Controles de TI efectivos: por qué el

monitoreo continuo requiere

automatización
Las soluciones de monitoreo continuo automatizado
permiten a las organizaciones, y a los auditores internos,
monitorear los controles de TI de manera más efectiva y
en menos tiempo.
Teresa Wingfield01 de noviembre de 20060 comentarios

ningún ejecutivos esperan que el personal de TI para encontrar nuevas eficiencias

operativas al mismo tiempo reducir el tiempo de inactividad, mejorar el servicio y
ofrecer una protección adecuada. Mientras tanto, los reguladores de la industria y
el gobierno requieren que TI cumpla con conjuntos de controles nuevos o
ampliados. A pesar de la mayor demanda de controles de TI sólidos y aplicación
de políticas, muchas compañías aún usan procesos manuales, como hojas de
cálculo y sistemas basados en papel, para monitorear y hacer cumplir los
controles de TI. En consecuencia, muchas de estas compañías no han alcanzado
el grado de efectividad que necesitan para tener éxito.
El uso de un enfoque de monitoreo continuo automatizado puede ayudar a las
organizaciones a aplicar los controles de TI de manera más eficiente y a realizar
mejoras significativas en el control de TI al tiempo que reduce los costos. Las
soluciones de monitoreo continuo automatizado también ayudan a los auditores
internos a monitorear los controles de TI de manera más efectiva y eficiente. Para
maximizar su uso, los auditores internos pueden ayudar a las empresas a
comprender qué características y funcionalidades se requieren para un entorno
eficaz de monitoreo continuo automatizado.
Procesos manuales y los requisitos de monitoreo
continuo
Incluso cuando se ejecutan correctamente, los procesos manuales pueden no
detectar las acciones del usuario que tienen lugar en la infraestructura de TI de
manera efectiva y oportuna. También puede ser poco práctico o costoso recopilar
y revisar todos los datos necesarios para probar un control de TI: simplemente hay
demasiados sistemas operativos, aplicaciones, directorios, procesos, archivos de
configuración y eventos de base de datos para monitorear. Como resultado, las
organizaciones pueden realizar revisiones esporádicas que se basan en muestras
de datos aleatorios en los registros del sistema y de la base de datos. Aunque
estas revisiones pueden proporcionar información histórica, es posible que no
brinden a las organizaciones información de control de TI oportuna y precisa sobre
acciones tales como cambios no autorizados a los sistemas de producción o
intentos de acceso a datos restringidos.
Las deficiencias de los procesos manuales se hacen evidentes en el área de la
gestión del cambio, donde el descubrimiento de actividades no autorizadas ayuda
a las organizaciones a controlar el cumplimiento de las políticas estandarizadas de
gestión del cambio. Validar los cambios en la infraestructura de TI contra las
solicitudes de cambio planificadas para identificar acciones no aprobadas puede
ser un proceso difícil sin automatización. Al igual que las pruebas de controles de
TI, el volumen de cambios a revisar puede abrumar rápidamente al personal de TI.
Además, el proceso de validación del ticket de cambio es más detallado que el
proceso utilizado para probar los controles de TI y requiere comparaciones
intensivas en mano de obra para verificar las siguientes preguntas:
▪ ¿Existe una solicitud de cambio aprobada para el cambio?
▪ ¿Se produjo el cambio en los dispositivos apropiados?
▪ ¿Se realizó el cambio durante el plazo aprobado?
▪ ¿El individuo apropiado hizo el cambio?
Si la respuesta a cualquiera de estas preguntas es no, es posible que el cambio no
cumpla con las políticas de control de la organización. Debido a que los cambios
no autorizados, no planificados y no probados son las principales causas del
tiempo de inactividad, descubrir las deficiencias en el control de la gestión de
cambios y resolverlas es importante para que los controles de TI sean efectivos y
cumplan.
Además, cuando se implementan procesos manuales, es posible que no infundan
la disciplina o la comunicación necesaria para hacer cumplir las políticas de TI. Por
ejemplo, en organizaciones grandes, el gobierno y el cumplimiento de TI se
distribuyen entre los administradores de aplicaciones, los gerentes de seguridad y
los especialistas en cumplimiento. Por lo tanto, puede ser difícil identificar quién es
responsable de investigar una violación específica del control de TI y si esta
persona ha sido notificada cuando ocurre una violación. E, incluso cuando se ha
contactado a la persona adecuada y está tomando las medidas necesarias para
resolver el problema, el estado de estos esfuerzos podría no estar claro para otras
partes interesadas.
Finalmente, los procesos manuales generalmente almacenan datos relacionados
con políticas en hojas de cálculo, documentos, mensajes de correo electrónico y
notas post-it, en cualquier otro lugar que no sea un depósito de datos central
consolidado. Debido a que no existe una fuente de registro autorizada y única para
el análisis forense y de auditoría, los usuarios responsables del cumplimiento y el
gobierno de TI pueden no saber dónde obtener las respuestas que necesitan,
además de no estar seguros de la precisión de los datos. Además, sin una base
de datos centralizada, es difícil consolidar y agregar datos para las necesidades
de informes empresariales y rastrear eventos históricos. La falta de una
perspectiva empresarial e histórica coloca a las organizaciones en una posición
deficiente para mejorar las actividades operativas. Una de las mejores formas para
que las organizaciones resuelvan estos problemas es automatizando los procesos
de monitoreo manual.
Automatización y Monitoreo Continuo
Los procesos manuales pueden no ofrecer el nivel de visibilidad y control en
profundidad que los departamentos de TI necesitan para respaldar operaciones
efectivas. Por otro lado, el monitoreo continuo automatizado es un mejor enfoque
que permite a las empresas de manera más eficiente y efectiva:
▪ Detectar acciones del usuario en la infraestructura de TI.
▪ Valide los cambios reales en la infraestructura de TI contra las solicitudes de
cambio planificadas.
▪ Identifique los cambios que ocurran sin una aprobación.
▪ Haga cumplir las políticas que limitan la actividad no autorizada en la
infraestructura de TI.
▪ Proporcione informes sobre políticas de infraestructura de TI para resaltar las
mejores prácticas y controlar las violaciones. 
La automatización a través de la tecnología es esencial para lograr un monitoreo
continuo. (Consulte "Monitoreo continuo automatizado", a la derecha, para obtener
una descripción de los cuatro elementos necesarios para un proceso de monitoreo
automatizado efectivo). Sin embargo, los auditores internos deben prestar mucha
atención al grado de funcionalidad que ofrece una solución para determinar si
puede cumplir con los requisitos de monitoreo continuo de la organización. A
continuación se muestra una descripción de cada uno de los procesos
automatizados a los que los auditores deben prestar mucha atención y por qué.
Detectar acciones del usuario
Una solución de monitoreo continuo automatizado debe detectar las acciones de
los usuarios dentro de la infraestructura de TI a través de recopilaciones de datos
en tiempo real y basadas en eventos realizadas en todas las actividades de los
usuarios y componentes de TI deseados las 24 horas del día, los siete días de la
semana. Por ejemplo, el sistema debe recopilar datos sobre eventos como quién
realizó el cambio, así como qué, dónde y cuándo se realizaron cambios que no se
ajustaban a las políticas de TI.

Aunque algunos sistemas de monitoreo continuo están automatizados, su alcance

es a menudo demasiado limitado o sus funciones de recopilación de datos no se
realizan en tiempo real. Esto evita que el sistema de monitoreo proporcione el
nivel necesario de control de TI. Debido a que algunos sistemas automatizados
solo cubren un conjunto estrecho de controles o componentes, las organizaciones
pueden ser deficientes en algunos controles, forzándolos a mantener y administrar
múltiples sistemas. Sin embargo, los auditores deben tener en cuenta que, en las
circunstancias adecuadas, este tipo de sistema de monitoreo puede proporcionar
un nivel razonable de control, especialmente si el costo de una solución
automatizada más amplia es demasiado prohibitivo o la necesidad comercial no
requiere este tipo de vigilancia.
Además, en lugar de una verdadera supervisión continua, algunas soluciones
automatizadas utilizan modelos de instantáneas más antiguos que hacen
comparaciones entre dos puntos diferentes en el tiempo. Como resultado, pueden
perderse eventos importantes, ya que solo pueden informar un cambio durante el
intervalo de la instantánea. Aunque tomar instantáneas con mayor frecuencia
reduce la probabilidad de eventos perdidos, tienen implicaciones negativas de
rendimiento para los sistemas de producción. Por ejemplo, independientemente de
la frecuencia de la instantánea, todo lo que el usuario tiene que hacer es realizar
más de un cambio para que el último cambio enmascare la actividad anterior. Por
lo tanto, un sistema de monitoreo continuo debe ofrecer una revisión y validación
de políticas en tiempo real de todos los eventos en los componentes de TI (es
decir, archivos, procesos, aplicaciones, bases de datos, directorios y sistemas
operativos).
Validar cambios 
Aunque algunos sistemas de monitoreo automatizados están integrados con los
sistemas de gestión de cambios, pueden adoptar diferentes enfoques para la
validación de cambios. Por ejemplo, algunos usan la coincidencia exacta para
validar un cambio, que requiere que cada actividad asociada con un cambio se
documente desde el principio. Al usar la coincidencia exacta, cualquier acción
detectada que no aparezca en la lista preconfigurada desencadena una alerta de
cambio no autorizada. Esto hace que la coincidencia exacta no sea práctica para
la mayoría de las organizaciones debido a la gran cantidad de falsos positivos que
ocurren con este método.
Una forma eficaz y eficiente de validar los cambios es utilizar la coincidencia de
atributos, que proporciona un nivel suficiente de control para fines de auditoría sin
sobrecargar al personal de revisión. La coincidencia de atributos ayuda a
garantizar que haya una solicitud de cambio aprobada e identifica si el cambio se
realizó en el dispositivo apropiado. Además, la coincidencia de atributos permite a
las empresas identificar si el cambio se realizó durante el período de tiempo
apropiado y si el usuario correspondiente realizó el cambio. Si se realiza un
cambio que no cumple con ninguna de estas cuatro condiciones, la coincidencia
de atributos permite que el sistema de monitoreo automatizado marque el cambio
como no conforme con las políticas de control de cambios de la organización.
Hacer cumplir las políticas 
El monitoreo continuo requiere más que identificar problemas: también se necesita
delegación, notificación y remediación para hacer cumplir las políticas
adecuadamente. Los sistemas completos de monitoreo continuo asignan quién es
responsable de una política de control automáticamente, mientras envían
inmediatamente notificaciones de violación de políticas a las personas adecuadas
para que los problemas se aborden de manera oportuna.
Para exigir la rendición de cuentas, los sistemas de monitoreo continuo deben
requerir el reconocimiento de las notificaciones y utilizar reglas para redirigir la
notificación a otra persona si no se realiza un reconocimiento dentro de un marco
de tiempo específico. Por ejemplo, si un cambio no tiene una solicitud de cambio
aprobada, el sistema de monitoreo continuo envía inmediatamente una alerta al
administrador de cambios. Si el administrador de cambios no proporciona un
acuse de recibo dentro del plazo especificado, el sistema envía la solicitud a un
contacto secundario responsable de la aplicación de la política.
Informe sobre políticas 
Un depósito de datos integrado para informes y análisis centralizados de políticas
es una columna vertebral necesaria para el monitoreo continuo, ya que
proporciona una única fuente autorizada o registro para una auditoría o análisis
forense. Un sistema centralizado también proporciona una perspectiva integrada
en toda la infraestructura de TI que detalla las infracciones de políticas para todos
los componentes de TI (por ejemplo, archivos, procesos, aplicaciones, bases de
datos, directorios y sistemas operativos) en lugar de una sola infracción de política
para un solo componente de TI . Además, el repositorio de datos proporciona un
contexto histórico en lugar de pequeñas ventanas de actividad del usuario dentro
de la infraestructura de TI.
Los informes sobre políticas destacan las mejores prácticas y las violaciones de
control para que las organizaciones puedan centrarse en las áreas que deberían
recibir la máxima prioridad. Para verificar si las mejoras de control funcionan
correctamente, se debe realizar un análisis de tendencias. Debido a que el análisis
de tendencias es un esfuerzo continuo, es esencial para determinar si las
violaciones del control de políticas están mejorando o empeorando con el tiempo y
es una característica clave de la mejora del proceso.
Los informes del historial de cambios proporcionan información sobre lo que se
modificó, quién realizó el cambio y cuándo tuvo lugar el cambio. A menudo, una
serie de acciones en lugar de una sola acción es el culpable. Por lo tanto, capturar
y proporcionar el contexto histórico de un cambio es útil cuando un análisis de
causa raíz requiere una consideración de los eventos que han ocurrido con el
tiempo. Esta información también es útil para determinar la última configuración
"buena" en lugar de restaurar la configuración anterior antes del incidente, que
puede o no ser el punto de restauración apropiado. Cuando ocurre un incidente, el
sistema de monitoreo continuo debe determinar el cambio exacto, la persona
responsable del cambio y la naturaleza del cambio para la reversión inmediata.
Avanzando
Cualquier organización que esté gastando demasiado tiempo y esfuerzo en
monitorear la efectividad de sus controles de TI debe considerar automatizar sus
procesos manuales para detectar violaciones de políticas, validar la actividad de
cambio, aplicar políticas e informar cualquier acción de incumplimiento que haya
tenido lugar dentro del Esa infraestructura. Los requisitos técnicos para
automatizar el monitoreo continuo incluyen detectar acciones del usuario, validar
cambios reales, aplicar políticas e informar sobre políticas.
Aunque tener un entorno de control de TI automatizado ayudará a las
organizaciones a maximizar el beneficio de las operaciones de TI efectivas, las
empresas deben tener en cuenta que un sistema automatizado para monitorear
los controles de TI es tan bueno como las personas que implementan, mantienen
y actualizan el sistema. Los auditores internos deben recordar a las
organizaciones que la implementación de una solución de monitoreo continuo y
automatizado requiere el compromiso de la organización y que estos sistemas son
una herramienta, no la solución de cumplimiento final.