Archivo del sitio
Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad
En ocasión de celebrarse el IV Congreso de Auditoría Interna en El Salvador, realice la preparación de un Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad. El objetivo es presentar a la comunidad de Auditores Internos un enfoque de Auditoría Interna a la revisión de la implementación de medidas de seguridad de la información, basadas en el Framework de Cyberseguridad de NIST (National Intitute of Standards and Technology). De este framework ya hemos hablado en el blog y los interesados en el tema pueden realizar una búsqueda y encontrar artículos sobre categorías específicas del framework, así como de la aplicación de normas en la Seguridad de la Información y de aspectos de Auditoría de Sistemas relacionados.
La presentación del Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad ha sido el siguiente:
- Entender que es la Cyberseguridad. Este fenómeno del siglo XXI, que nos ataca de formas diferentes cada día y genera el riesgo de Cyberseguridad en las empresas.
- Discutir que riesgos de Cyberseguridad existen de manera genérica, para que cada persona pueda evaluar hacia su organización cuales son más relevantes en su contexto.
- Presentar el Framework de Cyberseguridad del NIST. Una iniciativa del Gobierno de los Estados Unidos, pero que ha tenido un impacto en la industria, especialmente en los proveedores y como se está compartiendo información sobre vulnerabilidades.
- Presentar el Programa de Auditoría de la Seguridad de la Información. Este es un programa basado en el programa de aseguramiento establecido por COBIT 5.
- Concluir sobre los aspectos relevantes que un Auditor Interno debe considerar respecto a la Seguridad de la Información. Estos son:
- Asegurar que existe un responsable de la Seguridad de la Información en la organización.
- Asegurar que existen los procesos, procedimientos y prácticas debidamente documentadas.
- Asegurar que existen las métricas que permitan opinar a un Auditor de Sistemas, sobre la eficiencia y eficacia de las medidas de control de la Cyberseguridad.
El programa puede ser descargado a través del siguiente link:
Seguridad de la Información Enfocada en Cyberseguridad
anexo1 Medidas de Seguridad Implementadas
COBIT 5 en El Salvador
Estamos en Octubre del 2013. Hace aproximadamente un año, en Noviembre del 2012, escribí el blog “Las certificaciones de COBIT 5 están en pleno desarrollo”, en el comenté sobre los anuncios que ISACA estaba realizando sobre la nueva versión de su Marco de Gestión de las Tecnologías de la Información. Pues bien, casi un año después, COBIT 5, ha sido totalmente lanzada y su partes más importantes están ya disponibles para los que quieran iniciar su conocimiento y puesta en práctica. Como anticipé en el 2012, no existe una gran cantidad de implementaciones durante el año 2013, pero las organizaciones que se preparan para el 2014 ya están pensando en su adopción e iniciando su aprendizaje. Cuando el blog que mencioné cumpla un año, el 5 de Noviembre de 2013, estaremos a un día de inaugurar el primer curso de Fundamentos de COBIT 5 en El Salvador, iniciando un ciclo de aprendizaje sobre la metodología COBIT 5 en este país.
En esta versión, más aún que una metodología, COBIT 5 se define como un marco de negocio para el gobierno y la gestión de la empresa. Este es un término muy amplio, que envuelve todo el quehacer de una organización. Pero si lo pensamos, la Tecnología de la Información ya es así, amplia y envuelve todo el quehacer de una organización. La misma evolución de la Tecnología de la Información es la que ha originado un Marco de Trabajo que ayuda a coordinar entre los objetivos de la organización y los objetivos del uso de la Tecnología, mientras se crean más servicios y se adopta más tecnología en las empresas. Este ha sido el patrón normal de crecimiento del uso de la Tecnología y nada indica que pueda cambiar en los próximos años. Los negocios que saquen mayor provecho de los avances tecnológicos y los adopten de manera eficiente, tendrán una verdadera ventaja competitiva en el mercado. COBIT 5 invita a las empresas no solo a invertir, pero también a mantener gobierno sobre las inversiones, asegurando los beneficios y mitigando los riesgos del uso de las Tecnologías de la Información. Los que trabajamos en el área centroamericana, podemos hacer un uso bastante productivo de este enfoque, tomando ventaja de una metodología de Gobierno de la Tecnología de la Información que algunas legislaciones en el área apenas empiezan a vislumbrar como necesarias para garantizar que los entes regulados no defrauden la confianza que los ciudadanos ponen en ellos. Esto es especialmente cierto en el área financiera, pero es de igual valor a empresas que han invertido en Tecnologías de la Información y necesitan entender como esa inversión les está aportando valor. Esto implica que no sólo los Gerentes de TI se benefician de la existencia de COBIT 5, sino que también quienes dirigen las empresas y toman las decisiones de inversión, esto es Gerentes Generales, Presidentes, Directores, miembros de junta directiva, entre otros.
COBIT 5 incluye varios componentes, de acuerdo a los diferentes roles que una organización necesita para mantener gobierno de las tecnologías de la información: los inversionistas, la gerencia general, los responsables de la gestión de TI, los responsables de la seguridad de información, auditores de sistemas, responsables de la gestión de riesgos, entre otros. Actualmente se puede ver como un cuerpo de conocimientos abierto, que puede añadir en el futuro más componentes para audiencias más especializadas. Por supuesto, también existe documentación para el proceso de implementación y para la evaluación. Es un cuerpo de conocimiento que requiere de aprendizaje para los que necesitan gobernar las tecnologías de la información. Hasta que se entiende todo su contexto, pueden las empresas iniciar planes de implementación de COBIT 5 que van de acuerdo con sus necesidades y que les permiten hacer un uso eficiente y efectivo de las Tecnologías de la Información.
Los Procesos de Gestión de TI
COBIT 5 ha generado una serie de procesos de referencia para el Gobierno de TI. El libro que describe estos procesos se llama «COBIT 5 Enabling Processes» y la traducción oficial del libro es «COBIT 5 Procesos Catalizadores». A los que no estamos en el mundo de la química, nos puede parecer difícil asimilar el término en el área de las Tecnologías de la Información.
Un catalizador es, según la Real Academia de la Lengua Española, un cuerpo (químico) capaz de producir una transformación catalítica. La Catálisis está definida, por el mismo ente, como el “Favorecer o acelerar el desarrollo de un proceso”. Sin embargo, el concepto no está limitado al área química, es por lo tanto, genérico. En el caso que nos ocupa, se trata de favorecer o acelerar el desarrollo del proceso de Gobierno de TI.
El concepto de “catálisis” queda bien al Marco de Referencia COBIT. Cuando un Gerente de TI en la década de inicio de este siglo se sentaba a dirigir las operaciones de TI de una organización, la principal dificultad era el identificar qué se tenía que llevar a cabo para una gestión exitosa, mientras la Alta Dirección presionaba por resultados inmediatos, mejoras en el servicio de TI para la organización y lo más exigentes o visionarios, la agregación de valor al negocio a través del uso de las Tecnologías de la Información. La situación era crítica para muchos que sólo tenían estudios relacionados con la Ingeniería de Sistemas, las Ciencias de la Computación y similares. Les iba mejor a los que tenían segundas o primeras carreras en áreas como Administración de Empresas, Ingeniería Industrial o incluso Maestrías en Administración de Negocios. Estos últimos identificaban rápidamente puntos críticos del negocio y tomaban decisiones rápidamente. También eran más habilidosos para obtener el presupuesto necesario para implementar los procesos de gestión de TI y la adquisición de herramientas que permitieran implementaciones efectivas y sólidas.
La función de TI es eminentemente técnica, pero requiere de otras habilidades no técnicas para lograr resultados de manera exitosa. Esto implica la necesidad de procesos catalizadores. De esta manera, aparte de encender equipos y operar sistemas, un gerente de TI debe de conocer que hacer en la Gestión de TI.
Lo que debe de hacer la gestión de TI ha sido definido por la Asociación de Auditoría y Control de Sistemas de Información, ISACA, a través de la investigación exhaustiva de las mejores prácticas y su uso en empresas de diferentes tamaños y tipos. Los procesos que la Gerencia de TI debe de adoptar ya están definidos y son considerados catalizadores porque acelerarán la gestión exitosa de TI, sin ser un fin en sí mismos. Por esta razón, las habilidades técnicas deben de seguir siendo el principal eje de acción de la Gerencia de TI, para planificar la adecuada infraestructura tecnológica, la selección de software a desarrollar o adquirir, los procesos de desarrollo del personal técnico y usuario de la tecnológica, con el fin importante, de apoyar significativamente los procesos de negocio. Los procesos de gestión de TI permitirán que estas importantes funciones sean mejor administradas, controladas, analizables y mejorables, proporcionando una ruta a seguir en la mejora de la Gestión de TI. Siendo redundantes, podemos decir que ayudan a mejorar la Gestión de TI, mientras se mejoran los resultados que TI provee al negocio.
Las certificaciones de COBIT 5 están en pleno desarrollo.
Estamos en Noviembre de 2012, mes en el cual la APMG está lanzando el programa de certificación de COBIT 5 Foundations. A partir de este mes, los profesionales que estén interesados en profundizar en COBIT 5 podrán optar a iniciar la preparación para tomar la certificación en los diferentes niveles. Según ha publicado APMG en su sitio web (http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx), el esquema de certificación de COBIT 5 tiene los niveles de Fundamentos (Foundations), Implementador y Evaluador. Adicionalmente, existe un curso de Introducción a COBIT 5, que ha sido impartido en las principales ciudades de todo el mundo, desde el lanzamiento de COBIT 5 en el mes de abril de 2012. Como Consultor en Gestión de TI, me interesan todos los niveles, pero mi recomendación para los profesionales de TI es que evalúen su desarrollo profesional y cargo actual, así como las perspectivas de su carrera profesional, para identificar que nivel de certificación que más les conviene.
Es importante conocer que COBIT es un marco de referencia ineludible para los que trabajan en el área de Soporte al Negocio a través de las Tecnologías de Información. Esto es cierto para todos los niveles. Aunque un profesional de TI no esté a nivel directivo y no participe en el diseño del servicio al negocio, siempre es importante que identifique que parte del servicio de TI es su responsabilidad, entienda en qué contexto está operando, cuales son los objetivos y las reglas de medición por la que se está evaluando y como impacta en los objetivos organizacionales. Posiblemente para profesionales de TI que laboran a nivel operativo, lo más recomendable sea el curso de Introducción a COBIT 5, para identificar todos los componentes de COBIT y estar atento a colaborar con su implementación en la organización. El curso de introducción, incluso esta recomendado para personas que no son profesionales de TI, pero coordinan las Tecnologías de la Información a un alto nivel, tales como Gerentes Generales, CEO, Presidentes, miembros de juntas directivas, auditores de sistemas y personal de auditoría interna. Es decir, todo el personal que gobierna y controla las Tecnologías de la Información en la empresa.
Muchas veces, cuando escuchamos sobre estándares y metodologías, siempre lo vemos como una decisión que alguien tomo en algún momento en el pasado y nos es ajeno el saber que es ser pionero en ese campo. En el caso de COBIT 5 la generación de profesionales de TI laborando en el período 2012 al 2015, estará exactamente en el tiempo de su inicio. Esto me indica que posiblemente la adopción venga hasta el año 2014 o 2015, como siempre pasa con todo, ya sean estándares, metodologías o tecnologías. Personalmente he tenido la experiencia de empresas que implementaron COBIT 4.1 y tienen la firme convicción de seguir con esa versión hasta que algo importante pase como para ameritar el esfuerzo de un cambio. Como ya he dicho en otros blogs, la concepción de COBIT es muy general y ayuda a brindar orden a la serie de estándares y metodologías de gestión de TI existentes, por lo que su implementación puede verse como un proyecto de varios años, durante los cuales, se implementan las diferentes metodologías elegidas para ayudar a gestionar las TI en la empresa. Lo importante es iniciar, para ir generando el orden en la Gestión Empresarial de TI.
Gestión y Auditoría de TI 