El principio básico que tengo en mente y que he aplicado es muy parecido a cómo vive una ardilla (al menos, de donde yo vengo). La ardilla pasa todo el año recolectando nueces para sobrevivir los largos y duros inviernos de Chicago. Cuando llega esa época del año, puede permanecer segura en su hogar, cosechando los frutos de su trabajo anual. La ardilla que espera hasta noviembre para empezar a recolectar tendrá que prepararse frenéticamente, y es muy probable que no sobreviva.
Es una metáfora un tanto cursi, pero sorprendentemente relevante. Pensando en la ardilla del Medio Oeste en general, muchos informáticos con poca experiencia se encargan de aprobar las revisiones/certificaciones anuales de cumplimiento, ya sean PCI, ISO, SOC, etc. Los procesos suelen ser MUY intensivos y, si se trata de una auditoría real, suelen requerir no solo papeleo, sino también pruebas de que se ha trabajado duro durante todo el año para vivir la vida que se esperaba.
¿Qué incluye una de estas auditorías? Normalmente, puede constar de varias categorías:
- Revisión de políticas
- Revisión de capacitación
- Pruebas de seguridad
- Análisis de auditoría
Algunas también pueden incluir auditorías/revisiones financieras, pero eso es un poco redundante, ya que se pueden aplicar algunas de las mismas metodologías que estoy comentando en otras áreas.
En cuanto a la revisión de políticas, hay tres factores clave a considerar:
¿Tiene políticas que cubran todos los aspectos de su negocio, según correspondan al marco en el que se certifica? ¿Ha revisado recientemente sus políticas para asegurarse de que sean precisas, estén actualizadas y cubran adecuadamente su negocio?
¿Puede demostrar que se aplican?
No hay ninguna razón para esperar hasta el día anterior a su primera auditoría para revisar estas políticas, pero casi siempre es así. Por ejemplo, en un caso como PCI, puede ser necesario presentar más de 50 políticas diferentes, desde manuales para empleados hasta programas de recuperación ante desastres. Esto puede representar cientos de páginas de revisión. ¿Por qué hacerlo todo al mismo tiempo cada año? El hecho de que su experto en TI, quizás con la ayuda de un responsable de cumplimiento, haya sido encargado de completar la tarea no significa que pueda, o a menudo deba, ser el único responsable de la revisión y creación de políticas. Esto suele implicar recursos de operaciones, atención al cliente y RR. HH. ¿Por qué no realizar revisiones trimestrales de políticas, donde se revise una parte de ellas? ¿Quizás sea mensual para una mayor distribución, o incluso quincenal?
Es importante tener en cuenta que algunas cosas pueden cambiar a menudo. Por ejemplo, muchas políticas de DR se escriben en torno a la concepción de que sus operaciones son 100% físicas y sus servidores están ubicados en su sede corporativa. ¿Envió a todos sus agentes a casa el año pasado? ¿Se mudó a la nube? Estas cosas pueden afectar en gran medida su plan. Cuando haga el cambio, tal vez parte de su proceso de gestión de cambios dictaría que actualice sus políticas de DR CUANDO EL CAMBIO ocurra; no deje que sea una ocurrencia tardía en el futuro. Además, el objetivo de estas políticas es proteger a sus clientes. Las políticas no deberían ser una ocurrencia tardía, ¡deben ser parte de la vida! Por lo tanto, si realmente no pensó en una nueva política de DR cuando renovó por completo las operaciones, ¿es la DR algo que realmente sigue o solo algo que tiene en papel para poder marcar una casilla en su auditoría? ¿Puede proporcionar DR a sus clientes? Si no puedes, ¿qué más no puedes hacer? ¿Puedes proteger sus datos? ¿Puedes notificar una infracción?
Finalmente, ¿cómo se aplican estas políticas? Si tienes un entorno sin bolígrafo ni papel, ¿solo lo revisas una vez al año? Si haces las cosas correctamente, es algo a lo que prestas mucha atención, y probablemente hayas denunciado al menos a un empleado el año pasado por una infracción. No hay problema en admitir que alguien infringió las normas, siempre que puedas demostrar que lo supervisaste y tomaste las medidas adecuadas cuando ocurrió. Asegúrate de que tu departamento de RR. HH. tenga una forma de obtener pruebas como esta de forma rápida y sencilla, que demuestre que estás supervisando y aplicando las normas.
Si has llegado hasta aquí, probablemente te preocupes por cuánto tiempo durará este blog. Lo bueno de este principio es que mi lista de 3 elementos se puede reutilizar para todos los demás elementos como métodos de preparación con solo pequeñas modificaciones. ¡El resto se vuelve sencillo una vez que hemos establecido estos hábitos!
Revisión de la capacitación: ¿cuál es su programa de capacitación? ¿Cuándo fue la última vez que se revisó? ¿Puede proporcionar pruebas? Muchos marcos de seguridad (por ejemplo, PCI) requieren capacitación continua o anual. ¡Eso no significa que todos tengan que colgar el teléfono a la misma hora una vez al año para realizar un curso de seguridad de 8 horas! Los auditores suelen indicar que existen formas sencillas de lograr la capacitación continua. Esto puede ser mediante letreros en las paredes, mensajes en sus pantallas entre llamadas (si su software lo admite), etc. Y lo más importante: asegúrese de que esto esté documentado y sea fácil de acceder.
¡Disponible para la auditoría!
Pruebas de seguridad: Casi todos fallan en sus primeras dos pruebas de penetración o vulnerabilidad realizadas por sus auditores. Lo que realmente importa es el grado de falla. ¿Hablamos de dos servidores sin un parche, o de un firewall completamente abierto que usa el nombre de usuario y la contraseña predeterminados de fábrica? El equipo de TI debería realizar pruebas de penetración y vulnerabilidad durante todo el año y, como ya habrás adivinado, ¡registrarlas! A veces, ir un paso más allá de los requisitos de las pruebas puede ser muy útil para completar esta auditoría rápidamente.
Análisis de auditoría: ¡Tienes que auditarte a ti mismo! Los auditores te auditan, obviamente, pero quieren pruebas de que estás haciendo ese trabajo tú mismo. ¿Lo estás haciendo? ¿Puedes demostrarlo? Registra estas revisiones de auditoría y tenlas listas.
Supongo que terminaré con una analogía final. Todos conocíamos (o éramos) esa persona en la escuela que nunca prestaba atención en clase y luego, cuando se acercaban los exámenes finales, se daba un curso intensivo, se escribía las respuestas en las manos o hacía lo que fuera necesario para aprobar el examen. No se supone que se trate de eso. Tener ese sello ISO o PCI no es solo para demostrar que puedes pasar una auditoría anual, sino más bien para demostrar que estás viviendo la vida/caminando en línea recta durante todo el año.