Archivo del sitio

La Administración Segura de los Recursos de TI

Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.

Organizando las funciones de TI siguiendo estándares

Los Gerentes de TI deben de apoyar sus decisiones en los estándares ampliamente consensados en la industria. Normas de seguridad, marcos de referencia de control y mejores prácticas para proporcionar servicios de TI son las áreas básicas que deben de ayudar a definir las políticas, funciones, procedimientos operativos y prácticas de gestión de TI.  En un país como El Salvador, que tiene que aprovechar todas las ventajas ya generadas por los estándares creados para cada situación, los Gerentes de TI deben de considerar la gama de estándares y revisar su propia realidad para identificar oportunidades de mejora.

El ejercicio es básico. En primer lugar, hay que identificar en base a los requerimientos del negocio, en qué áreas la función de TI debe de apoyar significativamente la creación de valor. Muchos estándares, como los de Continuidad de Negocios, no deben pensarse exclusivamente desde el punto de vista de TI, debido a que los procesos de negocios se logran a  través de una combinación de tecnología, proporcionada por el departamento de TI, y recursos humanos, totalmente independientes de TI. Igual podría pasar con los estándares de seguridad. Existen lineamientos generales por industria o requerimientos basados en la imagen y reputación de la organización que deben de considerarse para establecer que tan lejos se debe de llegar en la implementación de un Plan de Seguridad de la Información. Es importante priorizar los requerimientos para tener un criterio de decisión al momento de planificar los proyectos de implementación de estándares.

Posterior a la clarificación de requerimientos del negocio, se debe de realizar un proceso de selección de los estándares que se adoptarán. El resultado de esta selección debe de indicar un camino a seguir, los criterios a utilizar para definir qué procesos se implementarán, como se realizarán, como será medido el éxito en la ejecución de los servicios de TI, no necesariamente una sucesión de proyectos para implementar estándares. Es importante no considerar los estándares como el fin último. No se trata de llegar a decir: “hemos implementado un número determinado de estándares”. Se trata de ser efectivos y eficientes en el soporte a los proceso de negocio, eliminando riesgos y aportando valor a la organización. Estos elementos, la organización no los mide por el número de estándar implementados, sino por tiempos de respuesta cortos, sistemas de información robustos, resolución de problemas eficiente, que son cosas que permiten realizar negocios sin interrupciones, soportando el logro de los objetivos organizacionales.

Finalmente, la implementación de estándares tiene que materializarse incluyendo sus recomendaciones y prácticas en las políticas, procedimientos y controles necesarios en los procesos de gestión de TI que permitan garantizar un buen uso de los recursos de tecnología de la información de la organización. Esta parte es la que cuesta más a los Gerentes de TI. Ocurre muchas veces que se reciben capacitación sobre los estándares, pero no se establecen medidas que implementen estos estándares en las operaciones de TI. En la mayoría de los casos, se debe a una deficiencia general en el proceso de adopción de estándares, en la que se pretende crear proyectos de implementación “por estándar”, creando conflicto con las prácticas existentes o con la implementación de otros estándares. Es importante en este paso, crear el propio marco de organización de la organización, basado en varios estándares, pero respondiendo a los requerimientos de negocios planteados desde un inicio. De esta forma la gestión de TI sacará provecho de los estándares, logrando un verdadero impacto en la forma en la que la organización percibe el apoyo de TI.

A %d blogueros les gusta esto: