52 - Estudiando CISA - 30/09/2006
Autor: Lic. Cristian F. Borghello
Desde hace algún tiempo (al menos dos años) la visión del puesto de auditor esta cambiando a fin de poder ver su rol no como un "detective" sino mas bien como el de un "asesor/consultor". Alguien que esta empapado con los procesos de negocio y es idóneo y apto para poder intervenir en dichos procesos aportando sus conocimientos y lograr así un ambiente de control mas fuerte de acuerdo a la aceptación de los niveles mas altos de la organización sobre los riesgos que pueden afectar su negocio. Recordemos que el riesgo se mide como la combinación del impacto al explotar una vulnerabilidad mas la frecuencia con la que se puede repetir dicho impacto. Desde esta nueva perspectiva se intenta promover una participación mas protagónica y menos conflictiva del auditor en cuanto a su aporte sobre un ambiente de control en los negocios.
El año pasado (2005) la certificación requería un dominio sobre 7 capítulos y este año sólo 6. La orientación para obtener dicha certificación esta fuertemente apuntada sobre el capítulo 5 ("protección de los activos de información") al cual le otorgan un 31% de valor sobre el 100% del examen. Cabe destacar que este porcentaje el año anterior era del 25%.
En cuanto al gobierno de IT el mismo viene sufriendo cambios que van modernizando la mentalidad a medida que va tomando cada vez mas protagonismo la tecnología y los sistemas de información.
Hoy en día la tecnología forma parte crítica de los procesos de negocio, al ser el sustento para que los mismos salgan adelante. Esta visión no era compartida hace un tiempo atrás por muchas grandes firmas en diferentes partes del globo.
La forma de poder sustentar los procesos de negocio con las ultimas tecnologías, basándose en una administración de los riesgos, presenta continuamente diferentes conceptos, metodologías y visiones que, con el día a día, se adopta en paralelo con el avance de la tecnología.
Este avance, produce cambios muy grandes y, en etapa de transición, cuando se está produciendo una adaptación a la nueva tecnología, surgen nuevos conceptos y metodologías que hacen rever todo el análisis de riesgo (en mayor o menor medida) nuevamente.
Pensemos solamente en la tecnología inalámbrica y la misión y visión de aplicar la misma sobre los procesos de negocio. Algunos nombres nos suenan desde hace algún tiempo y otros comienzan a llegar tales como Bluetooth, WI-FI, WI-MAX.
Detengámonos solo un momento en estos avances que en el mercado aun no se han conocido demasiado. Por ejemplo el Gobierno de la Ciudad de Buenos Aires (Argentina), tiene la intención de lograr en un futuro, no muy lejano, la posibilidad de brindar banda ancha gratis a todos los hogares. Si se decidiera utilizar esta tecnología habría que realizar un análisis de factores tales como:
- Los riesgos, basándose en las vulnerabilidades que implica dicha tecnología.
- La cultura informática que formará parte de dicho servicio y lo explotará (todas las personas que habiten en la ciudad).
- Los avances de la tecnología y los métodos para explotar las vulnerabilidades.
- Etc.
Pensemos en celulares, Palms, Notebook que hoy día tienen un nivel "cero" de seguridad de fabrica (o de configuración) al estar sus recursos disponibles para explotar por medio de bluetooth, infrarrojo, etc. No tendría que extrañarnos que en un futuro no muy lejano esa tecnología comience a desplazarse a los elementos mas "cotidianos" como pendrives, DVDplayers, TVs, equipos de música, filmadoras, cámaras de fotos, etc. ¿Se imaginan un virus que entra en tu cámara de fotos por bluetooth y te borra/robe todo?.
Para lograr compartir información, administrar recursos y simplemente una manipulación mas cómoda, todos los métodos de hacking, cracking y demás, que forman una lista casi interminable actualmente, estarán a la vanguardia.
También, relacionado con el segundo punto (la cultura), la amenaza de métodos de Ingeniería Social como Phising, Vishing y otros que seguirán apareciendo. Ante todo recordemos que siempre el eslabón más débil de la cadena de un negocio es y seguirá siendo el ser humano.
También por sobre todo esto no podemos obviar las leyes y regulaciones que intervienen tanto para dar cabida como para detener un avance tecnológico. Aprobar estándares o no. Pensemos tan solo en implementaciones como Firma Digital y su validez, la cual es considerada en algunos países y cuestionada en otros. También pensemos un poco en las lamentablemente actividades antiterroristas que los últimos años han utilizado recursos gigantescos para espionaje, sabotajes, robo y venta de información confidencial y demás fines siniestros.
No me extrañaría que, así como desde hace algunos años ha comenzado a implementarse la ley Sabarnes Oxley en las firmas que cotizan en la bolsa de Nueva York, para certificar un ambiente de control que garantice la transparencia de las actividades financieras; en un futuro no muy lejano aparezcan regulaciones gubernamentales que exijan determinados controles, más firmes y duros que los actuales, sobre los recursos para con los delitos informáticos y de ahí la autorización para poder sustentar un negocio.
Ante este panorama creo que certificaciones como el CISA, CISM y otras comienzan con un amplio panorama del contexto actual de los negocios, la tecnología y su vida "en pareja" con el fin de, mediante una fuerte base de ética profesional y aprendizaje continuo, promover una adecuada gestión del gobierno de IT, minimizando riesgos y haciendo mas efectivo y eficiente el resultado de los negocios.
Esto es lo que puedo comentar sobre mi visión en mi trabajo como auditor de sistemas y la certificación CISA.
Nota de Segu-Info: Los artículos reflejan la opinión del autor y Segu-Info es ajeno y puede o no coincidir con las mismas.
Buenos Aires, 30 de septiembre de 2006