Archivo del sitio
La Administración Segura de los Recursos de TI
Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.
El Ciclo de la Auditoría de Sistemas
El principal objetivo de la Auditoría de Sistemas es la revisión del estado de los controles internos que han sido definidos por la organización para lograr una mayor certeza de que la Gestión de las Tecnologías de la Información soportará efectiva y eficientemente los objetivos de negocios. Los controles son variados, a veces impuestos por la forma de trabajo de la organización, a veces establecidos a través de la Gerencia General y la Gerencia de Informática. En algunas organizaciones, especialmente las financieras, los controles son requeridos por las normativas regulatorias del país, que buscan desde luego, tener instituciones financieras eficientes, que proporcionen seguridad a los ciudadanos que confían en ellas para administrar sus fondos.
La importancia del establecimiento de controles, radica en la búsqueda del aseguramiento de que los objetivos de negocio serán logrados y no se verán interrumpidos, disminuidos o retrasados por eventos que causen efectos no deseados en las operaciones. Puesto en términos técnicos, los controles mitigan riesgos, que de ser materializados, provocarán algún tipo de pérdida en la organización. A veces, las organizaciones confían en que sus controles son suficientes para prever todos los riesgos a los que se enfrenta. Esta primera aseveración podría ser falsa y esto determina la primera razón por la cual la Auditoría de Sistemas es necesaria, proveyendo una opinión sobre la completicidad de los controles y sobre la efectividad en su diseño. Omitir controles necesarios es la mayor causa de los eventos que impactan negativamente a una organización. Como un ejemplo de esto podemos mencionar lo que pasa cuando se pierde un dispositivo que almacena información importante y al buscar el respaldo, este no se encuentra o está bastante desactualizado, no logrando mitigar el riesgo de pérdida de información. En muchos casos, al revisar el problema, un auditor encuentra que no existen políticas que definan las necesidades de respaldo de datos de la organización, que no hay responsables definidos y que no existen procedimientos de verificación del nivel de éxito que tienen las operaciones de respaldo. Recuerdo una ocasión en la que el dispositivo de cinta que hacia el respaldo presentaba alertas de incompleticidad de la operación de respaldos ¡por un mes! Increíble. Pero cierto.
La segunda confirmación que hace la auditoría de sistemas, es sobre la efectividad de los controles. Esto pasa en organizaciones que han construido un marco regulatorio que consideran completo, que incluye las políticas necesarias, que definen y muestran la voluntad que la alta dirección tiene de gestionar eficientemente las TI, que han definido procedimientos, que han adoptado estándares apropiados y que llevan un sistema de registro considerado completo. En este tipo de organizaciones, he tenido la experiencia de que el personal de TI llena formularios “para cumplir con la auditoría”. Esto desvirtúa la aplicación de un control. Los que gestión TI deben de considerar el control como parte de su trabajo, con un resultado que tiene un impacto en efectividad, eficiencia y calidad directa de su trabajo. Para el caso del dispositivo de respaldo que presentaba error, el técnico responsable debió de conocer de esa situación lo más pronto posible, a efectos de tomar las medidas correctivas necesarias para evitar que se repitiera el error. En estos casos, la Auditoría de Sistemas verifica que la ejecución de los controles no tenga excepciones importantes, que demuestren negligencia u omisión en la ejecución de controles.
La ejecución de ciclos de auditoría en períodos razonables, de acuerdo a la situación de cada organización, permite identificar áreas críticas que tienen controles deficientes y/o que ejecutan sus controles de manera deficiente, permitiendo iniciar un ciclo de mejoras en la Gestión de las TI. Esta acción permite incrementar el nivel de soporte que las Tecnologías de la Información proporcionan a la organización para lograr sus objetivos de negocio.
Gestión y Auditoría de TI 