Archivo del sitio
La independencia del auditor de sistemas
Entre las muchas cualidades que un Auditor de Sistemas debe de poseer para mantener una calidad aceptable ante diversos estándares de auditoría es la independencia. El Auditor de Sistemas debe de ser y percibirse como un profesional independiente, que emitirá su opinión sobre las áreas que audite sin ninguna influencia.
El Auditor de Sistemas logra demostrar independencia desde el momento en que es colocado en un esquema organizativo y no tiene ningún vínculo que lo haga depender en alguna manera, por ejemplo, a través del pago de sus honorarios, o por tener una línea de reporte directo con las áreas que audita. Para ser concretos, un Auditor de Sistemas no puede depender de la Gerencia de Tecnologías de la Información, dado que no podría auditar objetivamente a su jefe y compañeros de trabajo. Si hablamos de Auditoría Interna, en el contexto de una organización grande, el Auditor de Sistemas aparecerá en el organigrama de Auditoría Interna, que, a su vez, no deberá tener ninguna dependencia de ninguna unidad organizativa de la empresa. Lo más frecuente es que la Unidad de Auditoría Interna reporte a un Auditor Corporativo o General, que a su vez reporta directamente a un Comité de Auditoría. Esto crea una estructura de auditoría paralela a la estructura organizativa que “de forma independiente” ayuda a la alta dirección a realizar verificaciones de áreas o procesos clave para el cumplimiento de objetivos.
El Auditor de Sistemas debe de seguir este principio de independencia y actuar de manera tal que las áreas auditadas no puedan “influenciar” las decisiones que toma. Es decir, el Auditor de Sistemas debe hacer valer su independencia en todo momento y no permitir que ningún tipo de influencia, interna o externa, afecte las decisiones que toma sobre su trabajo. Entre las influencias externas podemos dar como ejemplo, los proveedores del área de las Tecnologías de la Información. En general, los proveedores buscarán utilizar cualquier medio que este a su alcance para lograr concretar una oportunidad de negocio. Esto puede incluir seguir la estrategia de “invitar” al Auditor de Sistemas a eventos que promueven sus productos, para demostrar al Gerente de TI que el producto es avalado por el Auditor de Sistemas. Este es un comportamiento no ético de parte del vendedor, pero que dependerá de que el Auditor de Sistemas acepté las invitaciones que le hagan. La mejor conducta que puede seguir un Auditor de Sistemas es no aceptar invitaciones de ningún tipo de proveedores de Tecnologías de la Información. Las necesidades de capacitación del Auditor de Sistemas deben de ser cubiertas por fuentes que mantengan su independencia y que sean formales. Si se necesitan de cursos, estos deben de ser impartidos por entidades especializadas en capacitación, que no dependan de los proveedores, o por accesos a la documentación formal que la empresa ha adquirido. Todos estos recursos deberán de estar consignados en el presupuesto anual de operación del área de Auditoría de Sistemas. Estos mecanismos permitirán que el Auditor de Sistemas no se vea influenciado en sus decisiones por ninguna entidad.
De alguna manera, este principio de independencia implica que el Auditor de Sistemas trabajará con recursos independientes, que ningún auditado tendrá influencia sobre si el Auditor de Sistemas puede o no tener acceso a un recurso, ni mucho menos especificar los resultados del trabajo del Auditor de Sistemas. Es claro que los informes de auditoría serán firmados por el Auditor de Sistemas, por lo que al final, es el único responsable de su trabajo. El principio de independencia le ayuda a asegurar que nadie influencia el contenido de sus informes y de que son únicamente el resultado de su trabajo en el proceso de Auditoría.
UNIVERSO DE AUDITORIA DE TI, PARTE II
Priorizando las auditorías a realizar.
En el blog anterior, establecimos que el Auditor de Sistemas debe de realizar una investigación para conocer la empresa y la forma en la que las Tecnologías de la Información están soportando los objetivos del negocio. Es una investigación exhaustiva, que permita identificar todos los elementos auditables en la organización y generar una lista de elementos auditables que incluimos en una lista que denominaremos Universo de Auditoría.
Para tratar esa lista, el Auditor de Sistemas debe establecer criterios que le permitan establecer un orden que le indique qué se auditará primero y que se auditará después. Realmente, estamos hablando de que se incluirá en un Plan de Trabajo de la Auditoría de Sistemas, para un horizonte de planificación que normalmente será de un año. Posiblemente para cubrir un Universo de Auditoría de manera completa, se requiere un esfuerzo en horas auditor, que expanda varios años. Esto hace muy importante, que los elementos auditables de la lista del Universo de Auditoría se categoricen para auditar primero los temas de mayor relevancia para la organización, permitiendo al Auditor de Sistemas aportar recomendaciones de manera oportuna.
El primer criterio utilizado es el riesgo. El riesgo se refiere a prever o inferir la ocurrencia de eventos que puedan causar el impacto de que una organización pueda fallar en sus objetivos de negocio. Por contrapartida, el trabajo de soporte de la función de TI contribuye a mitigar estos riesgos, a través la ejecución de acciones que eviten que los eventos de riesgo ocurran o que limiten o mitiguen el efecto causado. Por esta razón, las actividades que desarrolla la función de TI tienden a verse como “controles” que mitigan riesgos en una organización. Si ponemos un ejemplo para clarificar estos conceptos, pensemos en el evento de riesgo que se podría dar cuando se daña un dispositivo que almacena información importante para la organización. El riesgo real, es que el negocio no pueda operar al ritmo esperado por no contar con la información almacenada en el activo informático en cuestión. Esto podría traer un impacto económico, como el retraso o la pérdida de ingresos, o un impacto reputacional, por no poder proporcionar el nivel de servicio esperado por el cliente. La Gerencia de TI, ante este riesgo, puede haber dispuesto varios controles o actividades para mitigarlo. Uno podría ser la ejecución de respaldos frecuentes que permitan contar con un medio de recuperación en casos de falla.
Aunque existen muchas técnicas para realizar una Evaluación de Riesgos, es importante seleccionar una que no demande demasiado esfuerzo de realización, que permita priorizar de manera efectiva, de tal manera que el Auditor de Sistemas pueda obtener una clasificación en un tiempo razonable. Aun así, dependiendo del tamaño de la organización y sus operaciones, este análisis requerirá de un esfuerzo de semanas o quizá meses, pero que resulta importante para lograr efectividad en el trabajo posterior del Auditor de Sistemas. Si la empresa ha madurado la función de Gestión de Riesgos y cuenta con una evaluación organizacional de riesgos muy sólida, esto facilita las cosas. Porque como Auditores de Sistemas, podemos confiar en el trabajo de otros profesionales para cumplir con nuestra función. También es conveniente notar, que el Auditor de Sistemas debe de utilizar su criterio profesional con toda la información que analiza, por lo que, si al analizar una evaluación de riesgos organizacional, existen valoraciones que no considere correctas, el Auditor de Sistemas deberá de realizar sus correcciones para contar con una evaluación de riesgos que satisfaga sus propios criterios. También el Auditor de Sistemas tendrá que relacionar cada elemento del Universo de Auditoría con los riesgos que mitiga. Esto es lo que permite la categorización de los elementos, asignando mayor prioridad a los que mitigan riesgos más críticos y dejando después a los que ataquen riesgos medios o bajos.
Si no existe una Evaluación de Riesgos organizacional, el Auditor de Sistemas deberá realizar su propia valoración de los riesgos existentes y ubicar la importancia que tiene cada elemento del Universo de Auditoría para prevenir, detectar o mitigar los riesgos. En todo caso, se determinará cuáles elementos de la lista resultan más importantes de auditar de acuerdo con los riesgos que ayudan a mitigar, comenzando con los de mayor riesgo.
Un segundo criterio utilizado por el Auditor de Sistemas son los requerimientos regulatorios. Si la organización está sometida a requerimientos de ley que especifican que las Tecnologías de la Información cumplan con ciertos requerimientos, o incluso sean específicas con respecto al trabajo del Auditor de Sistemas, estos pasan a tener una alta prioridad en la lista de elementos auditables. No cumplir con regulaciones de Ley trae impactos directos a la organización y estos deben de ser gestionados y resueltos oportunamente. A veces, dichas regulaciones implican la emisión de informes en momentos específicos, lo que da una pauta del momento en que tienen que ser realizados los trabajos de auditoría para cumplir con el requerimiento legal.
Finalmente, el Auditor de Sistemas deberá de utilizar sus conocimientos de la organización, para determinar la existencia de requerimientos que tienen que priorizarse para lograr efectividad y oportunidad. Aquí entra en juego, los requerimientos específicos de la contraparte directa del Auditor de Sistemas, iniciando por el Gerente de Auditoría, pero que también pueden ser peticiones específicas del Comité de Auditoría, la Junta Directiva o la Alta Administración. Por ejemplo, si la organización realizará inversiones en Tecnologías de la Información, el acompañamiento oportuno durante los proyectos podría ser prioritario. Si se determina que Auditorías previas, internas o externas, de sistemas o de otra índole, reportaron hallazgos relacionados con las Tecnologías de la Información, la revisión del cumplimiento y superación de los hallazgos se vuelve también otro criterio de priorización.
Siguiendo los criterios mencionados, el Auditor de Sistemas estará en capacidad de priorizar la lista de elementos auditables y establecer las prioridades claras sobre las auditorías que realizará. Es normal que un Universo de Auditoría se cubra de forma completa en dos o más años. También es normal, que existan elementos que no se auditen nunca. Lo importante es que el Auditor de Sistemas aportará valor a la organización, proporcionando recomendaciones relevantes, en los momentos que se necesitan.
Si gustan pueden comentar sobre otros criterios que han utilizado en su experiencia profesional para categorizar los elementos auditables de una organización.
UNIVERSO DE AUDITORÍA DE TI, PARTE I
La efectividad en la elección de qué auditar.
Los Auditores de Sistemas trabajamos con limitados recursos, especialmente de tiempo, para auditar un área que es muy importante, sino vital, para el logro de los objetivos del negocio. Esta situación nos lleva a priorizar qué auditar, teniendo forzosamente que dejar algunos temas para después. Sin embargo, es importante tener una idea clara del estado del uso de las Tecnologías de la Información en la organización a efecto de que la priorización no deje por fuera alcances transcendentes para el cumplimiento de la empresa. Aquí es dónde la tarea de crear el Universo de Auditoría ayuda a enfocar los recursos de Auditoría de la mejor manera.
Definición del Universo de Auditoría.
El Universo de Auditoría se refiere a todas las posibles auditorías que se pueden realizar en una organización. Cada evaluación de auditoría debe tener un alcance que permita al auditor dar a la organización resultados efectivos, esto es, informes que provean las recomendaciones necesarias de manera oportuna.
Previo a la creación del Universo de Auditoría, el Auditor de Sistemas tiene que realizar tareas que le permitan tomar decisiones bien informadas sobre que incluir y que no en el Universo de Auditoría, así como el tener la capacidad de evaluar de la manera más precisa posible los riesgos existentes.
En esta entrada del blog, vamos a tratar sobre la fase de generación de los elementos auditables de una organización, para posteriormente abordar el tema de cómo priorizar.
En la primera parte del proceso el Auditor de Sistemas debe asegurarse que entiende el funcionamiento del negocio, los procesos o actividades que son importantes para el logro de objetivos de la empresa y los principales riesgos que afronta en relación con su dependencia de las Tecnologías de la Información. Hay que recordar que las Tecnologías de la Información son cada vez más relevantes en todos los tipos de negocio, pudiendo llegar a ser un factor indispensable para las operaciones en muchas industrias, o un factor diferenciador en otras. Posteriormente, se debe de entender completamente como se están gestionando las Tecnologías de la Información. El Auditor de Sistemas debe entender porque las Tecnologías de la Información son importantes para la empresa, cómo están soportando los objetivos de negocio y los riesgos a la operación. También se debe conocer la forma en que el departamento de TI se ha organizado para responder a las necesidades de la organización, las Tecnologías actualmente implementadas y los planes para adoptar nuevas plataformas o mejorar/actualizar las actuales.
Estas dos actividades de recopilación de información permitirán crear una lista de elementos que podrán ser considerados dentro del Universo de Auditoría. Esta es una fase en la que interesa capturar todos los elementos posibles. Estos elementos incluyen cosas como: el esquema normativo o políticas vigentes, la organización, procesos de gestión de TI implementados y sus normas de referencia, Tecnologías específicas utilizadas, proyectos, e incluso actividades específicas, como los respaldos de datos, que por su importancia requieren de consideración especial. Esto es un paso crucial porque impacta en la forma en la que la organización identificará el trabajo del Auditor de Sistemas como valioso. Por ejemplo, si se decide evaluar la Gestión de la Continuidad como una sola auditoría, el estudio podría tomar mucho tiempo, incluso meses en ser ejecutado. Si en el transcurso de esos meses, falla un equipo crítico y se descubre que los respaldos no se habían gestionado bien y el tiempo de recuperación se expande por esta razón, la empresa se vería impactada en costos adicionales tanto por el mismo proceso de reparación, como por el hecho de trabajar con métodos alternativos mientras se termina la recuperación. Si se define como una actividad auditable los procedimientos de Gestión de Respaldos, este estudio se podría realizar antes que abordar todo el proceso de Gestión de la Continuidad y probablemente en dos semanas o un poco más, el Auditor de Sistemas tendría la información suficiente para detectar cualquier problema con la ejecución de los respaldos, alertar a la organización y coordinar planes de acción de manera oportuna.
Una regla general para considerar cada elemento a incluir en un Universo de Auditoría es que la ejecución de una auditoría para cada elemento pueda ser realizada en menos de un mes. Esto permitirá al Auditor proporcionar al menos mensualmente, resultados a la empresa que serán oportunos y eficaces.
Atendiendo las tendencias de la auditoría ágil, que busca dar resultados inmediatos, en lugar de la realización de evaluaciones largas que tomen demasiado tiempo, el auditor de sistemas debe evaluar cada proceso que entrará al universo de auditoría y si este debe examinarse en una sola auditoría o si por practicidad, debe de realizarse en varias auditorías con alcances más limitados.
Si por ejemplo tomamos el proceso de Gestión de la Seguridad, nos daremos cuenta de que hacer una evaluación única para el tema, representará un esfuerzo de muchas horas, que se podrían llegar a traducirse en meses. Este tipo de procesos es conveniente partirlos en varias secciones, como, por ejemplo, Estrategia de Seguridad, Seguridad en Servidores, (Qué incluso se puede subdividir por tipos de sistema operativo), Seguridad en la red, Gestión de Accesos en aplicaciones. Esto permitirá realizar una priorización más acertada de acuerdo con el nivel de riesgo percibido en cada área que se pueda auditar.
Un proceso que también tiene que subdividirse y darle prioridad, son las evaluaciones normativas, es decir, las que son mandadas por alguna norma o ley aplicable al área de negocios de la organización. El Auditor de Sistemas debe de identificar los requerimientos regulativos e incluirlos como un elemento auditable dentro del Universo de Auditoría.
Concluyendo, en la primera fase de la creación del Universo de Auditoría, el Auditor de Sistemas realizará una investigación sobre el funcionamiento de la empresa y su modelo de negocio, las Tecnologías de la información utilizadas para soportar el negocio y la forma en la que se gestionan, a efectos de ir creando una lista de todo lo que se pueda auditar. En la próxima entrada del blog veremos cómo se tratará esa lista para categorizarla de acuerdo con criterios de priorización. Mientras tanto, coméntenme si les parece útil contar con una lista guía de elementos auditables y si les gustaría verla en el sitio. Hasta pronto.
Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad
En ocasión de celebrarse el IV Congreso de Auditoría Interna en El Salvador, realice la preparación de un Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad. El objetivo es presentar a la comunidad de Auditores Internos un enfoque de Auditoría Interna a la revisión de la implementación de medidas de seguridad de la información, basadas en el Framework de Cyberseguridad de NIST (National Intitute of Standards and Technology). De este framework ya hemos hablado en el blog y los interesados en el tema pueden realizar una búsqueda y encontrar artículos sobre categorías específicas del framework, así como de la aplicación de normas en la Seguridad de la Información y de aspectos de Auditoría de Sistemas relacionados.
La presentación del Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad ha sido el siguiente:
- Entender que es la Cyberseguridad. Este fenómeno del siglo XXI, que nos ataca de formas diferentes cada día y genera el riesgo de Cyberseguridad en las empresas.
- Discutir que riesgos de Cyberseguridad existen de manera genérica, para que cada persona pueda evaluar hacia su organización cuales son más relevantes en su contexto.
- Presentar el Framework de Cyberseguridad del NIST. Una iniciativa del Gobierno de los Estados Unidos, pero que ha tenido un impacto en la industria, especialmente en los proveedores y como se está compartiendo información sobre vulnerabilidades.
- Presentar el Programa de Auditoría de la Seguridad de la Información. Este es un programa basado en el programa de aseguramiento establecido por COBIT 5.
- Concluir sobre los aspectos relevantes que un Auditor Interno debe considerar respecto a la Seguridad de la Información. Estos son:
- Asegurar que existe un responsable de la Seguridad de la Información en la organización.
- Asegurar que existen los procesos, procedimientos y prácticas debidamente documentadas.
- Asegurar que existen las métricas que permitan opinar a un Auditor de Sistemas, sobre la eficiencia y eficacia de las medidas de control de la Cyberseguridad.
El programa puede ser descargado a través del siguiente link:
Seguridad de la Información Enfocada en Cyberseguridad
anexo1 Medidas de Seguridad Implementadas
Auditoría de Sistemas
Vamos a comentar un poco sobre la Auditoría de Sistemas, comenzando con su definición. Es importante hablar de este tema, porque en El Salvador y en la región centroamericana en general no se ha llegado a valorar el verdadero aporte que un buen auditor de sistemas proporciona a la organización. Muchos perciben la auditoría de sistemas como una asistencia al Auditor Financiero externo o al Auditor Interno. Pocos perciben la necesidad de considerar Auditorías de Sistemas que realmente auditen las Tecnologías de la Información, ayudando a comprender si quienes son responsables de la función de TI están desempeñando un trabajo completo, que proporciona un soporte a las operaciones actuales del negocio, mientras se prepara para asumir los retos futuros, evaluando riesgos y aprovechando al máximo la inversión en TI. Lógico es pensar, que en primer lugar, la Alta Gerencia también ha valorado muy poco la función de TI en la organización, considerándola un centro de costo, más que un aliado estratégico en el logro de objetivos de negocio. Por otro lado, si la Alta Dirección le da importancia a contar con sistemas de información e infraestructura de Tecnologías de la Información que soporten con efectividad y eficiencia al negocio, también incluirá en sus planes el contar con Auditoría de Sistemas que le ayude a verificar que efectivamente es así y que además le ayude en la formulación de Planes de Acción razonables para mejorar el desempeño del soporte de TI al negocio.
Primero, hay que valorar la función de las Tecnologías de la Información en la organización, luego hay que auditarlas para comprobar su efectividad.
Bajo este enfoque, igual que la Auditoría Interna, la Auditoría de Sistemas proporciona una labor de soporte a los objetivos de negocio, proporcionando aseguramiento sobre la función de TI en la organización y proveyendo consultoría adecuada a los objetivos de la organización. A este respecto, es conveniente definir previamente que es un Auditor Interno. De acuerdo al Instituto de Auditores Internos (IAI, www.theiia.org) “la Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Para el IAI un Auditor de Tecnología de la Información es un Auditor Interno que se enfoca en el uso que la Organización hace de las Tecnologías de la Información. Por lo cual, el desarrollar una buena práctica de auditoría de sistemas, implica realizar el trabajo de acuerdo con metodologías de auditoría interna que van desde la creación de un Plan Anual de Auditoría, la creación de revisiones específicas de procesos de gestión de TI o de la correcta configuración de Tecnologías específicas, hasta la revisión y discusión de hallazgos con los responsables de la función de TI y la elaboración de informes para la alta gerencia que permitan revelar efectivamente los principales problemas detectados y las soluciones recomendadas para mejorar el funcionamiento de las Tecnologías de la Información en la organización.
Es importante recalcar que el proceso de auditoría de sistemas es altamente técnico. Un análisis sin fundamento técnico carecería de valor para el auditado, porque no se le estarían identificando problemas clave ni generando recomendaciones que mejoren la forma en la que se brinda soporte al negocio. Esto incluye las mismas herramientas que se utilizan, como los escaneadores de infraestructura, que requieren ser configurados efectivamente para lograr los mejores resultados, a través de parámetros específicos del equipo que se está auditando. Es tan importante esto, que los mismos fabricantes del software para realizar auditorías, otorgan a través de examenes detallados, certificaciones del conocimiento que una persona tiene para auditar utilizando estas herramientas (a manera de ejemplo se puede consultar http://elearn.tenable.com/course/info.php?id=55). Adicionalmente, ISACA, la entidad que ha normado a nivel mundial el conocimiento requerido para certificarse como Auditor de Sistemas, CISA, (Certified Information System Auditor, http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx) otorga una certificación relativa al conocimiento que el auditor de sistemas tiene en cinco áreas de conocimiento. El auditor de sistemas de información certificado debe demostrar conocimiento en el proceso de auditoría, el gobierno y la gestión de TI, la adquisición, desarrollo e implementación de Sistemas de Información, la operación, mantenimiento y soporte de los sistemas de información y la protección a los activos de información. En estas áreas, un auditor de sistemas es probado a través de un examen su conocimiento sobre las normas existentes, las prácticas más recomendadas por los fabricantes y el funcionamiento de las tecnologías auditables. Esto tiene el objetivo de proveer aseguramiento de que quién posee una certificación en auditoría de sistemas, tiene el conocimiento técnico y conoce la metodología de trabajo de la auditoría interna para lograr cumplir con su trabajo de aseguramiento y consultoría para ayudar a la alta dirección a retroalimentarse sobre el funcionamiento de la función de TI en la organización.
La preparación para la Auditoría Forense.
Ciertamente una Auditoría Forense puede resolver incógnitas que surgen como resultado de Incidentes de Seguridad. Pero un análisis forense de TI requiere que las organizaciones piensen también en esta actividad de manera previa, estableciendo los mecanismos necesarios para salvaguardar evidencia que pueda ser utilizada posteriormente de una manera explícita, que no deje dudas sobre las conclusiones alcanzadas y que no esconda, sobrescriba o borre bitácoras importantes para el análisis forense. Una de las principales cosas que debe de realizar una Unidad de Informática cuando quiere tener capacidades forenses ampliadas, es la activación o creación de bitácoras que muestren la actividad que se desarrolla en la plataforma tecnológica. Las bitácoras son un elemento básico, que permite reconstruir con suma precisión las actividades que ha desarrollado un usuario. Desde que ingresa a su equipo, los sitios que ha consultado, los intentos de conexión a sistemas o equipos, la información que ha borrado, que ha modificado o simplemente consultado. Lo principal, cuando se quiere tener capacidad forense, es el análisis de los puntos importantes de control que deben de ser registrados en bitácora. En muchas empresas observo dos cosas:
1. Con sistemas desarrollados internamente no se generan bitácoras o si existen, registran información muy básica de la actividad realizada por los usuarios.
2. Con sistemas adquiridos, las bitácoras disponibles no se activan. Aquí distingo dos comportamientos. Uno es que ni siquiera se conoce la capacidad de registro de las bitácoras. El segundo es que se decide no usarlos para no saturar el sistema.
Aunque las restricciones de tamaño de las bitácoras siempre son una excusa para no usarlas, lo cierto es que debemos de valorar qué es lo que se protege y decidir si el costo de algunos gigabytes más de disco vale la pena para tener capacidad de análisis forense cuando se presenten incidentes de seguridad. Si la decisión es usarlas, el simple hecho de activarlas es parte de la solución. Lo siguiente es el procedimiento de Administración de las Bitácoras. Estos archivos crecerán y en algún momento habrá que eliminar registros del ambiente productivo para dar espacio al registro de nuevos eventos. Pero la eliminación más bien debe de ser un traslado a un almacenamiento debidamente catalogado, que permita en el futuro su consulta sin mayores esfuerzos. Gran parte del éxito de un sistema de bitácoras para el análisis forense, es su capacidad para mantenerse transparentes al usuario. Es decir, quién está siendo monitoreado a través de este medio, no debe conocer de su existencia, ni mucho menos conocer su ubicación y tener acceso a ellas. Se conoce, que cuando un atacante conocedor realiza una acción, al menos tratará de borrar sus huellas para evitar que se conozca su actividad y hasta incluso el ser rastreado e identificado. Con esta pequeña discusión se puede apreciar que la capacidad de análisis forense en TI debe de ser construida desde el diseño de la plataforma. Esto no ha sido la costumbre, ni los profesionales en informática han sido entrenados para incluir un enfoque integral de la seguridad de la información dentro de los criterios de diseño. Pero esto es algo que tendrá que ir cambiando en la medida que las necesidades de seguridad se identifiquen como un requerimiento más del diseño tecnológico.
El Control Interno de TI
Desde mi propia experiencia, aprender sobre el control interno no es fácil. Aunque la palabra control aparece en todos los libros de Gestión de Empresas y Producción de Bienes y Servicios, parece que a la mayoría de los profesionales nos entusiasma más el hacer cosas que el controlarlas sistemáticamente. Así, vemos industrias que se desarrollan haciendo cosas, con controles precarios o sin control y son exitosas. Estas experiencias exitosas en las que la falta de control no fue obstáculo para lograr objetivos, llevan a muchos profesionales de la Gestión a pensar que el control no es necesario. Tal vez sólo cuando se administra dinero, como pasa en las organizaciones financieras y entidades comerciales que manejan mucho dinero en efectivo, como los supermercados y almacenes, es que las actividades de control parecen naturales. Es decir, como se puede pensar en darle efectivo a una persona, permitirle que reciba ingresos de efectivo de los clientes y al final del día dejar que se vaya a su casa sin rendir cuentas minuciosamente de todas las transacciones realizadas durante el día. En este caso, incluso se ven controles adicionales, como el de la seguridad del lugar de trabajo, la ejecución de cortes de caja frecuentes para reducir riesgos de robo o pérdida y otros más. Esto implica que cuando se trata de ingresos, se entiende la necesidad de control. ¿Por qué no se entiende de la misma forma la protección de activos informáticos? A pesar de que han existido casos de fraude en lo que se no se roba dinero en efectivo, sino que se aplican transacciones ficticias, como pagos a créditos o descuentos no autorizados a ciertos clientes. Incluso, cosas más allá del ambiente interno, como el que se roben la información de tarjetas de crédito de los clientes de un almacén, perdiendo la confidencialidad de las operaciones. O que tal de los casos en los que se han tomado el sitio Web de una organización, perdiendo reputación. Y existen muchos casos más, pero todos estos casos, parecen no tener efecto en el entendimiento de que se necesita crear un ambiente de control interno en las operaciones de TI.
El Control Interno, es definido en COBIT 4.1. como “las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos”. Esta es una definición simple, fácil de seguir, que nos enseña que el control interno se trata de simples reglas a seguir, para documentar la forma en la que se realizan las actividades, como se realizan, como se supervisan, como se organización la empresa para asignar responsabilidades de supervisión y control. Esto permite evitar desviaciones que nos alejen de los objetivos institucionales, agregando valor y eliminando riesgos. Es cierto que en el caso de las Tecnologías de la Información las complejidades técnicas pueden llevarnos a tener dificultades para comunicar los mecanismos de control, pero por ejemplo, el especificar una política de seguridad de la información, acompañado de un plan documentado de seguridad y un manual de procedimientos de seguridad, proporcionan una mayor garantía a la Alta Dirección, de que la Gestión de TI esta efectivamente manteniendo un ambiente de control interno sano, que ha identificado los controles necesarios y los está ejecutando. Después de todo, le toca a la Auditoría Interna el verificar el diseño y efectividad de los controles, por lo que la Alta Dirección tiene así un balance de funciones para quienes le soportan todas sus operaciones y por lo tanto, no necesita conocer el detalle técnico de cada cosa. Los Auditores si necesitan saber detalles técnicos y por eso existen los Auditores de Sistemas, que normalmente son profesionales en las Tecnologías de la Información, con experiencia y certificaciones que garantizan a las organizaciones que las auditorías realizadas tendrán la calidad requerida y aportarán valor a la organización, a través del fortalecimiento del control interno.
La Auditoría del Licenciamiento de Software.
Mantener los equipos de cómputo funcionando de manera óptima requiere no sólo el software correcto, también requiere las oportunas actualizaciones y la utilización completa del software. Los que trabajamos todos los días con software se sistemas y aplicativos, vemos y entendemos que tiene que crecer, adaptarse a la solución de nuevos problemas, mitigar vulnerabilidades y resolver nuevos requerimientos. El software se mantiene en constante crecimiento, no basta con realizar una instalación y esperar que funcione por tiempo indefinido sin que necesite atención.
Las empresas afrontan problemas para mantener el software de manera óptima porque hay una inversión que realizar, la cual muchas veces requiere de aprobaciones que pueden llevar algún tiempo o mantenerse pendientes por más tiempo del correspondiente.
Si hablamos estrictamente de software de terceros, que tiene que ser adquirido a través de licencias, nos referimos al software que es necesario para poder utilizar los computadores y para brindarle seguridad a las operaciones del negocio. La lista de software en esta categoría incluye sistemas operativos, bases de datos, antivirus, procesadores de texto, hojas electrónicas, herramientas de desarrollo y algunas otras utilidades que dependiendo del giro del negocio, podrían ser necesarias para lograr resultados óptimos de la inversión de software. Este tipo de software, es fabricado en versiones. Se dice que es fabricado, porque es un producto de ingeniería de software, aunque muchas veces no se aprecia como tal, debido a la naturaleza relativamente reciente de esta ingeniería. Las versiones de las diferentes categorías mencionadas anteriormente, tienden a tener una relación de dependencia entre sí, para lograr que funcionen entre sí y para evitar crear vulnerabilidades en la infraestructura que pueden llevar a un paro de operaciones del negocio. Normalmente, el negocio tiene que elegir las aplicaciones que necesita para desarrollar sus operaciones y a partir de ahí, adquirir el software del cual dependen las aplicaciones para funcionar bien.
Adicionalmente, de manera más frecuente, los fabricantes de software generan actualizaciones, denominadas “patches”, para resolver errores encontrados en el software o para cerrar vulnerabilidades encontradas. A este respecto, para obtener las actualizaciones muchas veces los fabricantes exigen que se contrate el mantenimiento del software. Este es un pago que normalmente es igual o menor al veinte por ciento del costo del software. Es decir, que a la inversión inicial, se debe de presupuestar un pago periódico de mantenimiento para asegurar el funcionamiento del software. Un error encontrado muy a menudo en las instalaciones de cómputo, es el tener pagadas las actualizaciones y no aplicarlas en los equipos. Los departamentos de TI muchas veces retrasan esta tarea por el tiempo que tienen que utilizar en la realización de pruebas de las nuevas actualizaciones. Es difícil, pero es necesario, porque los contratos de licencia y mantenimiento de los fabricantes de software, no se responsabilizan por fallos en sus productos, trasladando la responsabilidad del uso del mismo al comprador. Esta es una práctica que aunque no nos gusta a los usuarios, es la forma en la que se adquieren estas licencias de uso de software.
Esto nos deja un panorama muy confuso para la Alta Dirección, que tiene que recurrir a las Auditorías de Sistemas para asegurarse de que el software en su empresa está actualizado, de que esta siendo usado de acuerdo con las licencias adquiridas y de que no se están violando derechos de propiedad intelectual en ningún lugar. Muchas veces, como parte de esta revisión incluso se aprenden otras cosas, como encontrar software que no es de la empresa, pero que está instalado en sus equipos, para ser usado por algún empleado que aprovecha los recursos de la empresa para otros fines. Con esto aprendemos que la auditoría del licenciamiento del software puede asegurar el buen uso de la inversión en software en una organización.
La Auditoría Continua.
La creciente complejidad de las operaciones, especialmente de las de tipo financiero, el cumplimiento regulatorio y la necesidad de identificar oportunamente comportamiento anormal dentro de las transacciones financieras, ha llevado a muchas empresas a la decisión de implementar mecanismos de auditoría que funcionen en línea, que alerten sobre las actividades sospechosas y que permitan tomar medidas de protección o corrección más efectivas. Esta situación, aunque suena ideal requiere de una total transparencia, cumplimiento de estándares de documentación, asignación y segregación de responsabilidades, así como la flexibilidad para integrar a la infraestructura de TI los mecanismos para realizar el seguimiento de auditoría de forma automática. Creo que el término transparencia habla por si solo. No pueden existir secretos entre la Dirección de TI y el Auditor de Sistemas. El trabajo que la Dirección de TI realiza no puede seguir lineamientos antojadizos, que cambien a medida que se desarrollan las operaciones. Aunque seguir planes y estándares de documentación parece lo normal en TI, a veces no es así, porque los responsables de TI y especialmente los niveles técnicos no siguen los planes de trabajo, realizan cambios que no son documentados y no documentan sus intenciones a través de documentos de arquitectura que permitan visualizar tanto a ellos como a su auditor, la ruta que están siguiendo. Cuando se conoce la arquitectura objetivo, los cambios resultan transparentes para todos los actores, porque se entiende que son necesarios para lograr este fin último. La documentación es otro factor importante. Por ejemplo, al momento de decidir que tablas son claves para dejar pistas de auditoría, si se realiza un cambio a las reglas de registro en las tablas y esto no es documentado y divulgado, se podrían estar dejando fuera del seguimiento aspectos importantes del negocio. Desgraciadamente, si esto se descubre después de un caso de fraude, las omisiones o cambios realizados técnicamente y que no fueron correctamente documentados y divulgados pasan a ser acciones sospechosas para la organización. Por esa razón, la documentación es importante al momento de establecer un escenario de auditoría continua y para mantenerlo actualizado con los cambios. Esto implica que el proceso de Cambios debe de considerar la notificación al departamento de auditoría, para lograr mantener la transparencia de las operaciones de TI. El éxito de la Auditoría Continua no está en el secreto que mantenga el departamento de auditoría al respecto, sino en la verdadera integración de los mecanismos de auditoría dentro de las operaciones normales del negocio, las aplicaciones y la infraestructura tecnológica. Esto debe de ser conocido por todos, por lo que tienen la responsabilidad de brindar soporte al negocio con las TI y por los que analizan la información de auditoría, que tienen que tener el contexto real de las operaciones de TI, con el objetivo de no crear falsos positivos en sus hallazgos ni dejar pasar verdaderos hallazgos. De esta manera, los responsables de TI tienen la oportunidad de mostrar su proactividad en la buena gestión de TI y el negocio logra detectar problemas y tomar decisiones correctivas o preventivas oportunamente.
Auditando Tecnología … con Tecnología.
Definitivamente las Tecnologías de la Información están aportando mucho al soportar las operaciones de negocios de las empresas. Todas las áreas del conocimiento están recibiendo constantemente dispositivos y software que hacen su labor más eficiente y efectiva. La Auditoría de Sistemas no es la excepción y lo que se conoce como CAAT – Computer Assisted Audit Techniques, ahora están siendo apoyadas con una serie de equipos, metodologías y software. Como comentábamos hace algunos días, las pistas de auditoría que dejan las operaciones realizadas con el apoyo de Tecnologías de la Información son variadas y abundantes. Esto nos lleva a saber qué se ha hecho en los sistemas de información y quién lo ha hecho. Pero ¿Qué hará un auditor de sistemas que se encuentra con una gran cantidad de información en las pistas de auditoría? El enfoque tradicional nos llevaría a poner esa información en alguna aplicación para generar reportes y a partir de ahí, empezar a consultar todo tipo de actividad sospechosa. De esta manera aunque la información fuera bastante, se podían obtener resultados definidos, entendibles para la Alta Gerencia, accionables a partir de la evidencia. Pero hay que reconocer, que este seria un análisis forense, realizado al final de un periodo de revisión, que en muchas empresas es trimestral, semestral y algunas veces anual o bianual. Si estuviésemos hablando de un caso que implique fraude, posiblemente cuando se descubra la evidencia, los responsables habrán desaparecido de la organización.
El enfoque ideal, nos llevaría a configurar en una pieza de software, de manera constante, los parámetros de comportamiento de los sistemas de información que interesa monitorear, para que en el momento en el que la acción capaz de generar un hallazgo de auditoría este pasando, el software emita una alerta, vía correo electrónico para el auditor, para que este analice la información y pueda definir caminos de acción dependiendo de la gravedad del hallazgo. Mucho mejor. Esta es la Tecnología que la Auditoría de Sistemas moderna utiliza para realizar su función.
Y aún hay más. Debido a la cantidad de amenazas que se generan a partir del mal uso o configuración de las Tecnologías de la Información, los sistemas de auditoría están llegando incluso a permitir el monitoreo constante de las configuraciones de los equipos, comparándolas con estándares existentes por tipos de equipos. Esta tecnología incluso llega a mantener una conexión constante con bases de datos de vulnerabilidades, que permiten la comparación de las configuraciones auditadas contra configuraciones necesarias para cubrir las vulnerabilidades detectadas. Este tipo de Tecnología une la revisión de la configuración con la comparación contra el estándar más actualizado existente para cada tipo de dispositivo. Hay que recordar que la auditoría de sistemas al revisar la infraestructura tecnológica de una organización incluye componentes como bases de datos, equipos de comunicación, aplicaciones y datos, componentes que en centros de datos grandes existen de manera repetitiva, por lo que la ayuda de la Tecnología está más que justificada, para lograr realizar revisiones eficientes y eficaces. Esto es todo un reto para los Auditores de Sistemas, pero si nos gusta la Tecnología, es un trabajo gratificante.
Gestión y Auditoría de TI 