El Ciclo de Inteligencia aplicado a la Auditoría de Controles Generales de TI

Beatriz Elena Durán Castañeda

ITESM – EGAP
Diplomado
Desarrollo y Administración de Sistemas de Inteligencia Estratégica
27 de Noviembre 2010

Sumario: El siguiente ejercicio tiene como propósito

explicar los pasos de ejecución para una Auditoría de
Controles Generales utilizando al Ciclo de Inteligencia
como marco de referencia; planteado el proceso de
auditoría como un esfuerzo de la Alta Gerencia y los
tomadores de decisiones para entender las amenazas a la
disponibilidad, integridad y privacidad de la información
crítica de la Organización o Empresa.

Introducción.
Las amenazas a la viabilidad de una Empresa, no se encuentran únicamente en la
complejidad del mercado, los planes de acción de los competidores o las condiciones
sociales, económicas y políticas de él o los países donde opera; también existen otro tipo
de riesgos que pueden afectar a la Organización y que en la mayor parte de los casos
son del desconocimiento de la Alta Gerencia. Una de estas amenazas pende sobre los
activos de información, generados, procesados y almacenados en los sistemas que
soportan los procesos de Negocio.
 La Alta Gerencia toma decisiones, realiza alianzas y planes estratégicos,
considerando por sentado que los activos de información están resguardados
debidamente, de forma tal que siempre estén disponibles, sean veraces y únicamente
accesibles al personal adecuado. Sin embargo, dado que la Alta Gerencia tiene que
concentrar su atención en las actividades diarias del negocio, muchas veces opera sin
conocimiento suficiente sobre la exposición y riesgos a los activos de información;
primeramente porque no se tienen identificados, ubicados, ni valuados. Esta condición
de incertidumbre, no le permite a la Gerencia saber el costo por la perdida, daño o
exposición de los activos; así como tampoco tomar acciones que prevean situaciones de
riesgo.

La aplicación de las metodologías para Auditoría de Controles Generales de TI,

utilizando como marco el Ciclo de Inteligencia (Planeación, Investigación y
Recolección, Análisis y Producción, Diseminación y Explotación), permitirán a la
Gerencia reducir la incertidumbre con la que opera en cuanto a las condiciones de
protección o exposición de los activos de información, indagando la efectividad o
carencia de controles en las siguientes cuatro áreas:

− Accesos lógicos.
− Controles de cambios a los programas y datos.
− Controles para el desarrollo e implementación de nuevos productos.
− Controles de Operación de los sistemas.

“As a director, my role is oversight, and ensuring the appropriate organizational

strategies, structures, systems, staff and standards are in place to govern the bank.
The same elements apply to information technology and information security”.
Lester McKeever, Socio de Washington, Pittman & McKeever, Miembro del Buró
de Directores y del Federal Reserve Bank of Chicago.
www.theiia.org/download.cfm?file=33288
 Planeación
La Alta Gerencia debe definir un objetivo:

“Proteger a la Empresa de impactos por pérdida de disponibilidad, integridad y privacidad de

información crítica o sensible”

En caso de no tener identificados los activos de información, se puede abordar un

enfoque de signos vitales:

“¿Cuales son los procesos críticos que soportan la viabilidad del Negocio y que información
generan?”
“¿Cuáles de estos procesos depende de sistemas computacionales?”
“¿Cuánto cuesta la pérdida o interrupción de uso de un activo de información crítico?”
“¿Se cuenta con una compresión clara de las amenazas emergentes y los facilitadores?”

Identificados los procesos críticos y los activos de información derivados de

éstos, se puede proceder a la elaboración de una agenda de riesgos, la cual será de gran
apoyo en la etapa de explotación, para asignar eficientemente recursos a los controles o
acciones que se estimen pertinentes, una vez obtenidos los resultados del análisis de la
información a recolectar.
Teniendo en claro cuales son los objetos de interés, la Alta Gerencia debe definir
cual es la información que necesita obtener:

“Conocer las condiciones actuales de exposición o vulnerabilidad de los activos de información.”

El esfuerzo de identificar los activos de información debe estar soportado por los
actores o ejecutivos clave del Negocio, pero debe iniciar y ser empujado desde la Alta
Gerencia; quien deberá estimar si la Organización tiene los conocimientos necesarios
para la tarea y no siendo este el caso, considerar la contratación de un tercero cuyo juicio
permita a la Gerencia beneficiarse de un punto de vista externo.
 Investigación
Identificados los activos de información críticos para la Empresa y los sistemas
relacionados, la Gerencia podrá (utilizando recursos humanos propios o un servicio de
consultoría) iniciar las fases de investigación.

Esta parte del ciclo se enfocará en diversas áreas según las necesidades y la
metodología empleada, en general las indagatorias se harán al derredor de los siguientes
temas o áreas:

− Acceso físico y lógico a la infraestructura, aplicaciones y datos.

− Controles para el ciclo de desarrollo y cambios de programas.
− Procesos de respaldo y recuperación en caso de desastres.
− Administración de accesos e identidad.

El listado definido en la planeación, podrá considerar el anexo de otras áreas o

dominios, combinando los requerimientos de estándares como Sabarnex Oxley, PCI,
COSO, COBIT, ITIL y otros, de tal manera que satisfagan la necesidad de información
de la Alta Gerencia, apegándose al objetivo definido inicialmente.

Secrecía
Dentro del proceso de investigación, es importante plantear los siguientes
puntos de atención:
− La Agenda de Riesgos y el Plan de Revisión deberán ser conocidos
únicamente por la Alta Gerencia y los recursos designados para la Auditoría.
− Se considera también pertinente que las fechas de revisión no sean del
conocimiento general, de tal manera que no pueda eliminarse o falsificarse
evidencia relevante.
− Se deberá contar con la cantidad adecuada de recursos, para poder realizar
 las indagatorias de forma simultánea y no secuencial, evitando poner sobre
aviso al personal, lo que podría lesionar la confiabilidad de la información.

Fuentes
Para una Auditoría de Controles Generales de TI, se consideran generalmente
como fuentes de información:

− Entrevistas con el personal a cargo de la administración y operaciones de

TI.
− Documentación y registros de las actividades desempeñadas por el
Departamento de Sistemas.
− Extracción de información de los sistemas como: logs, pantallas de
configuración, reportes de errores o fallas, etc.
− Registros de la mesa de ayuda y respuesta a incidentes.
− Entrevistas con los usuarios finales de los sistemas del alcance.

Recolección
La veracidad de los resultados, depende en gran parte de la manera en que la
información es recolectada, de tal forma que se consideren los siguientes casos:

− Evidencia en papel como documentos, hojas de autorización y otro tipo de

registros deberá ser entregados al momento en que son solicitados, durante las
entrevistas.
− Información electrónica, como logs, extracciones de las bases de datos,
interfases de configuración, copias de discos duros y otros semejantes, deberán
ser obtenidos en presencia de los auditores y entregados inmediatamente, sin
intervención de otra persona, mas que el técnico y los responsables de la
revisión.
− De ser posible, la Alta Gerencia deberá facilitar el acceso directo a los
 sistemas para que el personal a cargo de la auditoría pueda extraer la
información por si mismo.

Almacenaje
La información colectada deberá de ser resguardada y protegida, por medios
que aseguren su privacidad, integridad y disponibilidad; de preferencia fuera del sitio
en donde se desarrolla la indagatoria.

Validación y Análisis
En una Auditoría de Controles Generales de TI, el análisis suele tomar la
siguiente estructura:

1. Se establece un diseño o deber ser, en base a una mejor práctica

recomendada por la industria de Seguridad de TI, metodologías de IT-
Governance; o bien, en base a un control administrativo que el Departamento
de TI diga llevar a la práctica.
2. Definido el diseño, se realiza la prueba de eficacia, al comparar
analíticamente el deber con los resultados de la evidencia obtenida.

Ejemplos:

Diseño: Todas las cuentas de acceso a los sistemas son aprobadas por la Gerencia de TI,
mediante la firma en papel del formulario “Solicitud de Altas”.
Eficacia: Requerir los formularios “Solicitud de Altas” firmados, para una selección de cuentas
creadas en los sistemas.

Diseño: Los respaldos de información están resguardados en un depósito con acceso controlado
con tarjeta de proximidad y restringidos a tres empleados del Departamento de Sistemas.
Eficacia: Inspeccionar que el acceso al depósito de respaldos este controlado por tarjeta de
proximidad y analizar las bitácoras del sistema de acceso, para validar que solo el personal
autorizado ha acezado al depósito.
 Producción
El informe ejecutivo de las deficiencias encontradas debe tener las siguientes
características:

1. Uso de tecnicismos al mínimo necesario, redactando cada hallazgo en

lenguaje claro y directo, considerando que el o los destinatarios del informe son
ejecutivos de la Alta Gerencia y no técnicos en sistemas o seguridad
informática.

2. Definir el riesgo inherente a la deficiencia, de forma tal que sea claro

para el lector del informe, las condiciones o impactos negativos que trae
consigo la deficiencia reportada.

3. Estimar en pocas palabras algunas de las acciones pertinentes para

mitigar el riesgo y su impacto.

El entregable también puede ser enriquecido con escenarios o alternativas de

acción más detalladas, así como el diseño de proyectos adicionales que mejoren el
entendimiento de la Alta Gerencia sobre los riesgos sus activos de información y les
provean de información útil para la toma decisiones.

Diseminación
Dada la criticidad de los hallazgos u observaciones obtenidos, se deberá acordar
previamente con la Alta Gerencia, cuales son los medios adecuados para que la
información le sea entregada y definir una junta para entregar de primera mano el
informe, de tal manera que el auditor tenga certeza que el reporte ha llegado al primer
interesado.
 Tareas posteriores al cierre
Concluida la auditoría y entregados los resultados, se deberán acordar las
acciones necesarias para la devolución o destrucción de la evidencia proporcionada
durante la investigación.

Conclusiones del ejercicio

Identificar los activos de información imprescindibles para la Empresa, junto
con sus condiciones de protección o desprotección, le permite a la Organización
conocer el nivel de exposición al riesgo y definir las líneas de acción para mitigar o
eliminar el impacto en caso de que un incidente tenga lugar.

Definidos los activos, la Organización puede establecer un sistema de Gestión

de Seguridad de la Información, el cual cuente con los motores necesarios para generar
indicadores de utilidad a los tomadores de decisiones, proveyendo información
oportuna de los incidentes de seguridad y sus causas, permitiendo aplicar el Ciclo de
Inteligencia de forma constante.

Referencias

Pokladnik, M. “Tips for Making Security Intelligence More Useful”, SANS

Institute, 26 de Junio del 2008,
http://www.sans.org/reading_room/whitepapers/incident/tips-making-security-
intelligence_32909, Consultado 16/10/10

Van Horenbeeck, M. “Information Security Intelligence”, 18 de Junio 2007,

http://www.slideshare.net/guest08b1e6/information-security-intelligence,
Consultado 27/10/10
Singleton, T.,W. PhD “What Every IT Auditor Should Know About Access
Controls”, Information Systems Journal Volumen 4 2008,
http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/IT-Audit-
Basics/Pages/What-Every-IT-Auditor-Should-Know-About-Access-Controls.aspx,
Consultado 17/10/10

Slocumb, R. “Global State Of Energy Industry Information Security”, Febrero de

2009, http://www.oildompublishing.com/pgj/pgjarchive/Feb09/global.pdf,
Consultado el 01/11/2010

Dagada, R., Goldstuck, A “Help us! We want to be ‘E-Secured’: Digital Banking

Costumers’ Security Needs in South Africa”, 2009,
http://icsa.cs.up.ac.za/issa/2009/Proceedings/Full/55_Paper.pdf, Consultado el
05/11/2010

Singleton, T.,W. PhD “The Minimum IT Controls to Assess in a Financial Audit

(Part I)” Information Systems Journal Volumen 1 2010,
http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/IT-Audit-
Basics/Pages/The-Minimum-IT-Controls-to-Assess-in-a-Financial-Audit-Part-I-
.aspx, Consultado 21/11/2010

Singleton, T.,W. PhD “The Minimum IT Controls to Assess in a Financial Audit

(Part I)” Information Systems Journal Volumen 2 2010,
http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/IT-Audit-
Basics/Pages/The-Minimum-IT-Controls-to-Assess-in-a-Financial-Audit-Part-I-
.aspx, Consultado 21/11/2010