Archivo del sitio
El Proceso de la Seguridad de la Información.
La cantidad de amenazas existentes para los sistemas de información es abundante. Por si la cantidad no fuera de por sí un factor de peso, la renovación de las amenazas se convierte en un verdadero problema para los Gerentes de TI, que tienen entre uno de sus objetivos, el mantener segura la información de la organización y evitar riesgos que dañen la imagen, interrumpan o retrasen el cumplimiento de los objetivos de negocio.
Muchas tareas se ponen en riesgo por amenazas a la seguridad de la información. Desde enviar correos, hasta la reinstalación de servidores por fallas causadas por virus y software malintencionado. El simple uso de Tecnologías de la Información, en todas sus formas, expone a una empresa a las amenazas relacionadas con la Seguridad de la Información. Pero si la empresa maneja información que pueda ser atractiva a un atacante, como información relacionada con tarjetas de crédito, información financiera, datos personales y similares, la principal amenaza es que esa información salga de la empresa sin autorización. Los esquemas de ataque en esta última forma son extensos y cambiantes. Incluso instituciones con grandes capacidades de investigación, tienen dificultades para detectar, detener y mucho más para procesar penalmente a un atacante que realice estas acciones.
Una empresa en El Salvador, aún con presupuestos y alcances limitados, está expuesta a estos ataques sí utiliza Tecnologías de la Información, tiene enlaces con el mundo y tiene información de clientes que debe protegerse. Es importante entonces, mantener un perfil activo de la seguridad de la información, no esperando sorpresas, sino más bien, analizando periódicamente las vulnerabilidades existentes, definiendo y ejecutando medidas de eliminación de riesgos y evaluando los resultados obtenidos. Este ciclo, muy conocido para los que trabajan pensando en la mejora continua, es una ruta simple de protección, que también permite aprovechar las inversiones realizadas en TI. Por ejemplo, la adquisición de un sistema de antivirus puede ser una inversión inefectiva, si una semana después de instalado el sistema, las definiciones de antivirus no han sido actualizadas, dejando expuesta la organización a los nuevos virus. Es típico, que una máquina “crítica” falle, por este fenómeno. Es fácil darse cuenta, que la inversión en el software de antivirus es sólo parte de la solución. Podría decirse que ese es el paso inicial. El proceso de verificación de su efectividad, su correcta aplicación y configuración es mucho más importante para lograr la mitigación de riesgos.
Todo el tema de la Seguridad de la Información debe tratarse de esa manera, como un proceso. No como una solución basada en la adquisición de nuevos dispositivos y software. Temas tan básicos en la Administración de la Seguridad, como el control de accesos a recursos tecnológicos puede salirse del adecuado control sin un proceso continuo de evaluación de su efectividad. Aunque la Auditoría de Sistemas ejerce un control sobre la efectividad de los controles, incluyendo los de seguridad, la Gestión de TI no debe de esperar a que una auditoría de TI le indique vacíos. La Seguridad de la Información es un tema “on line”, de tiempo real, que debe de ser incluido en las responsabilidades y tareas a ejecutar por los responsables de la mantener seguras las operaciones de TI y la información de la organización. A quién le corresponde la responsabilidad es un tema adicional a discutir, dado que no necesariamente tiene que ser la Gerencia de TI, pero lo importante es definir los procesos de Seguridad de la Información, a través de un plan que documente las vulnerabilidades existentes, los mecanismos de protección, la ejecución de los mismos y los controles para verificar la efectividad de los planes. Estos planes deberán de ser flexibles en el tiempo, readaptándose para las nuevas condiciones de amenazas y vulnerabilidades detectadas. Definitivamente, una administración de la Seguridad de la Información requieren de un proceso con mucha proactividad de parte de los responsables.
Los Procesos de Gestión de TI
COBIT 5 ha generado una serie de procesos de referencia para el Gobierno de TI. El libro que describe estos procesos se llama «COBIT 5 Enabling Processes» y la traducción oficial del libro es «COBIT 5 Procesos Catalizadores». A los que no estamos en el mundo de la química, nos puede parecer difícil asimilar el término en el área de las Tecnologías de la Información.
Un catalizador es, según la Real Academia de la Lengua Española, un cuerpo (químico) capaz de producir una transformación catalítica. La Catálisis está definida, por el mismo ente, como el “Favorecer o acelerar el desarrollo de un proceso”. Sin embargo, el concepto no está limitado al área química, es por lo tanto, genérico. En el caso que nos ocupa, se trata de favorecer o acelerar el desarrollo del proceso de Gobierno de TI.
El concepto de “catálisis” queda bien al Marco de Referencia COBIT. Cuando un Gerente de TI en la década de inicio de este siglo se sentaba a dirigir las operaciones de TI de una organización, la principal dificultad era el identificar qué se tenía que llevar a cabo para una gestión exitosa, mientras la Alta Dirección presionaba por resultados inmediatos, mejoras en el servicio de TI para la organización y lo más exigentes o visionarios, la agregación de valor al negocio a través del uso de las Tecnologías de la Información. La situación era crítica para muchos que sólo tenían estudios relacionados con la Ingeniería de Sistemas, las Ciencias de la Computación y similares. Les iba mejor a los que tenían segundas o primeras carreras en áreas como Administración de Empresas, Ingeniería Industrial o incluso Maestrías en Administración de Negocios. Estos últimos identificaban rápidamente puntos críticos del negocio y tomaban decisiones rápidamente. También eran más habilidosos para obtener el presupuesto necesario para implementar los procesos de gestión de TI y la adquisición de herramientas que permitieran implementaciones efectivas y sólidas.
La función de TI es eminentemente técnica, pero requiere de otras habilidades no técnicas para lograr resultados de manera exitosa. Esto implica la necesidad de procesos catalizadores. De esta manera, aparte de encender equipos y operar sistemas, un gerente de TI debe de conocer que hacer en la Gestión de TI.
Lo que debe de hacer la gestión de TI ha sido definido por la Asociación de Auditoría y Control de Sistemas de Información, ISACA, a través de la investigación exhaustiva de las mejores prácticas y su uso en empresas de diferentes tamaños y tipos. Los procesos que la Gerencia de TI debe de adoptar ya están definidos y son considerados catalizadores porque acelerarán la gestión exitosa de TI, sin ser un fin en sí mismos. Por esta razón, las habilidades técnicas deben de seguir siendo el principal eje de acción de la Gerencia de TI, para planificar la adecuada infraestructura tecnológica, la selección de software a desarrollar o adquirir, los procesos de desarrollo del personal técnico y usuario de la tecnológica, con el fin importante, de apoyar significativamente los procesos de negocio. Los procesos de gestión de TI permitirán que estas importantes funciones sean mejor administradas, controladas, analizables y mejorables, proporcionando una ruta a seguir en la mejora de la Gestión de TI. Siendo redundantes, podemos decir que ayudan a mejorar la Gestión de TI, mientras se mejoran los resultados que TI provee al negocio.
Los Procesos de Gestión de TI y la Gestión del Personal.
Personalmente opino que el éxito de los Gerentes de TI radica en la selección adecuada y oportuna de los procesos de gestión de TI que debe de implementar. Aunque la realidad de nuestras empresas salvadoreñas y de la región centroamericana lleva muchas veces a asumir las Gerencias de TI con una gran cantidad de “puntos pendientes” que tienen que ser superados, la selección de procesos obliga a los Gerentes de TI a ganar la capacidad de superar la demanda de cosas urgentes que la organización le requiere, a través de la identificación de procesos que deben de ser creados o mejorados para resolver definitivamente los problemas de TI.
Si hablamos de comunes denominadores en la Gestión de TI en la empresa salvadoreña, uno es que no ha existido mayor organización a través de un enfoque de procesos en la praxis de la industria. Esto tiene que deberse a la forma en la que la Educación Universitaria ha llegado a los profesionales de TI. Los profesionales de TI aprenden a desarrollar software, a realizar análisis de sistemas, a administrar redes y una gran variedad de temas que rondan el área técnica de TI. El verdadero problema es que no importa cuantos sistemas e infraestructura tecnológica tenga una empresa, ni el nivel de inversión realizado, si no implementamos procesos de gestión de TI, la función de TI se desarrollará de una forma muy lenta, con ciclos que obliguen a rehacer cosas, con muestras claras de no ser eficientes ni eficaces. Esto nos plantea dos problemas: por un lado, la formación de profesionales de TI ha sido deficiente en cuanto a enseñar a gestionar la TI; por otro, los modelos de Gestión de TI evolucionan rápido, igual que la tecnología, obligando a una renovación constante de conocimientos por parte de los profesionales de TI que tienen bajo su responsabilidad gerenciar el soporte de las Tecnologías de la Información en una organización.
Similar a la discusión presentada sobre la aplicación de estándares, existen marcos de referencia (frameworks) que les proporcionan un horizonte de planeación a los Gerentes de TI. Si tomamos el ejemplo de COBIT, en su versión 5, proporciona un listado de 32 procesos de Gestión de TI, que pueden implementarse para realizar una gestión óptima de la función de TI. Si le hemos seguido la pista al desarrollo de COBIT, sabremos que en la versión 4.1 eran 34 procesos. La disminución se debe a que COBIT 5, en su versión 5, ya toma en cuenta el Gobierno de TI, que no es responsabilidad exclusiva de los Gerentes de TI, sino que obliga a la Alta Dirección a ser una parte activa de la función de TI, incorporando 5 procesos adicionales de Gobierno de TI. Pero si hablamos a nivel de Gerencia, existen 32 procesos de los cuales se tiene que priorizar su implementación con el fin de mejorar la gestión de TI de una manera programada. Los procesos están organizados a través de dominios, de alguna forma llevan un orden lógico de desarrollo a través de fases de planeación, implementación, ejecución y evaluación de la función de TI.
El verdadero arte de la implementación de los procesos de TI es el hacerlo en el 90% de los casos, con el personal existente. Debido a las limitaciones de conocimiento expresadas anteriormente, los profesionales de TI de todos los niveles, tienden a visualizar como difícil la implementación de procesos de trabajo más estructurados, que los obliguen a llevar controles que son comunes en otras áreas. Esto lleva a la excusa de que se necesita un responsable de los procesos de gestión de TI, cuando esta responsabilidad es del Gerente de TI, que tiene que modificar los manuales de puestos de todos los miembros del departamento de TI para acomodar las funciones a los procesos que se implementen. Esto puede llevar a temas de carga de trabajo y la percepción de que se están otorgando más funciones al personal. Sin embargo, cuando el departamento de TI no realiza su trabajo a satisfacción de la organización todo el personal puede tener consecuencias, por lo cual, un proceso de implementación de procesos de gestión de TI debe de promocionarse como la forma de trabajo más organizada y el camino a seguir para mejorar el ambiente laboral del personal de TI, haciéndolo más profesional, asimilando y poniendo en práctica conocimientos que han surgido en los últimos años sobre la Gestión de TI. La implementación de procesos es en definitiva una forma de crecimiento profesional para el personal de TI. Es importante conocer que en las organizaciones que han implementado frameworks como COBIT, el personal de TI pasa a tener un mejor desempeño, logrando una mejor imagen, menores niveles de stress laboral y hasta el logro de bonos.
Gestión y Auditoría de TI 