La mayoría de los profesionales ya están muy acostumbrados a utilizar herramientas técnicas con fines tácticos específicos cuando se trata de seguridad o garantía dentro de sus entornos. Estas herramientas pueden ser de código abierto o comercial. Por ejemplo, los profesionales pueden emplear herramientas de código abierto como Clam, Wireshark o OpenVAS para realizar tareas específicas (antivirus, análisis de red y evaluación de vulnerabilidad, respectivamente) o pueden aprovechar productos comerciales para proporcionar cualquier cosa, desde sistemas de detección de intrusiones (IDS) hasta cortafuegos, prevención de pérdida de datos (DLP) a agentes de seguridad de acceso a la nube (CASB) (y más allá). En resumen, las herramientas -la selección cuidadosa y el uso juicioso de las mismas- son una parte importante de ser un profesional en estas áreas temáticas.
Sin embargo, cuando se trata de gobierno tecnológico (gobierno empresarial de TI [GEIT]), a menudo puede ser más difícil encontrar herramientas específicas que pueden ayudar al profesional. Las razones de esto no son difíciles de entender. En primer lugar, el gobierno es, por definición, un ejercicio que requiere una personalización significativa de la organización para la organización, y cómo el gobierno se implemente en la organización A es muy diferente de la organización B. Esto se debe en parte a objetivos diferentes. Así como los objetivos técnicos que se derivan de las necesidades de las partes interesadas, métricas e indicadores clave de desempeño (KPIs) utilizados para asegurar la mejora continua, diferentes culturas y apetitos de riesgo, y numerosos otros factores específicos de la organización. Esto, a su vez, hace que sea difícil encontrar y usar herramientas de talla única que puedan soportar transversalmente las implementaciones en varias organizaciones.
Dicho esto, hay algunas herramientas con un ojo hacia el gobierno holístico y sistemático que los profesionales a lo largo del camino pueden emplear para ayudarles. En esta columna se destacan algunas de estas herramientas y cómo se pueden utilizar en una implementación más amplia del gobierno. Hay, por supuesto, más herramientas de las que se pueden cubrir en un resumen superficial como éste; Que dicho, esta columna convoca a unos pocos que pueden ser de utilidad en los esfuerzos de una organización de gobierno.
Además, puesto que es una obviedad que las consideraciones presupuestarias pueden ser un factor (especialmente en épocas como éstas cuando los presupuestos son escasos y el escrutinio es alto), se destacan las herramientas de fuente abierta que se pueden utilizar para este propósito. Tenga en cuenta que esto no implica que no hay herramientas comerciales por ahí que pueden hacer cosas similares o ayudar de diferentes maneras; de hecho, nada podría estar más lejos de la verdad, ya que hay cientos (si no miles) de productos comerciales que pueden ayudar en la implementación de GEIT. Pero, dado que no todas las organizaciones tendrán el mismo nivel de apoyo presupuestario disponible (sin mencionar que el paisaje del vendedor a menudo es mutable), esta columna pone el foco en las opciones de código abierto.
Para la organización que lleva a cabo una implementación de GEIT, puede ser difícil obtener tracción y comenzar. Las consideraciones presupuestarias a veces pueden ser un factor limitante en términos de progreso. En este caso, las herramientas de fuente abierta pueden tener el beneficio de una rápida "rampa" que de otra manera no sería el caso.
1) Inventario Activos
Como todo profesional sabe, la gestión Monitoreo de activos es todo un desafío hacerlo bien. Por lo tanto, las herramientas de apalancamiento que refuerzan la gestión de activos pueden tener beneficios en muchas áreas. Sin embargo, en el contexto específico de GEIT, las herramientas que apoyan la gestión de activos pueden ser particularmente valiosas. ¿Por qué? Debido a que durante las fases de implementación de un despliegue de GEIT, las organizaciones llevan a cabo algunas actividades clave: (es decir, relevamiento y evaluación de riesgos, establecimiento de indicadores clave de rendimiento y métricas de desempeño, establecimiento del alcance apropiado). En un nivel macro, estas tareas no necesariamente requerirán un conocimiento a nivel de componente de cada sistema, aplicación o nodo que un entorno haya puesto en campo. Pero, como una organización comienza a rascar la superficie y va más allá del nivel macro a la planificación más detallada de cualquiera de estas actividades, la contabilidad de los matices únicos de un entorno (que presupone que uno sabe lo que está en él) puede significar la diferencia entre el éxito y el fracaso.
Con esto en mente, las herramientas que soportan inventario y descubrimiento de activos, como GLPI (www.ubuntugeek.com/glpi-it-and-asset-managemet-software.html) y OCS Inventory NG (www.ocsinventory-ng.org/en/) Pueden ser beneficiosas. Las organizaciones pueden usarlas para descubrir lo que ya tienen en su lugar para ayudar en los esfuerzos de la gestión de riesgos. También pueden usarlos para mantener un registro de lo que han colocado y vincular esa información junto con la recopilación de métricas para ayudar a establecer métricas de mejora de rendimiento en curso. Además, las organizaciones pueden vincular la información contenida dentro de ese sistema para apoyar todo lo relacionado con la fase de implementación de su planificación de GEIT.
2) Gestión de Riesgos
La introducción de GEIT de ISACA en el Manual de introducción a GEIT: "Introducción a la implementación del gobierno de la TI corporativa" destaca la necesidad de una evaluación de riesgos durante la fase de implementación de un despliegue GEIT: Específicamente, la guía señala que "La iniciativa de GEIT para asegurar que el riesgo del programa, ya sea compromisos de recursos, presupuestos o calendario, esté dirigido a mantener el programa que está en marcha”.1 Esto indica que evaluar el riesgo —y responder en consecuencia—es parte integrante de la implementación del propio GEIT. Es en esta área que las herramientas libres y de código abierto pueden ayudar a apoyar la implementación.
Hay pocas maneras en que esto es cierto. En primer lugar, herramientas como SimpleRisk (https://www.simplerisk.it) pueden ayudar a mantener un seguimiento del riesgo a un nivel alto, registrando cuáles son las áreas de riesgo, proporcionando una manera de rastrearlas con el tiempo, apoyando la vinculación de estrategias de mitigación A las propias áreas de riesgo ya registrar el progreso de la remediación. Del mismo modo, existen herramientas gratuitas que pueden ayudar a las organizaciones a comprender cuáles son los factores de riesgo e identificarlos/contextualizarlos. Por ejemplo, una herramienta como el Análisis Práctico de Amenazas (PTA, por sus siglas en inglés) (www.ptatechnologies.com) puede ayudar a desarrollar un modelo sistemático de amenazas para asegurar que la organización esté considerando el riesgo sistemáticamente. Dependiendo del nivel que las partes interesadas quieran alcanzar al hacer esto, pueden, potencialmente, aprovechar herramientas como.
OpenVAS o Vega para ayudar a identificar vulnerabilidades en la superficie de las aplicaciones y la infraestructura que pueden informar el perfil de riesgo que hacen. Por supuesto, no todas las implementaciones de GEIT llevarán la parte de evaluación de riesgos de la implementación a este nivel granular, pero la opción es que si la organización elige hacerlo.
3) Monitoreo
El objetivo de una implementación de GEIT es llegar a un circuito de retroalimentación de mejora continua. Es decir, al monitorear la organización de manera continua y al estar atentos a las métricas y los KPIs que se relacionan con los requerimientos de las partes interesadas, las organizaciones pueden ver áreas de mejora y aprovecharlas para mejorar. Aquí es donde hay una serie de opciones que pueden ayudar.
En primer lugar, hay una serie de herramientas disponibles para apoyar el monitoreo del rendimiento. Esto incluye herramientas como Icinga 2 (https://www.icinga.com/products/icinga-2/), Nagios (https://www.nagios.org), OpenNMS (https://www.opennms.org/en) y Zabbix (www.zabbix.com). Cualquier información sobre el desempeño puede referirse directamente a la información de accesibilidad que probablemente sea de interés a medida que la organización completa una implementación de gobierno. Pensando más ampliamente, sin embargo, las herramientas que se basan en esto como Observium (https://www.observium.org) o Cacti (www.cacti.net) pueden proporcionar capas adicionales de detalle dependiendo de lo profundo que la organización tenga intención de ir. Por supuesto, algunas organizaciones pueden tener herramientas en el lugar que proporcionan información similar, pero para las que no lo hacen, esto podría proporcionar la información necesaria.
Hacer el monitoreo es importante, por supuesto, pero también lo es la capacidad de procesar la información de monitoreo en un formato que permita a la organización actuar sobre ella. Herramientas que ayudan en la visualización de datos, por ejemplo, Datawrapper y similares, también pueden ser de beneficio para una organización desde el punto de vista del gobierno.
Notas Finales
1 ISACA, Getting Started with GEIT: A Primer for Implementing Governance of Enterprise IT, USA, 2016
Ed Moyle
Es director de liderazgo de pensamiento y de investigación en ISACA. Antes de unirse a ISACA, Moyle fue estratega senior de seguridad con Savvis y socio fundador de la firma de Analyst Security Curve. En sus cerca de 20 años en seguridad de la información, ha ocupado numerosos cargos como gerente senior de seguridad global de CTG, vicepresidente y oficial de seguridad de información de Merrill Lynch Investment Managers y analista senior de seguridad en Trintech. Moyle es coautor de Cryptographic Libraries for Developers y un colaborador frecuente de la industria de la seguridad de la información como autor, orador público y analista.