Auditoría básica de SI: Los auditores, las políticas de SI/TI y el cumplimiento

A través de las políticas cada organización intenta formalizar aspectos de su cultura. Estas políticas definen lo que se espera de los miembros del personal y describen cómo se trata el incumplimiento.

Normalmente, la recopilación de las políticas se entrega en forma de un manual de empleados y/o se publica en la intranet. Mantener las políticas actualizadas y asegurar que todos los que la necesitan conocer estén al tanto de los cambios, aumenta en complejidad con el número de empleados y sus ubicaciones.

Tampoco es fácil asegurarse de que el personal entiende el propósito de las políticas y acepta cumplir con las mismas. Su incumplimiento puede requerir que se involucre a la gerencia, recursos humanos (HR), área legal y a los auditores. Si este no es el caso, puede ser que la política en cuestión tenga poco valor.

El portafolio de políticas

Para reflejar las necesidades específicas, el portafolio de políticas puede diferir de una organización a otra. Por ejemplo, el portafolio de políticas diferirá dependiendo de las áreas donde el cumplimiento de la legislación sea obligatorio. Además, cada organización tiene sus propias políticas sobre temas generales relacionados con el trabajo, como por ejemplo el consumo de sustancias tóxicas, el “fraude, la malversación y el despilfarro”, el código de conducta (incluido el acoso, el hostigamiento y la violencia) y los conflictos de interés. Este artículo examina los asuntos normativos relativos a los servicios de sistemas de información y datos (SSD), tales como:

• No divulgación de información de la empresa
• Protección de datos
• Uso personal de los recursos de información de la empresa
• Uso de medios sociales
• Traer tu propio dispositivo (BYOD)
• Seguridad de la información

Existen muchas otras áreas donde las políticas pueden ser deseables, pero el portafolio debe contener sólo aquellas que tienen valor y un propósito claro. Cuando se tienen demasiadas políticas, éstas pueden ser difíciles de absorber para el personal. Además, aquellas políticas que entran en conflicto con la cultura organizacional pueden conducir a que la administración pierda credibilidad y desmoralizar al personal hasta el punto de querer desvincularse.

Enfoque #1 del auditor
Evaluar el alcance de las políticas emitidas y revisar sus parámetros clave. Éstos deben incluir:

• Si existen directrices para generar políticas que definan requerimientos tales como legibilidad y comprensibilidad, uso de control de versiones, necesidad (o no) de acuso de recibo de cada política por parte de los individuos, etc.
• Alcance del portafolio (de políticas) frente al riesgo evaluado que impacten a la disponibilidad, confidencialidad e integridad de los servicios y los datos (SSD), y la identificación de otros temas que ameritan una política
• Vigencia de la política (es decir, cuando fue revisada por última vez y la posible necesidad de actualizarla)
• Difusión (en papel requiriendo el recibo de la misma; en papel sin acuse de recibo; autoservicio de su toma de conocimiento por medio de la intranet, en este último caso revise las estadísticas de su uso y acceso).
• Mecanismos para monitorear el cumplimiento

Existen muchos ejemplos de desarrollo de políticas deficientes recopilados por el autor a través de los años. El siguiente “llamó la atención” de los auditores de sistemas de información.

Un gerente de informática (CIO) redactó una política de dos páginas sobre el uso apropiado de los recursos corporativos donde abordó el tema de manera clara y concisa. Para ello utilizó términos como “prohibido” y “derecho a monitorear” y declaró que cualquier incumplimiento conduciría a sanciones. Como el CIO no tenía autoridad para emitir este borrador, se pidió a la función de recursos humanos que lo revisara. Varios meses después, surgió un documento de cuatro páginas que hacía referencias a otras políticas y al reglamento interno.

En este punto, recursos humanos invitó a los representantes de los trabajadores a revisarla. En su respuesta, dada unos meses después, se opuso al uso de la palabra “prohibido” y otros términos considerados demasiado restrictivos. “Prohibido” fue cambiado por “uso de personal limitado” (dejando no definido a “limitado”).

Luego esto fue enviado a un asesor legal. Su revisión tomó varios meses y resultó en un casi incomprensible documento de 11 páginas escrito en jerga jurídica con muchas cláusulas, sub-cláusulas y notas al pie de página.

Un año después de que se hiciera el primer borrador, la política se imprimió y se distribuyó junto con un paquete de varias circulares y curiosidades administrativas. Los empleados no estaban obligados a acusar recibo. Durante una auditoría independiente posterior, pocos pudieron presentar su copia y muchos dijeron que “nunca la recibieron”. Esta política tampoco formaba parte de la documentación que se entregaba al personal nuevo contratado.

La naturaleza humana

Enfoque #2 del auditor
Evaluar el grado de compromiso para cumplir con las políticas y el grado de cómo esto es registrado en la carpeta del personal.

Siempre que el personal considere a las políticas como restricciones que tienen poco o ningún sentido (porque realmente no tienen sentido o porque requieren de conjeturas para interpretarlas), serán ignoradas si no son aplicadas a través de los sistemas (por ejemplo, forzando al cambio mensual de la contraseña). Incluso cuando es forzado, la gente puede buscar (y encontrar) un método alternativo.

El supuesto de que las políticas son materias de sentido común es cuestionable. Una cita atribuida a Albert Einstein afirma que “sólo dos cosas son infinitas, el universo y la estupidez humana, y no estoy seguro acerca de la primera”.¹

Hace unos años atrás durante una auditoría, un auditor encontró la salida de emergencia mostrada en la figura 1. La obstrucción había estado allí durante algún tiempo y era demasiado pesada para ser movida por una persona. El aviso en la izquierda de la puerta fue observado e ignorado.

En cualquier caso, no es raro encontrar un balde de limpieza sujetando una puerta segura para que esta se mantenga abierta, contraseñas que se comparten, personal haciendo transacciones de comercio electrónico o jugando en el computador durante las horas de trabajo.

Tampoco ayudan las señales contradictorias que vienen de la plana superior. “Excepciones ejecutivas” demuestran que las políticas para el personal no se aplican a los rangos ejecutivos (por ejemplo, los empleados del gobierno utilizan su correo electrónico privado para fines oficiales en lugar del sistema corporativo, que es más seguro). Aquellos bien versados en política organizacional recordarán la cita de Grace Hopper—“A menudo es más fácil pedir perdón que pedir permiso”²—lo que hace que el cumplimiento sea un desafío aún mayor.

Cumplimiento con las políticas internas de SI/TI

Enfoque #3 del auditor
Evaluar en qué medida se monitorean las políticas y cuáles de ellas se cumplen.

La historia humana nos dice mucho sobre el incumplimiento. Por ejemplo, existe el Código Hammurabi de la Ley de Babilonia (aprox. 1.700 A.C), los Diez Mandamientos, otros códigos de conducta y un enorme volumen de normativa legal. También es cierto que la fuerza policial, los tribunales de justicia y las prisiones son incapaces de satisfacer la demanda, lo que sugiere que el incumplimiento es un hecho de la conducta humana.

Esto nos lleva a la “tolerancia cero” que algunas organizaciones abordan, con éxito variable, ya que la aplicación crea mártires y puede cosechar una atención indeseable de los medios de comunicación. Un enfoque equilibrado de las políticas podría considerar tres dominios, como se muestra en la figura 2.

La zona gris reconoce las imperfecciones y necesidades humanas (¿está bien llevarse a la casa una caja de clips o unos lápices?, ¿y un computador portátil?, ¿dónde deberían fijarse los límites?). La zona roja debe tener algunas políticas para evitar que se conviertan en una camisa de fuerza y un desmotivador. El aumento del trabajador móvil y el BYOD (traer tu propio dispositivo) crean nuevos retos a lo que se puede controlar y cumplir. La alta dirección, el CIO, los gerentes de riesgo y los auditores deben considerar estos límites y considerarlos para reflejar la cultura y las necesidades específicas de la organización.

Maquiavelo, consultor en gestión del siglo 16, afirmó que aquellos que tienen autoridad, “... (existen) logran mayor seguridad siendo temidos que siendo amados,” seguido de “... el amor está asegurado por un vínculo de gratitud que los hombres, miserables criaturas que son, lo rompen cuando es ventajoso hacerlo; pero el miedo se ve reforzado por un sueño de castigo, lo cual siempre es eficaz”.³

Enfoque #4 del auditor
Determinar hasta qué punto la organización realiza un seguimiento a las nuevas tecnologías que podrían tener un impacto en la organización e introducir un nuevo riesgo. Utilice esta información para identificar las consecuencias potenciales de la adopción de estas tecnologías, antes de pensar adecuadamente sobre los controles asociados que se expresan en las políticas.

Conclusiones

Las buenas políticas deben reflejar el concepto del eterno favorito de las mujeres elegantes, el “pequeño vestido negro”: elegante, versátil y simple. Esto raramente se da en el caso de las políticas, y algunos manuales de empleados pueden ser tan grandes como el directorio telefónico de una pequeña ciudad e igual de legible.

Tener políticas puede ser un requisito obligatorio (por ejemplo, para obtener la certificación de la Organización Internacional de Normalización [ISO] 27001), pero esto, si bien es necesario, no es suficiente para asegurar el cumplimiento. Los auditores deben alentar y apoyar a los emisores de las políticas haciéndolos conscientes de estos asuntos y, posteriormente, haciendo el seguimiento sobre las medidas adoptadas.

Notas Finales

¹ Brainy Quotes, Albert Einstein Quotes, www.brainyquote.com/quotes/quotes/a/alberteins100015.html
² Brainy Quote, Grace Hopper Quotes, www.brainyquote.com/quotes/quotes/g/gracehoppe170166.html
³ Machiavelli, N.; The Prince, 1513, chapter XVII