de la Información proporcionan a la organización para lograr sus objetivos de negocio.

El Proceso de la Seguridad de la Información.

La cantidad de amenazas existentes para los sistemas de información es abundante. Por si la cantidad no fuera de por sí un factor de peso, la renovación de las amenazas se convierte en un verdadero problema para los Gerentes de TI, que tienen entre uno de sus objetivos, el mantener segura la información de la organización y evitar riesgos que dañen la imagen, interrumpan o retrasen el cumplimiento de los objetivos de negocio.

Muchas tareas se ponen en riesgo por amenazas a la seguridad de la información. Desde enviar correos, hasta la reinstalación de servidores por fallas causadas por virus y software malintencionado. El simple uso de Tecnologías de la Información, en todas sus formas, expone a una empresa a las amenazas relacionadas con la Seguridad de la Información. Pero si la empresa maneja información que pueda ser atractiva a un atacante, como información relacionada con tarjetas de crédito, información financiera, datos personales y similares, la principal amenaza es que esa información salga de la empresa sin autorización. Los esquemas de ataque en esta última forma son extensos y cambiantes. Incluso instituciones con grandes capacidades de investigación, tienen dificultades para detectar, detener y mucho más para procesar penalmente a un atacante que realice estas acciones.

Una empresa en El Salvador, aún con presupuestos y alcances limitados, está expuesta a estos ataques sí utiliza Tecnologías de la Información, tiene enlaces con el mundo y tiene información de clientes que debe protegerse. Es importante entonces, mantener un perfil activo de la seguridad de la información, no esperando sorpresas, sino más bien, analizando periódicamente las vulnerabilidades existentes, definiendo y ejecutando medidas de eliminación de riesgos y  evaluando los resultados obtenidos. Este ciclo, muy conocido para los que trabajan pensando en la mejora continua, es una ruta simple de protección, que también permite aprovechar las inversiones realizadas en TI. Por ejemplo, la adquisición de un sistema de antivirus puede ser una inversión inefectiva, si una semana después de instalado el sistema, las definiciones de antivirus no han sido actualizadas, dejando expuesta la organización a los nuevos virus. Es típico, que una máquina “crítica” falle, por este fenómeno. Es fácil darse cuenta, que la inversión en el software de antivirus es sólo parte de la solución. Podría decirse que ese es el paso inicial. El proceso de verificación de su efectividad, su correcta aplicación y configuración es mucho más importante para lograr la mitigación de riesgos.

Todo el tema de la Seguridad de la Información debe tratarse de esa manera, como un proceso. No como una solución basada en la adquisición de nuevos dispositivos y software. Temas tan básicos en la Administración de la Seguridad, como el control de accesos a recursos tecnológicos puede salirse del adecuado control sin un proceso continuo de evaluación de su efectividad. Aunque la Auditoría de Sistemas ejerce un control sobre la efectividad de los controles, incluyendo los de seguridad, la Gestión de TI no debe de esperar a que una auditoría de TI le indique vacíos. La Seguridad de la Información es un tema “on line”, de tiempo real, que debe de ser incluido en las responsabilidades y tareas a ejecutar por los responsables de la mantener seguras las operaciones de TI y la información de la organización. A quién le corresponde la responsabilidad es un tema adicional a discutir, dado que no necesariamente tiene que ser la Gerencia de TI, pero lo importante es definir los procesos de Seguridad de la Información, a través de un plan que documente las vulnerabilidades existentes, los mecanismos de protección, la ejecución de los mismos y los controles para verificar la efectividad de los planes. Estos planes deberán de ser flexibles en el tiempo, readaptándose para las nuevas condiciones de amenazas y vulnerabilidades detectadas. Definitivamente, una administración de la Seguridad de la Información requieren de un proceso con mucha proactividad de parte de los responsables.

Organizando las funciones de TI siguiendo estándares

Los Gerentes de TI deben de apoyar sus decisiones en los estándares ampliamente consensados en la industria. Normas de seguridad, marcos de referencia de control y mejores prácticas para proporcionar servicios de TI son las áreas básicas que deben de ayudar a definir las políticas, funciones, procedimientos operativos y prácticas de gestión de TI.  En un país como El Salvador, que tiene que aprovechar todas las ventajas ya generadas por los estándares creados para cada situación, los Gerentes de TI deben de considerar la gama de estándares y revisar su propia realidad para identificar oportunidades de mejora.

El ejercicio es básico. En primer lugar, hay que identificar en base a los requerimientos del negocio, en qué áreas la función de TI debe de apoyar significativamente la creación de valor. Muchos estándares, como los de Continuidad de Negocios, no deben pensarse exclusivamente desde el punto de vista de TI, debido a que los procesos de negocios se logran a  través de una combinación de tecnología, proporcionada por el departamento de TI, y recursos humanos, totalmente independientes de TI. Igual podría pasar con los estándares de seguridad. Existen lineamientos generales por industria o requerimientos basados en la imagen y reputación de la organización que deben de considerarse para establecer que tan lejos se debe de llegar en la implementación de un Plan de Seguridad de la Información. Es importante priorizar los requerimientos para tener un criterio de decisión al momento de planificar los proyectos de implementación de estándares.

Posterior a la clarificación de requerimientos del negocio, se debe de realizar un proceso de selección de los estándares que se adoptarán. El resultado de esta selección debe de indicar un camino a seguir, los criterios a utilizar para definir qué procesos se implementarán, como se realizarán, como será medido el éxito en la ejecución de los servicios de TI, no necesariamente una sucesión de proyectos para implementar estándares. Es importante no considerar los estándares como el fin último. No se trata de llegar a decir: “hemos implementado un número determinado de estándares”. Se trata de ser efectivos y eficientes en el soporte a los proceso de negocio, eliminando riesgos y aportando valor a la organización. Estos elementos, la organización no los mide por el número de estándar implementados, sino por tiempos de respuesta cortos, sistemas de información robustos, resolución de problemas eficiente, que son cosas que permiten realizar negocios sin interrupciones, soportando el logro de los objetivos organizacionales.

Finalmente, la implementación de estándares tiene que materializarse incluyendo sus recomendaciones y prácticas en las políticas, procedimientos y controles necesarios en los procesos de gestión de TI que permitan garantizar un buen uso de los recursos de tecnología de la información de la organización. Esta parte es la que cuesta más a los Gerentes de TI. Ocurre muchas veces que se reciben capacitación sobre los estándares, pero no se establecen medidas que implementen estos estándares en las operaciones de TI. En la mayoría de los casos, se debe a una deficiencia general en el proceso de adopción de estándares, en la que se pretende crear proyectos de implementación “por estándar”, creando conflicto con las prácticas existentes o con la implementación de otros estándares. Es importante en este paso, crear el propio marco de organización de la organización, basado en varios estándares, pero respondiendo a los requerimientos de negocios planteados desde un inicio. De esta forma la gestión de TI sacará provecho de los estándares, logrando un verdadero impacto en la forma en la que la organización percibe el apoyo de TI.

La Efectividad y la Eficiencia de las operaciones de TI

Cuando se preguntan sobre las razones para tener controles internos de TI, monitoreados a través de procesos de Auditoría de Sistemas, la razón es basada en la búsqueda de la efectividad y la eficiencia de las operaciones de TI. Aunque la efectividad y la eficiencia son dos atributos deseables en cualquier diseño, ya sea de controles o de cualquier otra cosa, es sorprendentemente fácil salirse del curso normal de operaciones y fallar en estos dos atributos en las operaciones de TI.

Antes de hablar más, hay que tener claro que toda la función de TI es considerada secundaria en los procesos de negocio para la mayoría de las empresas, esto es, no es la función que aporta el valor, entiéndase los ingresos, al negocio, sino que soporta o apoya las funciones vitales que sustentan la creación de valor en las organizaciones. Lo que sí se puede afirmar categóricamente en la mayoría de los casos, es que la función de TI es una función de soporte “vital” para las operaciones de TI. Es decir que, al suspenderse o deteriorarse algunos servicios de TI, se impacta directamente los ingresos o la imagen de la organización. Lo cual nos permite concluir, que si los servicios de TI no son eficientes y eficaces, la organización pierde valor.

En un mundo ideal, o mejor dicho, en una función de TI ideal, los servicios que proporciona TI están bien diseñados, tienen sus controles efectivamente diseñados y se ejecutan al pie de la letra, sin excepciones. En un mundo auditable, que es triste decirlo, pero es la realidad de las mayorías de empresas, se realizan las operaciones de TI bajo la ausencia de muchos controles, sin seguir las mejores prácticas conocidas e incluso no aplicando las pocas que puedan tener implementadas. Esto afecta tremendamente a la empresa. Por ejemplo, si una función que atienda incidentes no ha sido propiamente desarrollada, la suma y repetición de incidentes, puede causar tiempos muertos en la generación de ingresos. El personal de TI puede muy fácilmente decirle a sus usuarios internos que se esperen en lo que se reparan o corrigen errores en el sistema, pero en la realidad, esperarse puede implicar retrasar o imposibilitar la generación del ingreso, si el sistema en cuestión sirve para proporcionar servicios directos al cliente, como facturación, atención en ventanilla y similares.

Ser efectivos en la función de TI implica proporcionar el servicio esperado al negocio, con la calidad requerida y de manera oportuna. De esta manera, la función de auditoría de sistemas soporta al negocio en asegurar que los procesos de TI se mantengan cumpliendo con su función y el negocio sea bien soportado.

Ser eficientes en la función de TI implica que no se desperdician valiosos recursos de TI de la organización en otros fines que no sean soportar eficientemente al negocio. Por ejemplo, tener dispositivos para realizar respaldos de datos es eficiente si estos realizan el respaldo de acuerdo con el programa de respaldos diseñado. Si ocurre una falla y se requiere un respaldo que no se hizo, la eficiencia del control se habría perdido.

La auditoría de sistemas ayuda al negocio a determinar la completicidad de controles de las operaciones de TI, conforme a las necesidades y riesgos del negocio. También asegura que los controles existentes son efectivos y se ejecutan de manera eficiente. Para hacer esto, la auditoría de sistemas revisa cada proceso de TI, examinando la existencia de controles y realizando pruebas que ayuden a determinar el nivel de eficiencia con el que se ejecuta. No tener auditoría de sistemas en una empresa en la que la función de TI es vital para soportar las operaciones de negocio, implica poner en riesgo los procesos de negocio que aportan valor a la organización.

Los Procesos de Gestión de TI

COBIT 5 ha generado una serie de procesos de referencia para el Gobierno de TI. El libro que describe estos procesos se llama “COBIT 5 Enabling Processes” y la traducción oficial del libro es “COBIT 5 Procesos Catalizadores”. A los que no estamos en el mundo de la química, nos puede parecer difícil asimilar el término en el área de las Tecnologías de la Información.

Un catalizador es, según la Real Academia de la Lengua Española, un cuerpo (químico) capaz de producir una transformación catalítica. La Catálisis está definida, por el mismo ente, como el “Favorecer o acelerar el desarrollo de un proceso”.  Sin embargo, el concepto no está limitado al área química, es por lo tanto, genérico. En el caso que nos ocupa, se trata de favorecer o acelerar el desarrollo del proceso de Gobierno de TI.

El concepto de “catálisis” queda bien al Marco de Referencia COBIT. Cuando un Gerente de TI en la década de inicio de este siglo se sentaba a dirigir las operaciones de TI  de una organización, la principal dificultad era el identificar qué se tenía que llevar a cabo para una gestión exitosa, mientras la Alta Dirección presionaba por resultados inmediatos, mejoras en el servicio de TI  para la organización y lo más exigentes o visionarios, la agregación de valor al negocio a través del uso de las Tecnologías de la Información.  La situación era crítica para muchos que sólo tenían estudios relacionados con la Ingeniería de Sistemas, las Ciencias de la Computación y similares. Les iba mejor a los que tenían segundas o primeras carreras en áreas como Administración de Empresas, Ingeniería Industrial o incluso Maestrías en Administración de Negocios. Estos últimos identificaban rápidamente puntos críticos del negocio y tomaban decisiones rápidamente. También eran más habilidosos para obtener el presupuesto necesario para implementar los procesos de gestión de TI y la adquisición de herramientas que permitieran implementaciones efectivas y sólidas.

La función de TI es eminentemente técnica, pero requiere de otras habilidades no técnicas para lograr resultados de manera exitosa.  Esto implica la necesidad de procesos catalizadores. De esta manera,  aparte de encender equipos y operar sistemas, un gerente de TI debe de conocer que hacer en la Gestión de TI.

Lo que debe de hacer la gestión de TI ha sido definido por la Asociación de Auditoría y Control de Sistemas de Información, ISACA, a través de la investigación exhaustiva de las mejores prácticas y su uso en empresas de diferentes tamaños y tipos. Los procesos que la Gerencia de TI debe de adoptar ya están definidos y son considerados catalizadores porque acelerarán la gestión exitosa de TI, sin ser un fin en sí mismos. Por esta razón, las habilidades técnicas deben de seguir siendo el principal eje de acción de la Gerencia de TI, para planificar la adecuada infraestructura tecnológica,  la selección de software a desarrollar o adquirir, los procesos de desarrollo del personal técnico y usuario de la tecnológica, con el fin importante, de apoyar significativamente los procesos de negocio. Los procesos de gestión de TI permitirán que estas importantes funciones sean mejor administradas, controladas, analizables y mejorables, proporcionando una ruta a seguir en la mejora de la Gestión de TI. Siendo redundantes, podemos decir que ayudan a mejorar la Gestión de TI, mientras se mejoran los resultados que TI provee al negocio.

A %d blogueros les gusta esto: