Estrategia y Objetivos

Si no tenemos los objetivos claros, no podremos definir una estrategia. Al igual que muchas personas no se marcan unos objetivos, existen departamentos de TI en grandes organizaciones que les come el día a día, apagando fuegos, que no se paran a pensar hacia dónde van y si lo que están haciendo está alineado con los objetivos que el Gobierno de TI les ha fijado. El problema crece cuando el propio Gobierno de TI no define unos planes estratégicos a largo plazo, entre tres y cinco años, que estén alineados y sean consistentes con las metas y objetivos de la organización, sino que quieren llegar a la meta cuanto antes, deprisa y corriendo.

Entre otras cosas, un plan estratégico de TI debería comparar el coste de mantenimiento de los sistemas existentes con el coste de nuevas iniciativas o sistemas que sustenten la estrategia del negocio. Todas las organizaciones cambian y evolucionan, por lo que hay valorar qué tengo y a dónde tengo que ir, ¿me sirve todo lo que tengo? ¿hay que comprar algo? ¿qué no necesito? ¿externalizo?

Si una de las opciones de la estrategia de TI es externalizar, es necesario evaluar qué servicios puedo externalizar y cuáles no, porque puede haber servicios que por su criticidad, confidencialidad y/o riesgo siempre es mejor no externalizarlo. No olvidemos que la principal ventaja de los entornos Cloud Computing es el pago por uso, y al igual que las organizaciones pagan por la electricidad, el gas o el agua, ahora tenemos la posibilidad de pagar por el uso de servicios de TI. Además, si finalmente se decide por externalizar un determinado servicio, debemos asegurarnos que las TI continúan alineadas con los objetivos del negocio, los sistemas son seguros y el riesgo está gestionado. Si esto es un reto en cualquier entorno, aún más complejo cuando se externaliza el servicio.

Independientemente de si se externaliza algún servicio o no, se debe analizar, gestionar y tratar los riesgos para no desviarnos de los objetivos marcados por el Gobierno de TI. Ante cualquier circunstancia o evento que pueda provocar daño a un recurso de información de la organización como destrucción o revelación/fuga de la información, modificación de datos y/o denegación de servicio, se debe tratar la amenaza para evitarla (eliminar el riesgo, eliminando la causa), mitigarla (reducir la probabilidad o impacto del riesgo definiendo, implementando y monitorizando los controles adecuados), transferirla (compartiendo el riesgo o transferirlo a un tercero) o aceptarla (aceptando el riesgo y monitorizándolo).

A veces la estrategia de TI es tan ambiciosa que requiere centros de proceso de datos redundados en diferentes ubicaciones geográficas proporcionando alta disponibilidad ante cualquier desastre. Sin embargo, a veces olvidamos que un buen plan de continuidad del negocio y recuperación de desastre debe cuidar también la reputación, la marca y la imagen de la organización, donde ante un incidente grave nadie debe dar explicaciones en público, excepto el portavoz, independientemente del rango en el que se encuentren. Tan solo hay que recordar la expresión “No ha pasado nada” del portavoz de Deloitte mientras se quemaban sus oficinas en el edificio Windsor, es un claro mensaje para intentar calmar la situación.

En definitiva, el Gobierno de TI debe agarrar el timón del barco y todos los departamentos de TI deben remar hacia la misma dirección para cumplir con los objetivos del negocio, de esta manera hemos presentado la importancia de tener en cuenta la gestión de riesgos, la externalización de servicios y esbozado la importancia de cuidar la reputación en los planes de continuidad y desastre del negocio.

Controles Internos

Sigo convencido que para proporcionar servicios de calidad es recomendable seguir las buenas prácticas de ITIL o COBIT, o adaptarse a los estándares ISO 27001 y/o ISO 20000. Sin embargo, aún más importante es dejar que un auditor externo nos realice una Auditoría de Sistemas de Información que nos diga si los controles que aplicamos a nuestra organización son suficientes para entregar servicios de calidad.

Los controles internos están compuestos por políticas y procedimientos que se implementan para reducir el riesgo de la organización, entendiendo por riesgo a la posibilidad de que se explote una vulnerabilidad en un activo o grupo de activos causando perjuicio para la organización. Si aún no conocemos nuestros riesgos, en las primeras fases del Proceso de Auditoría se realizará el Análisis de Riesgos que desvelará los peligros a los que está expuesto la organización.

Los controles son desarrollados pensando en qué se quiere evitar y qué se quiere lograr, siempre alineándolos con los objetivos del negocio. Podemos dividir los controles en tres tipos:

• Prevenir: Son aquellos controles que detectan y predicen los problemas antes de que sucedan, monitorizan los procesos y nos previenen de errores o acciones malintencionadas. Por ejemplo, dividir responsabilidades y tareas, controles de acceso, cifrado de la información, etc.
• Detectar: Son los controles que además de detectar, avisan de la ocurrencia de un error o acción malintencionada. Por ejemplo, mensajes de error, informes de rendimiento, auditoría internas, etc.
• Corregir: Son controles que minimizan el impacto de una amenaza, subsanan problemas descubiertos, identifican la causa de los problemas, corrigen errores y modifican los sistemas para que no vuelva a ocurrir el problema. Por ejemplo, plantes de contingencia, procedimientos de backup, etc.

Dependiendo de la dimensión de la compañía, el director o CEO es el encargado de aprobar los controles, además de planificar, ejecutar y monitorizar que los controles se alineen con los objetivos empresariales. Por otro lado, el Gobierno, compuesto por la Junta Directiva y Presidente, se deben asegurar que se cumplen las condiciones y necesidades de los accionistas estableciendo directrices, tomando decisiones, priorizando tareas y monitorizando el rendimiento y cumplimento de los objetivos de negocio. La Junta Directiva y los directores son los responsables de fomentar una cultura en la organización que permita ejecutar y monitorizar eficientemente los controles internos, ya que los controles van dirigidos a todos los niveles para mitigar el riesgo.

Independientemente en el nivel en el que nos encontremos, no olvidemos que los controles deberán ser propuestos, pensados y definidos por la organización, y no por el auditor ya que éste no debe hacer las funciones de consultor debido a que su función es obtener evidencias para presentar finalmente un informe de auditoría. No obstante, en el informe de auditoría no sólo aparecerá los problemas encontrados sino también comentarios positivos que ayudan a mejorar los procesos y controles que están ya establecidos. Por tanto, el rol que tiene un auditor de TI es entender e identificar los riesgos bajo las áreas de gestión de la información, infraestructura TI, gobierno TI y operación TI, mientras que otros especialistas auditarán el entorno organizativo, los riesgos del negocio y los controles del negocio.

Seguro que se nos ocurren muchos controles, pero … ¿están identificados, documentados y medidos?

Default password

Todos los fabricantes intentan que la instalación y mantenimiento de sus productos sea lo más simple posible para los administradores e integradores, de esta manera cada uno de nosotros podemos desplegar soluciones de forma fácil y rápida para probar sus funcionalidades y en definitiva comprobar la potencia que nos puede ofrecer una determinada solución a nuestra infraestructura IT. Sin embargo, esta rapidez y facilidad en la implantación de cualquier producto, junto con el “si funciona mejor no tocar”, puede tener connotaciones negativas para la organización si no se lee detalladamente las guías de instalación y configuración, ya que podemos dejar expuesta configuraciones por defecto o incluso contraseñas por defecto sin saberlo.

Una de las primeras cosas que se realizan al implantar cualquier producto es cambiar la contraseña de administrador de la solución que se está implantando, sin embargo por desconocimiento podemos dejar las credenciales por defecto del acceso en modo lectura o incluso permitir la gestión remota por defecto mediante HTTP, Telnet y/o SNMP. Dándome una “vuelta” por Internet, he podido encontrar multitud de equipos balanceadores Alteon con las credenciales por defecto del usuario “user”. Usuario que tan solo tiene permisos de lectura:

Radware Alteon

 

Algunos pensarán que un atacante poco puede hacer con un usuario en modo lectura, sin embargo obtendremos información relevante para la fase de enumeración del ataque, como por ejemplo:

• Obtener el fichero de configuración del balanceador.
• Conocer el direccionamiento interno de los servidores.
• Conocer el número de sesiones concurrentes del servicio balanceado, de esta manera además de detectar cuándo se producen los picos de red podemos determinar cuáles pueden ser los servicios más críticos para la organización.
• Saber los servicios publicados por cada servidor real.
• Averiguar el firmware instalado en el balanceador para comprobar si hay vulnerabilidades publicadas.
• Examinar la capacidad del equipo en cuanto a CPU, memoria RAM, interfaces, etc lo cual puede ser útil si el atacante trata de realizar un ataque DoS.
• Analizar los logs del equipo.

Nortel Alteon

Así que deberíamos revisar las configuraciones por defecto, cambiar las contraseñas por otras más robustas, limitar el acceso únicamente desde la red de gestión, es decir, no publicar la gestión remota del equipo desde todas las redes incluido Internet. Además de monitorizar los accesos a los equipos y aplicar las actualizaciones para corregir bugs y vulnerabilidades. Así que para la instalación de cualquier solución es importante contar con integradores especializados en el producto a implantar si queremos disponer de una instalación y configuración profesional.

Sin embargo, poco podremos hacer contra los fabricantes que instalan puertas traseras para “gestionar” remotamente los equipos ante alguna incidencia o fabricantes que incluyen puertas traseras pagadas por la NSA. Como vengo diciendo, creo que estamos vendidos por la escasa tecnología fabricada en España y por tanto tan solo nos queda confiar en la tecnología desarrollada fuera de nuestras fronteras.

Hasta luego compañeros.

¿Compramos lo que necesitamos?

La sociedad en la que nos ha tocado vivir está repleta de artilugios y gadgets tecnológicos, la mayoría de las personas adultas no saben utilizar un ordenador, un teléfono móvil o incluso no saben qué es eso de Internet, sin embargo las nuevas generaciones no se imaginan vivir sin conectarse diariamente a Internet o sin poder enviar un Whatsapp desde su smartphone.

Se puede decir que estamos ante una sociedad dependiente de la tecnología, somos adictos a la tecnología y adictos a estar interconectados, por ello compramos productos tecnológicos como reproductores MP4, cámaras de fotos, teléfonos móviles o portátiles, muchas veces sin sentido y sin analizar si realmente necesitamos estos artículos.

En estas fechas de Reyes, un cumpleaños o cualquier evento en el que tenemos que realizar un regalo, muchas veces vamos a las grandes superficies y acabamos comprando un netbook, tablet, televisor o cualquier cosa que esté de “moda”. Todas estas compras, ya sean caprichos o compras compulsivas, están cambiando la sociedad actual y esto se puede ver en los últimos estudios del Instituto Nacional de Estadística en el que se indica que el 68% de los hogares españoles dispone de conexión a Internet y el número de abonados sigue incrementando, esta situación está fomentando que las noches las dediquemos a revisar el correo electrónico y a las redes sociales, haciendo que la televisión tradicional esté perdiendo audiencia.

Está claro que el producto estrella es el smartphone, la mayoría de las personas tiene uno aunque no utilicen ni el 2% de sus funcionalidades. Cuando se abarataron los portátiles en poco tiempo había más portátiles que ordenadores de sobremesa, ahora con los smartphone ha pasado lo mismo, podemos decir que en la actualidad hay más smartphone que portátiles, y en los años venideros habrá más tablets que smartphone. Parece que los productos tecnológicos son atractivos y fáciles de vender, y las grandes multinacionales dirigen nuestra atención según les conviene.

Algunas recomendaciones para no comprar artilugios innecesarios son las siguientes:

• Analiza con detenimiento lo que vas a comprar, puede que no lo necesites o que alguno de los productos que ya tienes posee las mismas funcionalidades.
• Controla los gastos, y compara productos y ofertas con otros fabricantes.
• Es importante autocontrolarse y no comprar porque el producto esté de moda.
• Evita las tentaciones intentando permanecer lo menos posible en la sección de tecnología de los grandes almacenes.

En definitiva, no caigamos en la atracción de estos productos por muy impresionantes que parezcan, ya que los fabricantes no pararán de desarrollar nuevos dispositivos electrónicos que luego tendremos que guardar en un cajón por la obsolescencia programada, sino ya mismo estaremos todos con las gafas de Google (Google Glass) al estilo Matrix.