Herramientas: Herramientas que ya puede tener que agregan valor de garantía

Tools that add assurance value
Autor: Ed Moyle, CISSP
Fecha de Publicación: 10 mayo 2017
English

Para entender cómo la parte comercial de cualquier organización se intersecta con la tecnología, pregúntele a un auditor interno. Esto podría sonar contra intuitivo al principio, pero pensar en lo que los auditores necesitan saber para hacer su trabajo: No sólo tienen que Entender cuáles son los objetivos de negocio y los procesos que esas áreas emplean, pero también necesitan entender (con un alto nivel de especificidad) exactamente qué sistemas apoyan a los equipos de negocios al hacerlo. Necesitan saber cómo funcionan esos sistemas, cómo interactúan entre sí y cómo cruzan los límites para interactuar con otras áreas de negocio.

¿La “versión corta”? Los auditores de tecnología casi siempre conocen la situación cuando se trata de utilizar la tecnología en todo el negocio, y pueden entender en la medida exacta de lo importante que es la tecnología para el negocio en su conjunto.

La desventaja de esa dinámica, sin embargo, es que a veces puede hacer que sea especialmente duro cuando las solicitudes de los auditores de nuevas herramientas y tecnologías para apoyar las actividades de auditoría no se cumplen.

Es la realidad, sin embargo: Al evaluar la compra de una herramienta de evaluación contra una herramienta que apoya directamente al negocio, muy a menudo la herramienta de negocio tiene prioridad. Esto coloca a los auditores de tecnología en el barco de “hacer más con menos” desde un punto de vista de tecnología, aplicación y soporte de herramientas.

Esto, a su vez, significa que es especialmente importante para los equipos de auditoría para obtener el mayor valor posible de las herramientas que ya tienen. De hecho, pueden beneficiarse de herramientas que ya existen y se pueden. Reutilizar o ampliar para ayudar a apoyar las actividades de evaluación. Porque, en verdad, hay herramientas probables que una organización usa para algún otro propósito no seguro que puede (con un poco de creatividad) aplicarse para ayudar a reforzar la auditoría y la seguridad. Con esto en mente, examinemos algunos candidatos: herramientas que una organización puede ya tener que, aunque probablemente no originalmente traído específicamente para la garantía, puede, sin embargo, proporcionar un valor directo a los equipos de auditoría cuando se aprovechan para ese fin.

Al discutir estos en detalle, no hace falta decir que hay probablemente cientos de herramientas en esta categoría para cualquier organización. Además, en general, es probable que varíen significativamente de una empresa a otra en función de factores específicos de la organización, como la industria, la geografía, el tamaño y el tipo de organización. Ninguna fuente (por muy bien intencionada) podría explicar estos factores únicos y establecer una lista exhaustiva. Por lo tanto, el foco aquí es en las áreas que es probable que estén presentes en cualquier organización independientemente de esos factores específicos. Como nuevas necesidades se identifican y el equipo de auditoría se hace más acostumbrado a asociarse con otros equipos en el uso de herramientas, también pueden surgir oportunidades para colaborar en forma colaborativa y traer herramientas adicionales.

1) Herramie tas de activos y gestión de configuración

La mayoría de las organizaciones -por lo menos las que tienen más de una docena de empleados—cuentan con una metodología y una huella de aplicación de apoyo para apoyar la creación y el mantenimiento de un inventario de Sistemas, componentes y equipos. Éste podría ser un sistema central integrado, o podría ser múltiples más pequeños y dispares, distribuidos por toda la organización (por ejemplo, en una situación en la que cada unidad de negocio mantenga su propia Inventario separado).

De hecho, los equipos de aseguramiento muchas veces interactúan con estos sistemas en el curso de hacer su trabajo. Por ejemplo, podrían revisar los informes de las bases de datos de gestión de activos para garantizar que se cumplan los objetivos específicos (por ejemplo, desmantelamiento de sistemas que ya no se utilizan, correlación de la información del sistema con el propósito comercial). Sin embargo, el uso de estas herramientas puede extenderse mucho más allá de la simple visualización de informes o la interacción en una evaluación particular a una más amplia que puede ayudar a racionalizar el proceso de auditoría en el futuro.

En primer lugar, la funcionalidad de automatización de muchas de estas herramientas puede ser apalancada directamente. En los casos en que la información de configuración se recoge de manera automatizada a través de la herramienta (por ejemplo, a través de un agente remoto o sobre la red) esa información puede ser adaptada para ayudar a optimizar la revisión de la configuración en general. En lugar de luchar por conseguir un presupuesto para una herramienta de revisión de configuración especial (o, peor aún, revisar esas configuraciones manualmente), ¿puede la herramienta de administración de activos habilitar automatización de ese proceso de revisión? En muchos casos, la respuesta es sí.

Alternativamente, si una organización emplea una gestión de configuración automatizada (por ejemplo, Puppet [https://puppet.com] Chef [https://www.chef.io/chef]) ya sea para un desarrollo rápido o como un control de seguridad, esta información puede alimentar directamente en una actividad de aseguramiento. No sólo puede ser un repositorio de información sobre la configuración, sino que también puede ser aprovechado en muchos casos para ayudar a evaluar una configuración dada con respecto a un punto de referencia conocido.

2) Entornos de continuidad de negocio y recuperación de desastres

Una de las cosas más difíciles de analizar puede ser el papel de las interacciones entre los sistemas en el entorno. Específicamente, esto se refiere a evaluar qué papel desempeña un determinado sistema (o conjunto de sistemas) en un proceso de negocio y comprender qué otra cosa puede interactuar y de qué depende. La determinación de esas cosas a menudo puede implicar numerosas entrevistas con expertos en materia de negocios y, a menudo puede implicar un poco de investigación para llegar a una respuesta fiable.

Una manera de optimizar potencialmente este proceso es buscar información que ya se haya recogido y que pueda ayudar a dar brillo a esas relaciones. Una fuente de información que puede ayudar aquí es en el espacio de planificación de continuidad de negocio (BCP)/recuperación de desastres (DR). Específicamente, procesos como el análisis de impacto empresarial (BIA) que apoyan la identificación de sistemas críticos para un proceso empresarial determinado pueden ayudar a identificar sistemas y relaciones críticos. Así que los datos de un BIA pueden proporcionar inmediatamente información valiosa al equipo de aseguramiento. Más allá de esto, sin embargo, puede haber información valiosa que puede ser limpiado de un ambiente de DR o de continuidad de negocio (BC) que de otro modo es difícil recolectar por sí mismo, por ejemplo, patrones de tráfico que son indicativos de comunicaciones activas. En muchos casos, un entorno DR es menos “ruidoso” que el entorno de producción que refleja, por lo que el análisis de los patrones de tráfico (para determinar qué se refiere a qué) puede ser más fácil de lograr.

3) Prevención de pérdida de datos

Una herramienta adicional que puede ser potencialmente valiosa para el evaluador es las herramientas de prevención de pérdida de datos (DLP). Típicamente implementado como un mecanismo de seguridad, el propósito de estas herramientas es analizar datos y señalizar situaciones donde los datos potencialmente sensibles están en una ubicación donde no deberían estar (por ejemplo, un correo electrónico saliente, un recurso compartido público).

Si una organización ya tiene una herramienta en este sentido, puede resultar invaluable para los equipos de aseguramiento. ¿Por qué? Porque puede ayudar a los equipos de aseguramiento a evaluar la presencia o ausencia de datos en una localidad particular que puedan ser relevantes para una auditoría. Por ejemplo, un auditor tal vez desee evaluar si un control diseñado para limitar la exposición de información (por ejemplo, cifrado) está funcionando como se pretende. Eso puede ser un desafío para aprovechar los métodos manuales; aprovechando una herramienta de DLP, si ya hay uno en el entorno que puede ser adaptado para este propósito, puede agilizar ese proceso y alertar más rápidamente al evaluador de la presencia o ausencia de esa información. En otras palabras, puede verificar el funcionamiento efectivo del control.

Cabe decir que es menos probable que una empresa tendrá un DLP en lugar en comparación con las herramientas anteriores esbozado, de hecho, sólo un subconjunto tendrá DLP listo para emplear para permitir la auditoría. En este caso, se pueden investigar alternativas gratuitas como OpenDLP (https://code.google.com/archive/p/opendlp), MyDLP (https://www.mydlp.com), o una línea de comandos de propósito especial herramientas como ccsrch (https://adamcaudill.com/ccsrch).

Conclusión

Estos son, por supuesto, sólo algunos ejemplos de situaciones en las que las herramientas existentes pueden orientarse de nuevo para ayudar en las actividades de aseguramiento. Muchas más herramientas pueden proporcionar valor al evaluador. Al evaluar cómo las herramientas ya colocadas en la organización pueden ser aprovechadas para ayudar en las actividades de aseguramiento, el equipo de auditoría puede extraer valor adicional de las inversiones ya realizadas; además, a medida que se identifican nuevas necesidades y el equipo de auditoría se acostumbra más a asociarse con otros equipos en el uso de herramientas, también pueden surgir oportunidades para colaborar en colaboración y proporcionar herramientas adicionales.

Ed Moyle
Es director de liderazgo de pensamiento e investigación en ISACA. Antes de unirse a ISACA, Moyle fue estratega senior de seguridad con Savvis y socio fundador de la firma de analistas Security Curve. En sus cerca de 20 años en seguridad de la información, ha ocupado numerosos puestos como el gerente senior de la práctica de seguridad global de CTG, vicepresidente y oficial de seguridad de información de Merrill Lynch Investment Managers y analista senior de seguridad de Trintech. Moyle es coautor de Cryptographic Libraries for Developers y colaborador frecuente en la industria de la seguridad de la información como autor, orador público y analista.