Archivo del sitio
La independencia del auditor de sistemas
Entre las muchas cualidades que un Auditor de Sistemas debe de poseer para mantener una calidad aceptable ante diversos estándares de auditoría es la independencia. El Auditor de Sistemas debe de ser y percibirse como un profesional independiente, que emitirá su opinión sobre las áreas que audite sin ninguna influencia.
El Auditor de Sistemas logra demostrar independencia desde el momento en que es colocado en un esquema organizativo y no tiene ningún vínculo que lo haga depender en alguna manera, por ejemplo, a través del pago de sus honorarios, o por tener una línea de reporte directo con las áreas que audita. Para ser concretos, un Auditor de Sistemas no puede depender de la Gerencia de Tecnologías de la Información, dado que no podría auditar objetivamente a su jefe y compañeros de trabajo. Si hablamos de Auditoría Interna, en el contexto de una organización grande, el Auditor de Sistemas aparecerá en el organigrama de Auditoría Interna, que, a su vez, no deberá tener ninguna dependencia de ninguna unidad organizativa de la empresa. Lo más frecuente es que la Unidad de Auditoría Interna reporte a un Auditor Corporativo o General, que a su vez reporta directamente a un Comité de Auditoría. Esto crea una estructura de auditoría paralela a la estructura organizativa que “de forma independiente” ayuda a la alta dirección a realizar verificaciones de áreas o procesos clave para el cumplimiento de objetivos.
El Auditor de Sistemas debe de seguir este principio de independencia y actuar de manera tal que las áreas auditadas no puedan “influenciar” las decisiones que toma. Es decir, el Auditor de Sistemas debe hacer valer su independencia en todo momento y no permitir que ningún tipo de influencia, interna o externa, afecte las decisiones que toma sobre su trabajo. Entre las influencias externas podemos dar como ejemplo, los proveedores del área de las Tecnologías de la Información. En general, los proveedores buscarán utilizar cualquier medio que este a su alcance para lograr concretar una oportunidad de negocio. Esto puede incluir seguir la estrategia de “invitar” al Auditor de Sistemas a eventos que promueven sus productos, para demostrar al Gerente de TI que el producto es avalado por el Auditor de Sistemas. Este es un comportamiento no ético de parte del vendedor, pero que dependerá de que el Auditor de Sistemas acepté las invitaciones que le hagan. La mejor conducta que puede seguir un Auditor de Sistemas es no aceptar invitaciones de ningún tipo de proveedores de Tecnologías de la Información. Las necesidades de capacitación del Auditor de Sistemas deben de ser cubiertas por fuentes que mantengan su independencia y que sean formales. Si se necesitan de cursos, estos deben de ser impartidos por entidades especializadas en capacitación, que no dependan de los proveedores, o por accesos a la documentación formal que la empresa ha adquirido. Todos estos recursos deberán de estar consignados en el presupuesto anual de operación del área de Auditoría de Sistemas. Estos mecanismos permitirán que el Auditor de Sistemas no se vea influenciado en sus decisiones por ninguna entidad.
De alguna manera, este principio de independencia implica que el Auditor de Sistemas trabajará con recursos independientes, que ningún auditado tendrá influencia sobre si el Auditor de Sistemas puede o no tener acceso a un recurso, ni mucho menos especificar los resultados del trabajo del Auditor de Sistemas. Es claro que los informes de auditoría serán firmados por el Auditor de Sistemas, por lo que al final, es el único responsable de su trabajo. El principio de independencia le ayuda a asegurar que nadie influencia el contenido de sus informes y de que son únicamente el resultado de su trabajo en el proceso de Auditoría.
UNIVERSO DE AUDITORIA DE TI, PARTE II
Priorizando las auditorías a realizar.
En el blog anterior, establecimos que el Auditor de Sistemas debe de realizar una investigación para conocer la empresa y la forma en la que las Tecnologías de la Información están soportando los objetivos del negocio. Es una investigación exhaustiva, que permita identificar todos los elementos auditables en la organización y generar una lista de elementos auditables que incluimos en una lista que denominaremos Universo de Auditoría.
Para tratar esa lista, el Auditor de Sistemas debe establecer criterios que le permitan establecer un orden que le indique qué se auditará primero y que se auditará después. Realmente, estamos hablando de que se incluirá en un Plan de Trabajo de la Auditoría de Sistemas, para un horizonte de planificación que normalmente será de un año. Posiblemente para cubrir un Universo de Auditoría de manera completa, se requiere un esfuerzo en horas auditor, que expanda varios años. Esto hace muy importante, que los elementos auditables de la lista del Universo de Auditoría se categoricen para auditar primero los temas de mayor relevancia para la organización, permitiendo al Auditor de Sistemas aportar recomendaciones de manera oportuna.
El primer criterio utilizado es el riesgo. El riesgo se refiere a prever o inferir la ocurrencia de eventos que puedan causar el impacto de que una organización pueda fallar en sus objetivos de negocio. Por contrapartida, el trabajo de soporte de la función de TI contribuye a mitigar estos riesgos, a través la ejecución de acciones que eviten que los eventos de riesgo ocurran o que limiten o mitiguen el efecto causado. Por esta razón, las actividades que desarrolla la función de TI tienden a verse como “controles” que mitigan riesgos en una organización. Si ponemos un ejemplo para clarificar estos conceptos, pensemos en el evento de riesgo que se podría dar cuando se daña un dispositivo que almacena información importante para la organización. El riesgo real, es que el negocio no pueda operar al ritmo esperado por no contar con la información almacenada en el activo informático en cuestión. Esto podría traer un impacto económico, como el retraso o la pérdida de ingresos, o un impacto reputacional, por no poder proporcionar el nivel de servicio esperado por el cliente. La Gerencia de TI, ante este riesgo, puede haber dispuesto varios controles o actividades para mitigarlo. Uno podría ser la ejecución de respaldos frecuentes que permitan contar con un medio de recuperación en casos de falla.
Aunque existen muchas técnicas para realizar una Evaluación de Riesgos, es importante seleccionar una que no demande demasiado esfuerzo de realización, que permita priorizar de manera efectiva, de tal manera que el Auditor de Sistemas pueda obtener una clasificación en un tiempo razonable. Aun así, dependiendo del tamaño de la organización y sus operaciones, este análisis requerirá de un esfuerzo de semanas o quizá meses, pero que resulta importante para lograr efectividad en el trabajo posterior del Auditor de Sistemas. Si la empresa ha madurado la función de Gestión de Riesgos y cuenta con una evaluación organizacional de riesgos muy sólida, esto facilita las cosas. Porque como Auditores de Sistemas, podemos confiar en el trabajo de otros profesionales para cumplir con nuestra función. También es conveniente notar, que el Auditor de Sistemas debe de utilizar su criterio profesional con toda la información que analiza, por lo que, si al analizar una evaluación de riesgos organizacional, existen valoraciones que no considere correctas, el Auditor de Sistemas deberá de realizar sus correcciones para contar con una evaluación de riesgos que satisfaga sus propios criterios. También el Auditor de Sistemas tendrá que relacionar cada elemento del Universo de Auditoría con los riesgos que mitiga. Esto es lo que permite la categorización de los elementos, asignando mayor prioridad a los que mitigan riesgos más críticos y dejando después a los que ataquen riesgos medios o bajos.
Si no existe una Evaluación de Riesgos organizacional, el Auditor de Sistemas deberá realizar su propia valoración de los riesgos existentes y ubicar la importancia que tiene cada elemento del Universo de Auditoría para prevenir, detectar o mitigar los riesgos. En todo caso, se determinará cuáles elementos de la lista resultan más importantes de auditar de acuerdo con los riesgos que ayudan a mitigar, comenzando con los de mayor riesgo.
Un segundo criterio utilizado por el Auditor de Sistemas son los requerimientos regulatorios. Si la organización está sometida a requerimientos de ley que especifican que las Tecnologías de la Información cumplan con ciertos requerimientos, o incluso sean específicas con respecto al trabajo del Auditor de Sistemas, estos pasan a tener una alta prioridad en la lista de elementos auditables. No cumplir con regulaciones de Ley trae impactos directos a la organización y estos deben de ser gestionados y resueltos oportunamente. A veces, dichas regulaciones implican la emisión de informes en momentos específicos, lo que da una pauta del momento en que tienen que ser realizados los trabajos de auditoría para cumplir con el requerimiento legal.
Finalmente, el Auditor de Sistemas deberá de utilizar sus conocimientos de la organización, para determinar la existencia de requerimientos que tienen que priorizarse para lograr efectividad y oportunidad. Aquí entra en juego, los requerimientos específicos de la contraparte directa del Auditor de Sistemas, iniciando por el Gerente de Auditoría, pero que también pueden ser peticiones específicas del Comité de Auditoría, la Junta Directiva o la Alta Administración. Por ejemplo, si la organización realizará inversiones en Tecnologías de la Información, el acompañamiento oportuno durante los proyectos podría ser prioritario. Si se determina que Auditorías previas, internas o externas, de sistemas o de otra índole, reportaron hallazgos relacionados con las Tecnologías de la Información, la revisión del cumplimiento y superación de los hallazgos se vuelve también otro criterio de priorización.
Siguiendo los criterios mencionados, el Auditor de Sistemas estará en capacidad de priorizar la lista de elementos auditables y establecer las prioridades claras sobre las auditorías que realizará. Es normal que un Universo de Auditoría se cubra de forma completa en dos o más años. También es normal, que existan elementos que no se auditen nunca. Lo importante es que el Auditor de Sistemas aportará valor a la organización, proporcionando recomendaciones relevantes, en los momentos que se necesitan.
Si gustan pueden comentar sobre otros criterios que han utilizado en su experiencia profesional para categorizar los elementos auditables de una organización.
UNIVERSO DE AUDITORÍA DE TI, PARTE I
La efectividad en la elección de qué auditar.
Los Auditores de Sistemas trabajamos con limitados recursos, especialmente de tiempo, para auditar un área que es muy importante, sino vital, para el logro de los objetivos del negocio. Esta situación nos lleva a priorizar qué auditar, teniendo forzosamente que dejar algunos temas para después. Sin embargo, es importante tener una idea clara del estado del uso de las Tecnologías de la Información en la organización a efecto de que la priorización no deje por fuera alcances transcendentes para el cumplimiento de la empresa. Aquí es dónde la tarea de crear el Universo de Auditoría ayuda a enfocar los recursos de Auditoría de la mejor manera.
Definición del Universo de Auditoría.
El Universo de Auditoría se refiere a todas las posibles auditorías que se pueden realizar en una organización. Cada evaluación de auditoría debe tener un alcance que permita al auditor dar a la organización resultados efectivos, esto es, informes que provean las recomendaciones necesarias de manera oportuna.
Previo a la creación del Universo de Auditoría, el Auditor de Sistemas tiene que realizar tareas que le permitan tomar decisiones bien informadas sobre que incluir y que no en el Universo de Auditoría, así como el tener la capacidad de evaluar de la manera más precisa posible los riesgos existentes.
En esta entrada del blog, vamos a tratar sobre la fase de generación de los elementos auditables de una organización, para posteriormente abordar el tema de cómo priorizar.
En la primera parte del proceso el Auditor de Sistemas debe asegurarse que entiende el funcionamiento del negocio, los procesos o actividades que son importantes para el logro de objetivos de la empresa y los principales riesgos que afronta en relación con su dependencia de las Tecnologías de la Información. Hay que recordar que las Tecnologías de la Información son cada vez más relevantes en todos los tipos de negocio, pudiendo llegar a ser un factor indispensable para las operaciones en muchas industrias, o un factor diferenciador en otras. Posteriormente, se debe de entender completamente como se están gestionando las Tecnologías de la Información. El Auditor de Sistemas debe entender porque las Tecnologías de la Información son importantes para la empresa, cómo están soportando los objetivos de negocio y los riesgos a la operación. También se debe conocer la forma en que el departamento de TI se ha organizado para responder a las necesidades de la organización, las Tecnologías actualmente implementadas y los planes para adoptar nuevas plataformas o mejorar/actualizar las actuales.
Estas dos actividades de recopilación de información permitirán crear una lista de elementos que podrán ser considerados dentro del Universo de Auditoría. Esta es una fase en la que interesa capturar todos los elementos posibles. Estos elementos incluyen cosas como: el esquema normativo o políticas vigentes, la organización, procesos de gestión de TI implementados y sus normas de referencia, Tecnologías específicas utilizadas, proyectos, e incluso actividades específicas, como los respaldos de datos, que por su importancia requieren de consideración especial. Esto es un paso crucial porque impacta en la forma en la que la organización identificará el trabajo del Auditor de Sistemas como valioso. Por ejemplo, si se decide evaluar la Gestión de la Continuidad como una sola auditoría, el estudio podría tomar mucho tiempo, incluso meses en ser ejecutado. Si en el transcurso de esos meses, falla un equipo crítico y se descubre que los respaldos no se habían gestionado bien y el tiempo de recuperación se expande por esta razón, la empresa se vería impactada en costos adicionales tanto por el mismo proceso de reparación, como por el hecho de trabajar con métodos alternativos mientras se termina la recuperación. Si se define como una actividad auditable los procedimientos de Gestión de Respaldos, este estudio se podría realizar antes que abordar todo el proceso de Gestión de la Continuidad y probablemente en dos semanas o un poco más, el Auditor de Sistemas tendría la información suficiente para detectar cualquier problema con la ejecución de los respaldos, alertar a la organización y coordinar planes de acción de manera oportuna.
Una regla general para considerar cada elemento a incluir en un Universo de Auditoría es que la ejecución de una auditoría para cada elemento pueda ser realizada en menos de un mes. Esto permitirá al Auditor proporcionar al menos mensualmente, resultados a la empresa que serán oportunos y eficaces.
Atendiendo las tendencias de la auditoría ágil, que busca dar resultados inmediatos, en lugar de la realización de evaluaciones largas que tomen demasiado tiempo, el auditor de sistemas debe evaluar cada proceso que entrará al universo de auditoría y si este debe examinarse en una sola auditoría o si por practicidad, debe de realizarse en varias auditorías con alcances más limitados.
Si por ejemplo tomamos el proceso de Gestión de la Seguridad, nos daremos cuenta de que hacer una evaluación única para el tema, representará un esfuerzo de muchas horas, que se podrían llegar a traducirse en meses. Este tipo de procesos es conveniente partirlos en varias secciones, como, por ejemplo, Estrategia de Seguridad, Seguridad en Servidores, (Qué incluso se puede subdividir por tipos de sistema operativo), Seguridad en la red, Gestión de Accesos en aplicaciones. Esto permitirá realizar una priorización más acertada de acuerdo con el nivel de riesgo percibido en cada área que se pueda auditar.
Un proceso que también tiene que subdividirse y darle prioridad, son las evaluaciones normativas, es decir, las que son mandadas por alguna norma o ley aplicable al área de negocios de la organización. El Auditor de Sistemas debe de identificar los requerimientos regulativos e incluirlos como un elemento auditable dentro del Universo de Auditoría.
Concluyendo, en la primera fase de la creación del Universo de Auditoría, el Auditor de Sistemas realizará una investigación sobre el funcionamiento de la empresa y su modelo de negocio, las Tecnologías de la información utilizadas para soportar el negocio y la forma en la que se gestionan, a efectos de ir creando una lista de todo lo que se pueda auditar. En la próxima entrada del blog veremos cómo se tratará esa lista para categorizarla de acuerdo con criterios de priorización. Mientras tanto, coméntenme si les parece útil contar con una lista guía de elementos auditables y si les gustaría verla en el sitio. Hasta pronto.
El Auditor de Sistemas como consultor en la organización
Una empresa exitosa no debería inventar cada procedimiento, proceso o práctica operativa que necesite para lograr sus objetivos. La industria en todas sus ramas ya se ha encargado de la definición de las mejores prácticas, definiéndolas a través de normas o estándares que facilitan su adopción. Sin embargo, los auditores siempre identificamos situaciones que denotan la falta de utilización de estos marcos de referencia en una operación. En general las empresas tienen problemas para adoptar marcos de referencia que les ayuden a lograr sus objetivos de una manera más efectiva. Esto está ligado a la escasa vinculación que la educación universitaria brinda a los profesionales de todas las áreas, incluidas las áreas de Tecnologías de la Información y de Auditoría Interna, con procesos de adopción de estándares y a veces con el conocimiento de los mismos. Esta es definitivamente una oportunidad para que los Auditores de Sistemas aportemos valor a las organizaciones.
Cuando se trata de las Tecnologías de la Información, los Auditores de Sistemas nos enfrentamos en muchas ocasiones con personal que no ha estado expuesto al conocimiento de normas de gestión de TI o de la identificación de mejores prácticas en la industria que son necesarias, sino indispensables para el uso efectivo de la inversión en tecnologías que la organización ha realizado o para minimizar riesgos de seguridad, especialmente en el entorno actual en el que siempre existen amenazas acechando la oportunidad de explotar vulnerabilidades en la infraestructura de TI. Por otro lado, los Auditores de Sistemas, interesados en cumplir con los códigos de ética que nos indican que tenemos que hacer nuestro trabajo con profesionalismo, siempre estamos buscando la actualización de los últimos estándares y ofertas de la industria
En este contexto, un Auditor de Sistemas puede diseñar su plan incluyendo actividades de consultoría en la aplicación de normas, estándares y mejores prácticas. Esto tiene mucho sentido porque si se ha identificado un riesgo, porque no orientar el esfuerzo de mitigación que la organización puede seguir. El trabajo de consultoría puede seguir la siguiente ruta:
- IDENTIFICACIÓN. Consiste en la identificación de principales riesgos que pueden ser cubiertos por la aplicación de una norma o estándar. Esta fase debería de aportar la información para priorizar la aplicación de normas. Es decir, la organización debe de realizarse un examen y definir sus prioridades en la implementación de estándares. Esto es importante porque no se puede empezar a implementar todos los estándares existentes, así que debe priorizarse que interesa más a la organización: gestión de TI, gobierno de TI, Seguridad de la Información, Gestión de riesgos, Calidad, etc.
- El Auditor de Sistemas puede compartir su conocimiento con el personal de TI para dar a conocer al personal de la organización el contenido de las normas aplicables. Esto ayudaría nivelar el conocimiento sobre las normas y posibles rutas de acción que motivarían la adopción de un marco de referencia.
- PRIORIZACIÓN DE ACCIONES. En esta fase, el Auditor de Sistemas debe facilitar un proceso para orientar un esfuerzo de decisión sobre las prioridades de implementación. Es importante establecer el rol de consultor, que implica el no decidir prioridades de implementación por los responsables de la gestión de TI, ni participar activamente en la implementación de las normas. El punto es colaborar en crear un Plan de Trabajo que posteriormente los responsables de la gestión de las TI pueden seguir.
Seguir este proceso ayudará a posicionar el valor de la Auditoría de Sistemas en la organización, especialmente si se cumple el plan de implementación de estándares y la organización materializa los beneficios.
Vinculación del Auditor de Sistemas con la Auditoría Interna
La Auditoría de Sistemas como actividad profesional está insertada dentro de la práctica de Auditoría, ya sea interna o externa. Por lo tanto, los Auditores de Sistemas deben tener fundamentos de Auditoría que le permitirán coordinar, desarrollar y presentar resultados en sintonía con las prácticas de Auditoría que se siguen en las empresas.
La Auditoría de Sistemas guiada por los estándares de ISACA y especialmente por COBIT 5, tiene una alineación natural con la Auditoría Interna, debido a que esta busca el fortalecimiento de los sistemas de control, gestión de riesgos y gobierno de las empresas. Debido a esta alineación, resulta lógico que los Auditores de Sistemas sean contratados en las empresas a través de los Auditores Internos, creándose una dependencia laboral entre estas dos profesiones. Un auditor de sistemas certificado (CISA) debe de conocer que en el ámbito de la Auditoría Interna existen normas y marcos de referencia que resulta necesario conocer para poder comunicarse eficientemente con los Auditores Internos y lograr sinergia en el trabajo. ISACA nos ha señalado por largo tiempo algunos marcos de referencia, normalmente orientados a las tecnologías de la información, tales como ISO 2000, ISO 27000, ITIL y similares, pero de igual manera se debe de considerar las Normas Internacionales para el ejercicio Profesional de la Auditoría Interna, emitidas por el Instituto de Auditores Internos (IIA, de sus siglas en inglés), cuya última versión entró en vigencia en enero de 2017. Este marco considera principios básicos para la práctica de la Auditoría Interna que son usados de referencia para la implementación y la operación de las Unidades de Auditoría Interna en las empresas.
Entre otras cosas, las normas del IIA establecen la relación existente entre las Unidades de Auditoría y la dirección de la organización. Un punto importante que establece es que debe existir un Director Ejecutivo de Auditoría (DEA), quién es el responsable de la planificación, organización, ejecución e informe de los resultados de la actividad de Auditoría Interna. Normalmente, un Auditor de Sistemas soportará al DEA en la parte del aseguramiento que corresponde a las Tecnologías de la Información, por lo que debe establecer un protocolo de trabajo cooperativo que permita apoyar eficientemente en cada fase del ciclo de ejecución de un Plan de Auditoría Interna, que normalmente tendrá un ciclo anual. Con el auge del uso de las Tecnologías de la Información en todos los ámbitos de las empresas, el rol del Auditor de Sistemas es vital para definir un alcance adecuado de un Plan de Auditoría Interna. En este sentido, el Auditor de Sistemas deberá de preocuparse por el conocimiento de la empresa y sus operaciones informáticas para apoyar al DEA en la definición de un Plan de Auditoría razonable para mitigar los principales riesgos.
Es importante recalcar que el éxito de la comunicación entre el Auditor de Sistemas y el Director Ejecutivo de Auditoría es crucial para garantizar la efectividad de la ejecución del Plan Anual de Auditoría. La comunicación es en ambas vías. El Director Ejecutivo de Auditoría debe alertar al Auditor de Sistemas sobre el análisis de situaciones que involucren las Tecnologías de la Información. El Auditor de Sistemas debe alertar al Director Ejecutivo de Auditoría sobre aspectos deficientes en la información de la organización y en el uso de Tecnologías de la Información que impactan negativamente en los resultados de la empresa. Es importante recalcar que riesgos como la interrupción de operaciones por fallas en Tecnología, o la materialización de fraudes por una gestión de accesos deficiente, si bien son temas que revisará el Auditor de Sistemas, muchas veces requieren de soluciones que van más allá de la Gestión de las Tecnologías e impactan en los procesos, políticas y la definición de responsabilidades de cada puesto.
Otros aspectos de la vinculación de la Auditoría de Sistemas con la Auditoría Interna serán tocados en publicaciones posteriores.
Auditoría de Sistemas
Vamos a comentar un poco sobre la Auditoría de Sistemas, comenzando con su definición. Es importante hablar de este tema, porque en El Salvador y en la región centroamericana en general no se ha llegado a valorar el verdadero aporte que un buen auditor de sistemas proporciona a la organización. Muchos perciben la auditoría de sistemas como una asistencia al Auditor Financiero externo o al Auditor Interno. Pocos perciben la necesidad de considerar Auditorías de Sistemas que realmente auditen las Tecnologías de la Información, ayudando a comprender si quienes son responsables de la función de TI están desempeñando un trabajo completo, que proporciona un soporte a las operaciones actuales del negocio, mientras se prepara para asumir los retos futuros, evaluando riesgos y aprovechando al máximo la inversión en TI. Lógico es pensar, que en primer lugar, la Alta Gerencia también ha valorado muy poco la función de TI en la organización, considerándola un centro de costo, más que un aliado estratégico en el logro de objetivos de negocio. Por otro lado, si la Alta Dirección le da importancia a contar con sistemas de información e infraestructura de Tecnologías de la Información que soporten con efectividad y eficiencia al negocio, también incluirá en sus planes el contar con Auditoría de Sistemas que le ayude a verificar que efectivamente es así y que además le ayude en la formulación de Planes de Acción razonables para mejorar el desempeño del soporte de TI al negocio.
Primero, hay que valorar la función de las Tecnologías de la Información en la organización, luego hay que auditarlas para comprobar su efectividad.
Bajo este enfoque, igual que la Auditoría Interna, la Auditoría de Sistemas proporciona una labor de soporte a los objetivos de negocio, proporcionando aseguramiento sobre la función de TI en la organización y proveyendo consultoría adecuada a los objetivos de la organización. A este respecto, es conveniente definir previamente que es un Auditor Interno. De acuerdo al Instituto de Auditores Internos (IAI, www.theiia.org) “la Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Para el IAI un Auditor de Tecnología de la Información es un Auditor Interno que se enfoca en el uso que la Organización hace de las Tecnologías de la Información. Por lo cual, el desarrollar una buena práctica de auditoría de sistemas, implica realizar el trabajo de acuerdo con metodologías de auditoría interna que van desde la creación de un Plan Anual de Auditoría, la creación de revisiones específicas de procesos de gestión de TI o de la correcta configuración de Tecnologías específicas, hasta la revisión y discusión de hallazgos con los responsables de la función de TI y la elaboración de informes para la alta gerencia que permitan revelar efectivamente los principales problemas detectados y las soluciones recomendadas para mejorar el funcionamiento de las Tecnologías de la Información en la organización.
Es importante recalcar que el proceso de auditoría de sistemas es altamente técnico. Un análisis sin fundamento técnico carecería de valor para el auditado, porque no se le estarían identificando problemas clave ni generando recomendaciones que mejoren la forma en la que se brinda soporte al negocio. Esto incluye las mismas herramientas que se utilizan, como los escaneadores de infraestructura, que requieren ser configurados efectivamente para lograr los mejores resultados, a través de parámetros específicos del equipo que se está auditando. Es tan importante esto, que los mismos fabricantes del software para realizar auditorías, otorgan a través de examenes detallados, certificaciones del conocimiento que una persona tiene para auditar utilizando estas herramientas (a manera de ejemplo se puede consultar http://elearn.tenable.com/course/info.php?id=55). Adicionalmente, ISACA, la entidad que ha normado a nivel mundial el conocimiento requerido para certificarse como Auditor de Sistemas, CISA, (Certified Information System Auditor, http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx) otorga una certificación relativa al conocimiento que el auditor de sistemas tiene en cinco áreas de conocimiento. El auditor de sistemas de información certificado debe demostrar conocimiento en el proceso de auditoría, el gobierno y la gestión de TI, la adquisición, desarrollo e implementación de Sistemas de Información, la operación, mantenimiento y soporte de los sistemas de información y la protección a los activos de información. En estas áreas, un auditor de sistemas es probado a través de un examen su conocimiento sobre las normas existentes, las prácticas más recomendadas por los fabricantes y el funcionamiento de las tecnologías auditables. Esto tiene el objetivo de proveer aseguramiento de que quién posee una certificación en auditoría de sistemas, tiene el conocimiento técnico y conoce la metodología de trabajo de la auditoría interna para lograr cumplir con su trabajo de aseguramiento y consultoría para ayudar a la alta dirección a retroalimentarse sobre el funcionamiento de la función de TI en la organización.
La Administración Segura de los Recursos de TI
Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.
Los Diferentes Ángulos de la Seguridad de la Información
Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.
La Efectividad y la Eficiencia de las operaciones de TI
Cuando se preguntan sobre las razones para tener controles internos de TI, monitoreados a través de procesos de Auditoría de Sistemas, la razón es basada en la búsqueda de la efectividad y la eficiencia de las operaciones de TI. Aunque la efectividad y la eficiencia son dos atributos deseables en cualquier diseño, ya sea de controles o de cualquier otra cosa, es sorprendentemente fácil salirse del curso normal de operaciones y fallar en estos dos atributos en las operaciones de TI.
Antes de hablar más, hay que tener claro que toda la función de TI es considerada secundaria en los procesos de negocio para la mayoría de las empresas, esto es, no es la función que aporta el valor, entiéndase los ingresos, al negocio, sino que soporta o apoya las funciones vitales que sustentan la creación de valor en las organizaciones. Lo que sí se puede afirmar categóricamente en la mayoría de los casos, es que la función de TI es una función de soporte “vital” para las operaciones de TI. Es decir que, al suspenderse o deteriorarse algunos servicios de TI, se impacta directamente los ingresos o la imagen de la organización. Lo cual nos permite concluir, que si los servicios de TI no son eficientes y eficaces, la organización pierde valor.
En un mundo ideal, o mejor dicho, en una función de TI ideal, los servicios que proporciona TI están bien diseñados, tienen sus controles efectivamente diseñados y se ejecutan al pie de la letra, sin excepciones. En un mundo auditable, que es triste decirlo, pero es la realidad de las mayorías de empresas, se realizan las operaciones de TI bajo la ausencia de muchos controles, sin seguir las mejores prácticas conocidas e incluso no aplicando las pocas que puedan tener implementadas. Esto afecta tremendamente a la empresa. Por ejemplo, si una función que atienda incidentes no ha sido propiamente desarrollada, la suma y repetición de incidentes, puede causar tiempos muertos en la generación de ingresos. El personal de TI puede muy fácilmente decirle a sus usuarios internos que se esperen en lo que se reparan o corrigen errores en el sistema, pero en la realidad, esperarse puede implicar retrasar o imposibilitar la generación del ingreso, si el sistema en cuestión sirve para proporcionar servicios directos al cliente, como facturación, atención en ventanilla y similares.
Ser efectivos en la función de TI implica proporcionar el servicio esperado al negocio, con la calidad requerida y de manera oportuna. De esta manera, la función de auditoría de sistemas soporta al negocio en asegurar que los procesos de TI se mantengan cumpliendo con su función y el negocio sea bien soportado.
Ser eficientes en la función de TI implica que no se desperdician valiosos recursos de TI de la organización en otros fines que no sean soportar eficientemente al negocio. Por ejemplo, tener dispositivos para realizar respaldos de datos es eficiente si estos realizan el respaldo de acuerdo con el programa de respaldos diseñado. Si ocurre una falla y se requiere un respaldo que no se hizo, la eficiencia del control se habría perdido.
La auditoría de sistemas ayuda al negocio a determinar la completicidad de controles de las operaciones de TI, conforme a las necesidades y riesgos del negocio. También asegura que los controles existentes son efectivos y se ejecutan de manera eficiente. Para hacer esto, la auditoría de sistemas revisa cada proceso de TI, examinando la existencia de controles y realizando pruebas que ayuden a determinar el nivel de eficiencia con el que se ejecuta. No tener auditoría de sistemas en una empresa en la que la función de TI es vital para soportar las operaciones de negocio, implica poner en riesgo los procesos de negocio que aportan valor a la organización.
Auditoría de Bases de Datos
Una dificultad inherente de la auditoría de las bases de datos es el nivel de conocimiento que se tiene del motor de bases de datos. Es complicado estar al tanto de todas las opciones disponibles dentro del software de base de datos, las capacidades que proporcionan y como pueden ser usadas para realizar transacciones indebidas. Especialmente importante es saber cuáles transacciones son las que se han ejecutado y el impacto que tienen en el control interno. Para establecer un ejemplo, pensemos en la capacidad que tiene un Administrador de Base de Datos para cambiar el password de un usuario. Esta capacidad podría permitirle cambiar el password de un usuario y luego utilizar el usuario para realizar transacciones indebidas, totalmente amparado en el anonimato. Si pensamos en este escenario de riesgo y comenzamos a estudiar los controles que se pueden implementar, una forma de controlar este riesgo es el establecimiento de roles concretos de usuarios, con la definición de las instrucciones específicas que pueden realizar. Hay que recordar que en la base de datos se pueden realizar 4 tipos de transacciones a nivel de usuario: agregar datos, modificar datos, borrar datos y consultar. Las otras opciones son a nivel de la administración del software y la base de datos misma. Aquí podemos enumerar acciones como la creación de bases de datos, la creación de usuarios, la creación de tablas en la base de datos y la asignación de permisos de acceso a los usuarios para definir que privilegios tendrán sobre las tablas de datos, es decir, si podrán añadir datos, modificarlos, borrarlos o consultarlos. De esta manera, un rol de administrador de bases de datos, no debe de tener acceso a realizar operaciones sobre los datos. El uso de las opciones del administrador de base de datos para asignar privilegios de acceso, debe de ser autorizado por el dueño de la base de datos y monitoreado por la gerencia general y la auditoría interna. De igual manera, los cambios realizados al entorno de la gestión de la base de datos, como el cambio de passwords de usuarios, debe de hacerse de acuerdo a políticas, solicitudes debidamente registradas, agregando mecanismos que garanticen que el usuario tiene control sobre la definición y seguridad de su password. Esto incluye que el usuario este consciente de los riesgos existentes si alguien más conoce y utiliza su password.
Para resumir, la auditoría de bases de datos requiere del conocimiento del auditor del motor de base de datos, de los procedimientos y controles necesarios para administrar transparentemente las bases de datos, así como de los recursos técnicos para verificar el funcionamiento correcto de los controles. En el medio salvadoreño, muchas veces pasa que la Gerencia de TI no ha definido completamente estos controles, por lo que toca al auditor de sistemas evaluar la situación actual del ambiente de control de la base de datos y recomendar los controles necesarios para llevar el sistema de control interno de la base de datos a un nivel óptimo.
Gestión y Auditoría de TI 