automatización Las soluciones de monitoreo continuo automatizado permiten a las organizaciones, y a los auditores internos, monitorear los controles de TI de manera más efectiva y en menos tiempo. Teresa Wingfield01 de noviembre de 20060 comentarios
ningún ejecutivos esperan que el personal de TI para encontrar nuevas eficiencias
operativas al mismo tiempo reducir el tiempo de inactividad, mejorar el servicio y ofrecer una protección adecuada. Mientras tanto, los reguladores de la industria y el gobierno requieren que TI cumpla con conjuntos de controles nuevos o ampliados. A pesar de la mayor demanda de controles de TI sólidos y aplicación de políticas, muchas compañías aún usan procesos manuales, como hojas de cálculo y sistemas basados en papel, para monitorear y hacer cumplir los controles de TI. En consecuencia, muchas de estas compañías no han alcanzado el grado de efectividad que necesitan para tener éxito. El uso de un enfoque de monitoreo continuo automatizado puede ayudar a las organizaciones a aplicar los controles de TI de manera más eficiente y a realizar mejoras significativas en el control de TI al tiempo que reduce los costos. Las soluciones de monitoreo continuo automatizado también ayudan a los auditores internos a monitorear los controles de TI de manera más efectiva y eficiente. Para maximizar su uso, los auditores internos pueden ayudar a las empresas a comprender qué características y funcionalidades se requieren para un entorno eficaz de monitoreo continuo automatizado. Procesos manuales y los requisitos de monitoreo continuo Incluso cuando se ejecutan correctamente, los procesos manuales pueden no detectar las acciones del usuario que tienen lugar en la infraestructura de TI de manera efectiva y oportuna. También puede ser poco práctico o costoso recopilar y revisar todos los datos necesarios para probar un control de TI: simplemente hay demasiados sistemas operativos, aplicaciones, directorios, procesos, archivos de configuración y eventos de base de datos para monitorear. Como resultado, las organizaciones pueden realizar revisiones esporádicas que se basan en muestras de datos aleatorios en los registros del sistema y de la base de datos. Aunque estas revisiones pueden proporcionar información histórica, es posible que no brinden a las organizaciones información de control de TI oportuna y precisa sobre acciones tales como cambios no autorizados a los sistemas de producción o intentos de acceso a datos restringidos. Las deficiencias de los procesos manuales se hacen evidentes en el área de la gestión del cambio, donde el descubrimiento de actividades no autorizadas ayuda a las organizaciones a controlar el cumplimiento de las políticas estandarizadas de gestión del cambio. Validar los cambios en la infraestructura de TI contra las solicitudes de cambio planificadas para identificar acciones no aprobadas puede ser un proceso difícil sin automatización. Al igual que las pruebas de controles de TI, el volumen de cambios a revisar puede abrumar rápidamente al personal de TI. Además, el proceso de validación del ticket de cambio es más detallado que el proceso utilizado para probar los controles de TI y requiere comparaciones intensivas en mano de obra para verificar las siguientes preguntas: ▪ ¿Existe una solicitud de cambio aprobada para el cambio? ▪ ¿Se produjo el cambio en los dispositivos apropiados? ▪ ¿Se realizó el cambio durante el plazo aprobado? ▪ ¿El individuo apropiado hizo el cambio? Si la respuesta a cualquiera de estas preguntas es no, es posible que el cambio no cumpla con las políticas de control de la organización. Debido a que los cambios no autorizados, no planificados y no probados son las principales causas del tiempo de inactividad, descubrir las deficiencias en el control de la gestión de cambios y resolverlas es importante para que los controles de TI sean efectivos y cumplan. Además, cuando se implementan procesos manuales, es posible que no infundan la disciplina o la comunicación necesaria para hacer cumplir las políticas de TI. Por ejemplo, en organizaciones grandes, el gobierno y el cumplimiento de TI se distribuyen entre los administradores de aplicaciones, los gerentes de seguridad y los especialistas en cumplimiento. Por lo tanto, puede ser difícil identificar quién es responsable de investigar una violación específica del control de TI y si esta persona ha sido notificada cuando ocurre una violación. E, incluso cuando se ha contactado a la persona adecuada y está tomando las medidas necesarias para resolver el problema, el estado de estos esfuerzos podría no estar claro para otras partes interesadas. Finalmente, los procesos manuales generalmente almacenan datos relacionados con políticas en hojas de cálculo, documentos, mensajes de correo electrónico y notas post-it, en cualquier otro lugar que no sea un depósito de datos central consolidado. Debido a que no existe una fuente de registro autorizada y única para el análisis forense y de auditoría, los usuarios responsables del cumplimiento y el gobierno de TI pueden no saber dónde obtener las respuestas que necesitan, además de no estar seguros de la precisión de los datos. Además, sin una base de datos centralizada, es difícil consolidar y agregar datos para las necesidades de informes empresariales y rastrear eventos históricos. La falta de una perspectiva empresarial e histórica coloca a las organizaciones en una posición deficiente para mejorar las actividades operativas. Una de las mejores formas para que las organizaciones resuelvan estos problemas es automatizando los procesos de monitoreo manual. Automatización y Monitoreo Continuo Los procesos manuales pueden no ofrecer el nivel de visibilidad y control en profundidad que los departamentos de TI necesitan para respaldar operaciones efectivas. Por otro lado, el monitoreo continuo automatizado es un mejor enfoque que permite a las empresas de manera más eficiente y efectiva: ▪ Detectar acciones del usuario en la infraestructura de TI. ▪ Valide los cambios reales en la infraestructura de TI contra las solicitudes de cambio planificadas. ▪ Identifique los cambios que ocurran sin una aprobación. ▪ Haga cumplir las políticas que limitan la actividad no autorizada en la infraestructura de TI. ▪ Proporcione informes sobre políticas de infraestructura de TI para resaltar las mejores prácticas y controlar las violaciones. La automatización a través de la tecnología es esencial para lograr un monitoreo continuo. (Consulte "Monitoreo continuo automatizado", a la derecha, para obtener una descripción de los cuatro elementos necesarios para un proceso de monitoreo automatizado efectivo). Sin embargo, los auditores internos deben prestar mucha atención al grado de funcionalidad que ofrece una solución para determinar si puede cumplir con los requisitos de monitoreo continuo de la organización. A continuación se muestra una descripción de cada uno de los procesos automatizados a los que los auditores deben prestar mucha atención y por qué. Detectar acciones del usuario Una solución de monitoreo continuo automatizado debe detectar las acciones de los usuarios dentro de la infraestructura de TI a través de recopilaciones de datos en tiempo real y basadas en eventos realizadas en todas las actividades de los usuarios y componentes de TI deseados las 24 horas del día, los siete días de la semana. Por ejemplo, el sistema debe recopilar datos sobre eventos como quién realizó el cambio, así como qué, dónde y cuándo se realizaron cambios que no se ajustaban a las políticas de TI.
Aunque algunos sistemas de monitoreo continuo están automatizados, su alcance
es a menudo demasiado limitado o sus funciones de recopilación de datos no se realizan en tiempo real. Esto evita que el sistema de monitoreo proporcione el nivel necesario de control de TI. Debido a que algunos sistemas automatizados solo cubren un conjunto estrecho de controles o componentes, las organizaciones pueden ser deficientes en algunos controles, forzándolos a mantener y administrar múltiples sistemas. Sin embargo, los auditores deben tener en cuenta que, en las circunstancias adecuadas, este tipo de sistema de monitoreo puede proporcionar un nivel razonable de control, especialmente si el costo de una solución automatizada más amplia es demasiado prohibitivo o la necesidad comercial no requiere este tipo de vigilancia. Además, en lugar de una verdadera supervisión continua, algunas soluciones automatizadas utilizan modelos de instantáneas más antiguos que hacen comparaciones entre dos puntos diferentes en el tiempo. Como resultado, pueden perderse eventos importantes, ya que solo pueden informar un cambio durante el intervalo de la instantánea. Aunque tomar instantáneas con mayor frecuencia reduce la probabilidad de eventos perdidos, tienen implicaciones negativas de rendimiento para los sistemas de producción. Por ejemplo, independientemente de la frecuencia de la instantánea, todo lo que el usuario tiene que hacer es realizar más de un cambio para que el último cambio enmascare la actividad anterior. Por lo tanto, un sistema de monitoreo continuo debe ofrecer una revisión y validación de políticas en tiempo real de todos los eventos en los componentes de TI (es decir, archivos, procesos, aplicaciones, bases de datos, directorios y sistemas operativos). Validar cambios Aunque algunos sistemas de monitoreo automatizados están integrados con los sistemas de gestión de cambios, pueden adoptar diferentes enfoques para la validación de cambios. Por ejemplo, algunos usan la coincidencia exacta para validar un cambio, que requiere que cada actividad asociada con un cambio se documente desde el principio. Al usar la coincidencia exacta, cualquier acción detectada que no aparezca en la lista preconfigurada desencadena una alerta de cambio no autorizada. Esto hace que la coincidencia exacta no sea práctica para la mayoría de las organizaciones debido a la gran cantidad de falsos positivos que ocurren con este método. Una forma eficaz y eficiente de validar los cambios es utilizar la coincidencia de atributos, que proporciona un nivel suficiente de control para fines de auditoría sin sobrecargar al personal de revisión. La coincidencia de atributos ayuda a garantizar que haya una solicitud de cambio aprobada e identifica si el cambio se realizó en el dispositivo apropiado. Además, la coincidencia de atributos permite a las empresas identificar si el cambio se realizó durante el período de tiempo apropiado y si el usuario correspondiente realizó el cambio. Si se realiza un cambio que no cumple con ninguna de estas cuatro condiciones, la coincidencia de atributos permite que el sistema de monitoreo automatizado marque el cambio como no conforme con las políticas de control de cambios de la organización. Hacer cumplir las políticas El monitoreo continuo requiere más que identificar problemas: también se necesita delegación, notificación y remediación para hacer cumplir las políticas adecuadamente. Los sistemas completos de monitoreo continuo asignan quién es responsable de una política de control automáticamente, mientras envían inmediatamente notificaciones de violación de políticas a las personas adecuadas para que los problemas se aborden de manera oportuna. Para exigir la rendición de cuentas, los sistemas de monitoreo continuo deben requerir el reconocimiento de las notificaciones y utilizar reglas para redirigir la notificación a otra persona si no se realiza un reconocimiento dentro de un marco de tiempo específico. Por ejemplo, si un cambio no tiene una solicitud de cambio aprobada, el sistema de monitoreo continuo envía inmediatamente una alerta al administrador de cambios. Si el administrador de cambios no proporciona un acuse de recibo dentro del plazo especificado, el sistema envía la solicitud a un contacto secundario responsable de la aplicación de la política. Informe sobre políticas Un depósito de datos integrado para informes y análisis centralizados de políticas es una columna vertebral necesaria para el monitoreo continuo, ya que proporciona una única fuente autorizada o registro para una auditoría o análisis forense. Un sistema centralizado también proporciona una perspectiva integrada en toda la infraestructura de TI que detalla las infracciones de políticas para todos los componentes de TI (por ejemplo, archivos, procesos, aplicaciones, bases de datos, directorios y sistemas operativos) en lugar de una sola infracción de política para un solo componente de TI . Además, el repositorio de datos proporciona un contexto histórico en lugar de pequeñas ventanas de actividad del usuario dentro de la infraestructura de TI. Los informes sobre políticas destacan las mejores prácticas y las violaciones de control para que las organizaciones puedan centrarse en las áreas que deberían recibir la máxima prioridad. Para verificar si las mejoras de control funcionan correctamente, se debe realizar un análisis de tendencias. Debido a que el análisis de tendencias es un esfuerzo continuo, es esencial para determinar si las violaciones del control de políticas están mejorando o empeorando con el tiempo y es una característica clave de la mejora del proceso. Los informes del historial de cambios proporcionan información sobre lo que se modificó, quién realizó el cambio y cuándo tuvo lugar el cambio. A menudo, una serie de acciones en lugar de una sola acción es el culpable. Por lo tanto, capturar y proporcionar el contexto histórico de un cambio es útil cuando un análisis de causa raíz requiere una consideración de los eventos que han ocurrido con el tiempo. Esta información también es útil para determinar la última configuración "buena" en lugar de restaurar la configuración anterior antes del incidente, que puede o no ser el punto de restauración apropiado. Cuando ocurre un incidente, el sistema de monitoreo continuo debe determinar el cambio exacto, la persona responsable del cambio y la naturaleza del cambio para la reversión inmediata. Avanzando Cualquier organización que esté gastando demasiado tiempo y esfuerzo en monitorear la efectividad de sus controles de TI debe considerar automatizar sus procesos manuales para detectar violaciones de políticas, validar la actividad de cambio, aplicar políticas e informar cualquier acción de incumplimiento que haya tenido lugar dentro del Esa infraestructura. Los requisitos técnicos para automatizar el monitoreo continuo incluyen detectar acciones del usuario, validar cambios reales, aplicar políticas e informar sobre políticas. Aunque tener un entorno de control de TI automatizado ayudará a las organizaciones a maximizar el beneficio de las operaciones de TI efectivas, las empresas deben tener en cuenta que un sistema automatizado para monitorear los controles de TI es tan bueno como las personas que implementan, mantienen y actualizan el sistema. Los auditores internos deben recordar a las organizaciones que la implementación de una solución de monitoreo continuo y automatizado requiere el compromiso de la organización y que estos sistemas son una herramienta, no la solución de cumplimiento final.