Una auditoría de TI puede ser una perspectiva desalentadora para las empresas, pero no tiene por qué ser así.
¿Sabes qué hay en las computadoras de tu oficina? Quizás más al grano, ¿cómo lo sabes?
Estas preguntas pueden parecer bastante puntiagudas, especialmente cuando las hace un profesional quisquilloso, como una aseguradora o un contador. Pero son los que usted, como gerente de TI, debería preguntarse a sí mismo en lugar de esperar a que las circunstancias expongan cualquier laguna en su conocimiento.
¿Cuál es el propósito de una auditoría?
Una auditoría no es solo una lista de activos, es la base de un plan de acción. Eso puede hacer que suene aún más complicado de lo que temía, pero también significa que una auditoría no tiene por qué ser un proyecto amplio y que lo abarque todo. Una auditoría de activos comerciales, por ejemplo, no necesitará considerar muchos de los aspectos específicos que cubrirá una auditoría de seguridad, y una auditoría de licencias de software no tendrá que preocuparse por el valor, solo el cumplimiento.
Mientras tanto, una auditoría de prueba de electrodomésticos portátiles (PAT) apenas registrará ninguna información, aparte de la fecha en la que cada dispositivo pasó la prueba, generalmente registrada con un bolígrafo que se desvanece en pequeñas pegatinas adheridas a cada máquina.
En cada caso, el proceso de determinar y registrar exactamente con qué está trabajando no es un fin en sí mismo. Más bien, es el comienzo de un proyecto potencialmente crítico para el negocio. La escala y la importancia exactas son difíciles de predecir con anticipación, porque todo el fundamento de una auditoría es que no sabe qué descubrimientos hará y cuáles pueden ser las implicaciones hasta que mire.
En otras palabras, es posible que su negocio se haya escapado hasta ahora sin tener que realizar una auditoría, y es posible que se esté preguntando si necesita una ahora. Pero si desea evitar sorpresas desagradables en el futuro, lo mejor para usted es adoptar la auditoría y hacerlo con frecuencia.
¿Qué pasa con las empresas muy pequeñas?
Es posible que las pequeñas empresas emergentes no posean muchas computadoras físicas, pero eso no significa que no haya nada que auditar. Eso se debe en parte a que las empresas más pequeñas suelen depender en gran medida de la nube. Esto tiene mucho sentido en términos de costos y flexibilidad, pero los operadores de la nube tienden a tratar a los clientes de pequeñas empresas como sujetos experimentales, y con frecuencia los tientan con ofertas de actualización y actualizaciones técnicas mal definidas que dejan al cliente con un rastro de auditoría irregular y poco claro.
Es fácil, en un entorno como este, terminar en una situación en la que no está seguro exactamente qué productos en la nube tienen acceso a qué datos, qué tipo de protecciones de acceso tiene implementadas, etc. Usted sabe cuál es la solución, y la ventaja de pasar por una auditoría como esta es que hace que la auditoría local parezca comparativamente indolora.
¿Necesitamos auditorías periódicas?
En un mundo ideal, debería realizar auditorías con regularidad de forma natural, pero la verdad es que la auditoría es un proceso intrusivo y costoso, y nadie lo hace realmente sin un impulsor comercial serio detrás de él. Así que la priorización está a la orden del día.
Puede parecer una buena idea tener una auditoría anual de H & S / PAT, pero si tiene inquietudes sobre el estado de las licencias de su software, ahí es donde querrá dirigir sus energías. No es que la seguridad eléctrica no sea importante, pero una acusación de piratería de software puede progresar rápidamente a una auditoría física supervisada por un tercero independiente.
Las auditorías instantáneas irregulares adaptadas a la cuestión del momento pueden ser más útiles que las repeticiones de las mismas pruebas, año tras año. Si enfoca sus auditorías lo más estrictamente posible, eso le brinda la mejor oportunidad de descubrir lo que necesita saber, con el mínimo costo e interrupción.
¿No pueden las herramientas de software hacer la mayor parte del trabajo?
Las herramientas de software pueden ser muy útiles si hay ciertas cosas específicas que desea descubrir. Pero están sujetos a algunas limitaciones muy irritantes, incluido el hecho exasperante de que a menudo no puede aprovechar sus capacidades de recopilación de datos automatizadas a menos que envíe a una persona a cada máquina para que haga clic en todos los cuadros de diálogo.
Las herramientas de software también tienden a carecer de sentido de la discreción. Cuando está llevando a cabo una auditoría interna, el impulso a menudo es hacer el trabajo en la cocina y pedir todos los datos posibles. Es probable que esto lo deje incapaz de ver la madera de los árboles, y si bien el software puede descubrir irregularidades, es muy poco probable que las ponga en contexto para usted o le diga cuáles deben entrar en pánico.
Algunas empresas omiten el software y piden a los empleados que informen por sí mismos la información de interés, pero esto conlleva sus propios riesgos. Obviamente, debe tener en cuenta los dispositivos que no son la estación de trabajo personal de nadie. Y no siempre se puede confiar en que el personal reconozca o informe honestamente cosas que no deberían estar allí.
¿Qué debo esperar de un auditor externo?
Está claro que hay ventajas en contratar a un externo experimentado para que realice su auditoría. De hecho, es posible que ya tenga uno de guardia, porque cualquier contrato de soporte de TI subcontratado dependerá de una auditoría precisa para confirmar exactamente de qué es responsable el proveedor. Obviamente, hay un costo involucrado, pero con la experiencia viene la eficiencia, y las auditorías independientes son generalmente más limitadas que las internas, lo que no tiene por qué ser un problema siempre que el propósito esté lo suficientemente bien definido.
Algunas empresas incluso ofrecen auditorías totalmente remotas también, utilizando una herramienta de acceso remoto como TeamViewer: nuevamente, está bien y es más eficiente en el tiempo que tener una horda de inspectores con portapapeles que descienden a sus instalaciones siempre que todo lo que esté mirando porque es detectable de forma remota.
También hay otro tipo de auditoría externa en la que vale la pena pensar, y ese es el tipo que usted no instiga directamente. Por ejemplo, digamos que es una empresa de viajes y desea asociarse con American Express. Es probable que el proceso comience con una auditoría de terceros no solo de lo que contienen sus computadoras, sino también de cómo las ejecuta y, si no aprueba, no podrá hacer negocios.
Este es un escenario mucho más estresante que encontrar una versión desactualizada de Office ejecutándose en recepción, y el remedio no es una simple actualización sino una reforma de raíz y rama de cómo funciona su empresa. Es posible que desee contratar a su propio auditor externo para que lo ayude a asegurarse de que su empresa cumpla con los puntos de referencia requeridos antes de que los examinadores reales lo examinen.
¿Cómo sabe que su auditoría es lo suficientemente buena?
¡Aquí es donde las cosas se ponen complicadas! Para empezar, «auditar» significa diferentes cosas en diferentes contextos. En particular, en el mundo de ITIL, un estándar sobre cómo se administran los recursos de TI puede significar obtener la administración correcta, en lugar de los resultados. Si busca la seguridad de que está haciendo lo correcto, fácilmente podría llevarlo por el camino equivocado.
Además, incluso los tipos de auditoría de los que estamos hablando vienen en todas las formas y tamaños. Algunos conjuntos de datos caben en un tapete de cerveza, mientras que otros son tan amplios o rápidos que nunca se pueden completar correctamente. Buscará en vano pautas universales.
Si eso suena desesperado, la frase de moda ligeramente descolorida «falla a menudo, falla temprano» puede ser de alguna utilidad. Es mucho mejor tener una auditoría aproximada que ninguna, porque tan pronto como comience a recopilar datos, esos datos comenzarán a hablar por sí mismos. Si intenta reunir un conjunto de axiomas y suposiciones incluso antes de comenzar, es probable que descubra que sus resultados anulan al menos algunas de esas ideas.
Por razones similares, si realiza su auditoría internamente, nunca es demasiado pronto para poner en contacto a su personal de TI con las herramientas y prácticas de auditoría que eligió. Poco importa cuán aproximados sean en la primera pasada: una vez que el software del agente esté en funcionamiento en su red, cada iteración de los resultados les dará indicaciones sobre dónde buscar a continuación.
¿Cómo realizamos una auditoría?
No existe un diagrama de flujo único para todos para llevar a cabo una auditoría de TI, y muy poco en cuanto a las mejores prácticas generalmente aceptadas. Sin embargo, esperaríamos ver a los trabajadores de TI sentados físicamente frente a las computadoras e iniciando sesión con las credenciales de las personas que las usan normalmente. De esa manera, pueden ver cada máquina y sus conexiones como lo haría un usuario habitual: cuando se trata de detectar y diagnosticar comportamientos extraños en las PC de la empresa, no hay sustituto para el globo ocular humano.
Para la captura de datos, esperaría obtener una lista de verificación en papel para cada PC, que cubra sus especificaciones físicas básicas y revisiones de software, junto con una lista de las herramientas de administración y seguridad que faltan. No es la tarea más brillante, pero si necesita hacer una auditoría, generalmente es precisamente porque esta información crítica no se ha registrado correctamente anteriormente.
¿Cómo funciona la auditoría con los servicios en la nube?
Una pregunta buena y cada vez más relevante. La respuesta corta es: no es así. Los principales proveedores de la nube ofrecen herramientas que le permiten buscar instancias en la nube que contienen el nombre o código postal de su empresa o similar, pero si está tratando de encontrar y catalogar con autoridad todas las máquinas virtuales en la nube a las que acceden sus aplicaciones y empleados entonces buena suerte.
Si realmente necesita realizar un seguimiento de esas cosas, lo mejor que puede hacer es configurar algunas herramientas de rastreo de tráfico en sus dispositivos fronterizos e intentar identificar qué se comunica con una dirección de Amazon o Azure. Esto no está exactamente dentro de los límites de una auditoría tradicional, aunque es más como un interrogatorio o una prueba de penetración a la inversa.
¿Cómo auditamos cuando el personal usa sus propios dispositivos?
El modelo «BYOD» (traiga su propio dispositivo) se ha vuelto popular y no es el atolladero al que podría temer . En general, BYOD funciona porque los servicios que utilizan sus empleados residen en la nube. Los detalles del dispositivo real que están usando son casi irrelevantes, y el estándar de servicio se trata de no dejar mucho en la máquina o exigir mucho del poder adquisitivo del usuario. Por lo tanto, es muy poco probable que surjan la mayoría de escenarios de desastre.
Si realmente necesita averiguar qué está sucediendo en las máquinas personales de sus empleados, existe un universo de herramientas y servicios MDM (administración de dispositivos móviles) para explorar . Es posible que normalmente no se comercialicen como herramientas de auditoría, pero pueden hacer un trabajo decente al recopilar la información que le interesa.
El mayor desafío será lograr que los usuarios acepten instalar la aplicación de administrador de dispositivos, ya que esto no siempre es sencillo para ellos. No es nada inusual que los productos MDM insistan en un reinicio en frío del dispositivo, o que requieran que se use un nombre de usuario y contraseña diferentes, distintos del que usa el propietario del dispositivo para almacenar 2500 fotos de vacaciones. Ese desastre es un tema diferente, afortunadamente, de la auditoría.
¿Qué debemos hacer con los resultados de nuestra auditoría?
Como mencioné, una auditoría es el comienzo de un proceso, no un fin en sí mismo.
Ya sea que esto se entienda o no, muchas empresas tienen el instinto de tratar los hallazgos como si fueran secretos comerciales valiosos y mantenerlos lo más lejos posible de los ojos del público y la fuerza laboral. Sin embargo, creemos que es mucho mejor compartir sus hallazgos con su personal y sondear sus experiencias y opiniones exactamente por las mismas razones por las que realizó la auditoría en primer lugar.
En resumen, incluso en las empresas más jerárquicas, la única conclusión sensata de un proceso de auditoría es una discusión abierta sobre lo que se ha encontrado y lo que se debe hacer. Existe una gran posibilidad de que su auditoría haya arrojado algo inesperado, así que tenga la mente abierta en su respuesta.
Imagen: Shutterstock