Archivo del sitio

La Auditoría de la Seguridad Lógica.

La seguridad lógica puede pasar desapercibida para la Alta Dirección, dado que representa la confianza que se tiene en que la Gestión de TI ha tomado las precauciones necesarias para salvaguardar los datos y garantizar que nadie sin acceso autorizado podrá ver, manipular o extraer nuestros datos. Debido a que la seguridad lógica es la principal frontera que se establece entre nuestros datos y el personal autorizado, la conveniencia de tener un aseguramiento de su correcta administración resulta  más que evidente. Esto es especialmente importante, si tomamos en cuenta que los estudios sobre seguridad de la información nos dicen que las mayores fuentes de amenazas a la seguridad de la información son internas. Por supuesto, las amenazas externas siempre existen y hay que anularlas y establecer las medidas necesarias para garantizar que personas ajenas a la organización lleguen a nuestros servidores a extraer datos o tomar control de nuestras operaciones. A este respecto, ya vimos la semana pasada, en la República Mexicana, un ataque masivo a sitios de gobierno y de medios de comunicación. Esto nos indica que las amenazas externas existen, por lo que  no hay que esperar que nos pase a nosotros y tener las debidas medidas de seguridad configuradas para proteger lógicamente todos los activos informáticos.

En la administración de la seguridad lógica intervienen muchos componentes, dado que se refiere a las configuraciones que permiten acceder hasta los datos. Para ser puntual, los datos normalmente residen en servidores de bases de datos, colocados en algún lugar de la red institucional, con equipos de comunicaciones mediando entre las estaciones clientes y los datos. Proveer acceso a los datos normalmente debe de seguir una cadena de permisos de acceso. Los permisos pueden incluir: acceso a la red, al dominio, a la aplicación y a la base de datos. La permisividad que se da a los usuarios sobre los datos, depende del nivel de confianza y de responsabilidades asignadas a los mismos. Adicionalmente, la Gestión de TI debe de asegurarse que en cada equipo o componente, se han reducido o limitado las posibilidades de que una persona tome control sobre el componente, permitiendo asignar permisos a su discreción.

La Auditoría de Sistemas cuando revisa la seguridad lógica verifica que existan los procedimientos necesarios para controlar todos los componentes y que las configuraciones de cada componente no permiten que se puedan acceder sin conocimiento de la Gestión de TI. Una Auditoría más profunda, pasa a la revisión de permisos específicos asignados por usuario, de tal forma que se establezca que no existen accesos y privilegios asignados adicionales a los necesarios para cumplir con su perfil de trabajo. Incluso se puede llegar a utilizar herramientas de “hackeo ético”, para lograr probar que la infraestructura lógica está bien configurada y no está dejando vulnerabilidades expuestas. Este análisis realizado por la Auditoría de Sistemas provee a la Alta Dirección un nivel adicional de garantía de que la seguridad lógica esta siendo bien administrada y en el peor de los casos, si el análisis de Auditoría de Sistemas descubre hallazgos, de que medidas correctivas se están tomando y la seguridad lógica del acceso a datos será mejorada.

Auditando Políticas de TI

En otra ocasión hablamos de la importancia de la creación de las políticas de TI como una herramienta para crear un equipo de dirección que incluya a la Alta Dirección en la toma de decisiones de la gestión de TI. Las políticas, en ese sentido sirven para establecer el marco regulatorio de toda la actividad de TI, soportadas por la Alta Dirección y ejecutadas a través de las operaciones del departamento de TI. Si la ejecución funcionará perfectamente, definitivamente no existiría lugar para la Auditoría de Sistemas. Sin embargo, la función de Auditoría de Sistemas resulta útil para activar la mejora continua de las políticas de TI.

En primer lugar, la revisión de los resultados de la aplicación de políticas puede determinar que hay áreas que no han sido normadas adecuadamente, creando situaciones de riesgo para la información. Es decir, aun cuando se cumplan las políticas existentes, la Auditoría de Sistemas sirve para evaluar si ese cumplimiento es suficiente para mitigar los riesgos existentes. Por ejemplo, si existe una política de asignación de laptops a puesto claves y no existe una política de resguardo de la información que viaja en esas laptops, la verificación de la seguridad de la información que realice una auditoría de sistemas, determinará como hallazgo el peligro que existe de perder información almacenada en las laptops, creando la recomendación de evaluar las opciones para garantizar que la información almacenada en las laptops no se pierda o llegue a manos equivocadas. Es conveniente plantear un segundo escenario sobre este mismo caso. Si existe ya una política de seguridad de la información de los dispositivos móviles y el departamento de TI la ha implementado a través de tecnología que cifra la información y crea los respaldos tan pronto la máquina se conecta a la organización, la Auditoría de Sistemas procederá a verificar el cumplimiento de la política y su mecanismo de implementación a través de la revisión de que todas las máquinas o una muestra de ellas, dependiendo del tamaño de la organización, efectivamente tengan los agentes instalados y no existan excepciones a la ejecución de respaldos. En un caso ideal, todos los equipos estarían protegidos y no habría mayor hallazgo que reportar, pero si se detecta un número mayor a lo que se puede considerar una excepción, que normalmente no pueden ser más de una o dos, la Auditoría de Sistemas procedería a investigar la causa de estas excepciones, para lograr determinar el hallazgo real y crear una recomendación para eliminarlo. Lo importante del ejemplo es que aunque la definición de Políticas de TI es el inicio de un ambiente controlado de operaciones de TI, en la práctica es necesario siempre tener un nivel adicional de validación de que se están implementando las políticas de acuerdo a la intención original y que cumplen con el objetivo para el que se crearon. Si enumeramos las excepciones y omisiones creadas por los departamentos de TI, se encontrará una justificación importante para que una organización cuente con servicios de Auditoría de Sistemas.

La planificación de la Auditoría de Sistemas.

Un paso importante en el proceso de Auditoría de Sistemas es la definición de un Plan de Auditoría. Esta es una actividad que debería de hacerse a finales de año, a partir de la experiencia de las auditorías del año actual, a partir de los objetivos de la organización para el nuevo año y a partir de los proyectos planificados para el próximo año y ojalá, a partir de la situación de riesgos evaluados en el momento de realizar la planificación. En un universo de riesgos que siempre es más grande que las horas disponibles para realizar auditorías, siempre tienen que existir criterios para decidir que es lo que se audita y que no. El caso ideal, pero muy infrecuente de ver en nuestras empresas salvadoreñas, es cuando se ha realizado un ejercicio total de análisis de riesgo, el cual se actualiza con las revisiones de auditoría realizadas y de esta forma permite establecer a través de un sistema de calificación cuales áreas presentan más riesgos y entonces, no hay nada más que discutir, se audita lo que tiene mayores riesgos.

Otras empresas adoptan un patrón cíclico. Tienen el inventario de procesos desarrollados en la organización y a partir de este listado, se van eligiendo los temas que se revisarán. Es un enfoque que puede guiarse por el “olfato de riesgo” que tenga el auditor, que no siempre es acertado, pero en fin, es otra manera de actuar.

Si se quiere hacer crecer el nivel del control interno en las operaciones de TI, lo más conveniente es no sólo ver hacia adentro de la organización, sino también ver hacia afuera. La pregunta es ¿Qué establece un marco de referencia como COBIT que debe de realizar la gestión de TI?¿Cuales de estos procesos tendrían una importancia alta para la organización?¿Cuales serían los procesos que aportarían valor a la gestión de TI? A partir de estas respuestas, se puede desarrollar un plan que va a forzar a crecer a las organizaciones en su ambiente de control interno de TI, al considerar los riesgos documentados por los marcos de referencia en la organización, al considerar las prácticas de gestión recomendadas versus las practicas adoptadas o no ejecutadas por la función de TI. Sin duda alguna, este enfoque proporcionará un buen resultado de las auditorías de TI. Si se decide realizar este enfoque, es conveniente que el auditor coordine con la gestión de TI el enfoque de la auditoría. De esta manera se puede lograr un crecimiento simbiótico de la gestión de TI en la organización. No se trata de esconder el criterio de evaluación, se trata de que todos entiendan lo mismo al hablar de un proceso y que exista consenso en la necesidad para la organización. Es conveniente recordar aquí que existen muchos marcos de referencia que la Gestión de TI puede seguir. Incluso la elección del marco de referencia debe de ser guiado por el tipo y nivel de riesgos a mitigar y las necesidades de la organización. Por ejemplo, es inexplicable encontrar organizaciones que tienen que cumplir con marcos regulatorios y ni el responsable de TI implementa la regulación, ni el departamento de auditoría ha realizado una revisión del cumplimiento. Definitivamente, las decisiones tomadas al momento de hacer un Plan de Auditoría impactan en los niveles de cumplimiento de la organización. Siempre hay que pensar que aunque la situación de cumplimiento de normas y regulaciones en una organización no sea el óptimo hoy, esa condición tiene que mejorar en el futuro a partir del trabajo realizado, ya sea en la gestión o en la auditoría de TI.

Creo que dejaré esta entrada hasta aquí. Tengo que hacer un Plan de Auditoría.

Las Pruebas de Auditoría de Sistemas

El aseguramiento de la correcta configuración y operación efectiva de los controles de TI implementados en cada componente o proceso de gestión de TI se logra a través de la realización de pruebas. Las pruebas se constituyen por un procedimiento a seguir para garantizar que un determinado control está en funcionamiento, que es eficiente y que sus resultados son efectivos. Las pruebas pueden incluir la revisión de configuraciones clave, de acuerdo a las especificaciones de fabrica de componentes de equipo o sistemas, la revisión de la documentación que evidencia la realización de un proceso, la revisión de las bitácoras de los sistemas de información, la verificación física de los controles ambientales en centros de datos, tales como la temperatura, humedad y el inventario de medidas de seguridad para garantizar acceso solo a personas autorizadas. En ambientes ERP grandes (SAP, Oracle Business Suite y similares) las pruebas a realizar ya están definidas por los mismos controles implementados en la solución de software. En estos casos el auditor tiene más bien que seleccionar de la amplia gama de controles y formas de prueba disponibles, cuales son los que se realizarán en base a la situación siendo evaluada y el perfil de riesgos de la organización.

Lo verdaderamente retador para un auditor de sistemas es cuando se enfrenta a una situación específica, no estándar, como los desarrollos a la medida que implementan muy frecuentemente en las empresas salvadoreñas y centroamericanas. Incluso hay una gran gama de aplicaciones realizadas por consultores locales, que es frecuente encontrar en diferentes empresas, que tampoco tienen documentados sus controles. En estos casos, un auditor de sistemas tiene que volver a lo básico. Primero, hay que entender como esta diseñado el sistema. Verificar la documentación técnica disponible, los procesos de negocio que soporta, experimentar con el sistema en ambientes de prueba. A partir de este aprendizaje, hay que echar a correr el análisis de riesgos, para identificar en que lugares el software presenta mayores riesgos. El arte esta en formular hipótesis de los riesgos existentes, para luego crear pruebas que comprueben o eliminen una hipótesis. Alguien dirá, el método científico aplicado a la Auditoría de Sistemas, pues bien, ¿Quién dijo que no se podía aplicar? De hecho el desarrollo de la ciencia se basa en el constante interrogatorio de la realidad. Pues bien, un buen auditor de TI siempre estará preguntándose que logra verificar una prueba. Incluso en ambientes que se supone están bien documentados, en programas de auditoría comercializados por los fabricantes, un buen auditor de TI puede encontrar los errores que han cometido los diseñadores del plan a partir de un interrogatorio constante de la efectividad de las pruebas, del análisis de los resultados. Hay que recordar que también el auditor debe de ser eficiente a la hora de realizar sus pruebas, por lo que no solo debe de buscar o diseñar las pruebas a realizar, sino buscar que sean las mejores, las que buscan probar o negar una hipótesis de manera más eficiente.

Es importante mencionar que para diseñar pruebas eficientes, el auditor de TI debe también de conocer de la tecnología. Su primera fortaleza debe de ser conocer la tecnología, eso le permitirá saber cuando una prueba es eficiente y cuando puede ser mejorada.

¿Qué es la auditoría de sistemas?

El principal problema en la gestión de las Tecnologías de la Información en la región centroamericana, desde el punto de vista de la implementación de controles se basa en la inexistencia de una cultura de control entre los responsables de la gestión de las Tecnologías de la Información, tales como Gerentes de Sistemas y Directores de TI, así como de la alta dirección, desde Gerentes Generales, Gerentes financieros, Presidentes y similares. La razón principal podría basarse en que cuando la generación que hoy dirige las empresas pasó por las aulas universitarias, el estado de las Tecnologías de la Información no era lo que es hoy y nadie en esos momentos hubiera predicho como evolucionarían las cosas y la importancia que la información llegaría a tener en las operaciones diarias de las organizaciones.

Sin embargo, las empresas hoy están realizando grandes inversiones en Tecnologías de la Información, necesarias para mantenerse competitivos y muchas veces para potenciar el negocio, por lo que interesa tener control sobre las Tecnologías de la Información para obtener los beneficios esperados y evitar o minimizar los riesgos inherentes. Pensemos en el giro que han tomado los antiguos periódicos de papel y que hoy buscan ganar en el ciberespacio un lugar para no quedar desfasados y ser remplazados totalmente por lecturas digitales.

En este contexto, la auditoría de sistemas tiene el rol de realizar revisiones técnicas de los controles establecidos por los responsables de TI para informar a la alta gerencia sobre posibles riesgos que se generan en la gestión de las Tecnologías de la Información y apoyar con la recomendación de la creación de controles que son necesarios o en la optimización de los existentes. En esta función, la auditoría de sistemas tiene un rol dual. Por un lado, se convierte en los ojos de la alta gerencia para evaluar el funcionamiento de la gestión de TI. Por otro lado, ayuda a formar un marco de control interno en el área de TI de acuerdo con las necesidades de la empresa.

La función de auditoría de sistemas utiliza en sus revisiones como criterios de evaluación diferentes normas y marcos de referencia que han sido creados a partir de consensos internacionales, además de las normas regulatorias locales y las buenas prácticas recomendadas por los fabricantes de tecnología. Esto constituye una garantía de que se realizan evaluaciones objetivas. De hecho, los responsables de TI, en la medida que maduran sobre su aprendizaje de la gestión de TI, van reconociendo las normas y marcos de referencia que les son aplicables y van implementando controles de acuerdo a evaluaciones propias de pertinencia en la organización. Esto es un reconocimiento implícito de la necesidad de control por parte de los responsables de la función de TI en las organizaciones. En un ambiente organizacional que provee mejora continua a sus procesos de gestión, la auditoría de sistemas le aporta los conocimientos necesarios para enfocar la mejora en el control de TI, bajo un enfoque metodológico y sistemático, basado en normas y marcos de referencia reconocidos y totalmente integrado con el plan de auditoría interna de la organización.

A %d blogueros les gusta esto: