{"id":2556,"date":"2010-06-18T08:24:17","date_gmt":"2010-06-18T11:24:17","guid":{"rendered":"http:\/\/www.brainlabs.com.ar\/novedad\/?p=2556"},"modified":"2023-05-23T19:09:25","modified_gmt":"2023-05-23T22:09:25","slug":"la-importancia-del-conocimiento-tecnico-en-auditorias-de-sistemas","status":"publish","type":"post","link":"https:\/\/www.brainlabs.com\/novedad\/la-importancia-del-conocimiento-tecnico-en-auditorias-de-sistemas\/","title":{"rendered":"La importancia del conocimiento t\u00e9cnico en auditor\u00edas de sistemas"},"content":{"rendered":"<p>Los auditores deben siempre, de manera inexcusable, asociar sus  recomendaciones al riesgo. Si no hay riesgo, es absurdo escribir  recomendaciones de auditor\u00eda. Es por tanto que si analizamos <a onclick=\"javascript:pageTracker._trackPageview('\/outbound\/article\/es.wikipedia.org');\" href=\"http:\/\/es.wikipedia.org\/wiki\/Advanced_Interactive_Executive_%28AIX%29\" target=\"_blank\" rel=\"noopener\">un   AIX<\/a>, malos auditores seremos si enfocamos la recomendaci\u00f3n de  desactivaci\u00f3n de los <em>core dumps<\/em> por el mero hecho de que lo  dice el CIS o alg\u00fan otro <em>checklist<\/em>. Hay que fundamentar la  recomendaci\u00f3n, estableciendo un nexo fundado entre las excepciones y los  riesgos que derivan de las mismas. En este ejemplo que nos ocupa,  habr\u00eda que estudiar al menos:<\/p>\n<ul>\n<li>La probabilidad y el impacto <strong>EN EL NEGOCIO<\/strong> de que  un <em>core dump<\/em> incluya datos sensibles que puedan provocar otras  incidencias (acceso ileg\u00edtimo a informaci\u00f3n de negocio, obtenci\u00f3n de  contrase\u00f1as, etc.)<\/li>\n<li>La probabilidad y el impacto <strong>EN EL NEGOCIO<\/strong> de que  el forzado malintencionado de volcados provoque DoS local y\/o replicado  en la red por agotamiento de almacenamiento y\/o procesos I\/O.<\/li>\n<\/ul>\n<p>Cuando marcamos en negrita <strong>EN EL NEGOCIO<\/strong> queremos  recordar que aunque hagamos una auditor\u00eda t\u00e9cnica, los impactos  relevantes son los del negocio y no los puramente t\u00e9cnicos. Que el  balanceador de carga de una VLAN sufra problemas de rendimiento por  culpa de los <em>core dumps<\/em> <strong>NO ES<\/strong> un impacto en el  negocio. Un impacto en el negocio es, por ejemplo, que por culpa de un  mal rendimiento ocasionado por los <em>core dumps<\/em> tengamos un  problema en la tesorer\u00eda, no podamos operar los sistemas de <em>asset  management<\/em> fluidamente y dejemos de colocar en el mercado 5  millones de euros en derivados. N\u00f3tese la diferencia.<\/p>\n<p>Una vez fundamentada la recomendaci\u00f3n conviene tambi\u00e9n prepararse  para poder ayudar a la resoluci\u00f3n y poder afrontar la discusi\u00f3n de las  incidencias detectadas con garant\u00edas. El auditor, aunque no reflejar\u00e1 en  el informe los pasos exactos para resolver el problema, ya que eso es  dominio del auditado, si tendr\u00e1 en la rec\u00e1mara argumentos para la  discusi\u00f3n.<\/p>\n<p><strong>La importancia de combinar el conocimiento t\u00e9cnico en  nuestras recomendaciones t\u00e9cnicas<\/strong><\/p>\n<p>Las recomendaciones t\u00e9cnicas s\u00f3lo deben hacerse  cuando se tiene un conocimiento t\u00e9cnico profundo y suficiente. Por tres  motivos, principalmente:<\/p>\n<ul>\n<li>En primer lugar por una cuesti\u00f3n de respeto y compa\u00f1erismo. Auditar  implica que la gente dedique tiempo valioso a atenderte, tiempo que  necesitan para sus quehaceres. Si vamos a pedirles su tiempo, y  probablemente a romper sus esquemas de trabajo, lo m\u00ednimo que podemos  hacer es procurar no hacerles perder el tiempo por culpa de nuestra  incompetencia o inexperiencia. Hay que ser profesionales, y si no  estamos preparados para ofrecer solvencia, es momento de retirarse y  documentarse.<\/li>\n<li>Por otro lado, si no sabes de lo que hablas, a duras penas estar\u00e1s  cualificado para opinar. La profesi\u00f3n de auditor exige producir como  resultado, entre otras cosas, una opini\u00f3n de auditor\u00eda. Si no puedes  opinar o tu opini\u00f3n no est\u00e1 basada en hechos contrastados por carecer de  conocimiento, no eres un auditor. Eres otra cosa.<\/li>\n<li>Por otro lado si no conoces bien la naturaleza t\u00e9cnica del problema y  sus soluciones, \u00bfc\u00f3mo pretendes evaluar las respuestas del auditado, el  trabajo de tus auditores o el seguimiento a la resoluci\u00f3n de un  problema? \u00bfVas a basarte s\u00f3lo en la confianza, la intuici\u00f3n y que te  cuenten unos y otros? Este es un terreno peligroso, porque igual que te  puedes fiar de un equipo de auditor\u00eda solvente y acertar de pleno,  puedes acabar siendo v\u00edctima de los cantos de sirena de un auditado que  te engatuse y te venda respuestas que acabar\u00e1s comprando habida cuenta  de tu ausencia de conocimiento. Repito, terreno especialmente farragoso,  ya que por norma general los auditados pertenecen a centros de coste  distintos al de auditor\u00eda, y por tanto son ellos los que pagan con sus  chequeras las incidencias que encontremos (en otras palabras, siempre  tratar\u00e1n de minimizar el gasto derivado de una auditor\u00eda, rechazando  recomendaciones no fundamentadas, proponiendo soluciones que quiz\u00e1s no  mitiguen la totalidad de los riesgos, negando acciones que podr\u00edan ser  perfectamente ejecutadas, etc).<\/li>\n<\/ul>\n<p>Motivos como los expuestos hacen extremadamente importante conocer  bien el origen t\u00e9cnico de los problemas cuando vamos a auditar aspectos  t\u00e9cnicos en un negocio. Es especialmente relevante que la ausencia de  conocimiento tiene colaterales tremendamente peligrosos, como la   fatiga de auditor\u00eda, el da\u00f1o a la reputaci\u00f3n y a la imagen de la  unidad de auditor\u00eda que provocan las incidencias mal gestionadas por  ambas partes y como no pod\u00eda ser de otro modo, conflictos internos de  diversa \u00edndole que a la larga no benefician a nadie. Tratemos de  evitarlos.<\/p>\n<p>Si eres un auditor de TI y vas a auditar aspectos t\u00e9cnicos, pon  esfuerzo en aprender y comprender la naturaleza de los problemas  t\u00e9cnicos, ya que en su ausencia acabar\u00e1s produciendo trabajos con escasa  calidad, no enfocados al riesgo y que no tendr\u00e1n valor alguno para  nadie.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los auditores deben siempre, de manera inexcusable, asociar sus recomendaciones al riesgo. Si no hay&#8230;<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[48],"tags":[],"class_list":["post-2556","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"featured_image_urls":{"full":"","thumbnail":"","medium":"","medium_large":"","large":"","1536x1536":"","2048x2048":"","covernews-featured":"","covernews-medium":""},"author_info":{"info":["Sergio Zamenfeld"]},"category_info":"<a href=\"https:\/\/www.brainlabs.com\/novedad\/category\/seguridad\/\" rel=\"category tag\">Seguridad<\/a>","tag_info":"Seguridad","comment_count":"0","_links":{"self":[{"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/posts\/2556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/comments?post=2556"}],"version-history":[{"count":1,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/posts\/2556\/revisions"}],"predecessor-version":[{"id":7591,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/posts\/2556\/revisions\/7591"}],"wp:attachment":[{"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/media?parent=2556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/categories?post=2556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.brainlabs.com\/novedad\/wp-json\/wp\/v2\/tags?post=2556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}