GOTO V: ¿Quién se ha llevado mi queso?

Aún recuerdo cuando empecé a introducirme en el mundo de la auditoría y seguridad allá por el año 2001, en una asignatura de la universidad, con un profesor que daba una asignatura enfocada a la gestión de empresas, y pensé este hombre habla de cosas interesantes y no de teoremas y algoritmos que probablemente no emplearé en esta vida. A partir de ese momento comencé a asistir a charlas en las que me dejaba impresionar por la corbata y la dialéctica de los ponentes y asistentes que disponían de sabiduría sobre todos los campos de la materia. Ya sabéis: corbatas, trajes, y retórica (nada nuevo bajo el sol).

Pensaréis que a qué viene todo esto. Pues bien, hubo un momento a partir del cual me di cuenta de que no era oro todo lo que relucía; que no todos los profesionales del sector eran eruditos de las tecnologías ni expertos en todos los campos de la informática. Lo recuerdo como si fuera ayer. Estaba una charla en la que se hablaban de subvenciones relacionadas con proyectos tecnológicos, y en un momento se produjo una discusión sobre LOPD entre dos personas. Uno de ellos dijo que su formación universitaria provenía de un campo diametralmente opuesto a las ingenierías, aunque defendía vehemente sus ideas en cuanto a LOPD. En ese momento me pregunte a mí mismo si mi vecino el charcutero podría firmar un informe de auditoría del RDLOPD.

Releyendo la LOPD obtuve la respuesta, que se imaginarán: efectivamente, mi vecino el charcutero podría firmar auditorías del RDLOPD, lo que más adelante tuve ocasión de confirmar en una charla de la propia Agencia de Protección de datos a la que asistí. Una de las transparencias exponía lo siguiente:

  • ¿La auditoría es LOPD? ¿quién debe realizarla? ¿debe notificarse?
  • No se define o reconoce el perfil funcional o profesional de los auditores

Resulta curioso que el charcutero pueda firmar auditorias LOPD pero no pueda hacer la prevención de riesgos laborales. Pasado el tiempo podemos llegar a aceptar que esto sea así, pero cual fue mi sorpresa cuando el otro día acabe con el libro de mesita de cama y empecé con el borrador del Esquema Nacional de Seguridad (véase I, II y III) y no encontré ningún requisito para el auditor, más que lo siguiente:

En la realización de esta auditoría se utilizarán los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a las auditorías.

Lo que me hace pensar en la necesidad imperante de subsanar estos “vacíos legales” por el órgano pertinente. Reflexionando sobre esto, me queda claro que no es un asunto trivial, y que realmente si no se ha especificado más detalladamente el perfil del auditor, es por la problemática asociada: ¿a qué colectivos favorecemos y a qué colectivos dejamos fuera? Lo que está claro es que no va a llover a gusto de todos.

No dispongo de cifras pero estamos hablando de algo más que un puñado de millones de euros, y como todos sabréis, todos quieren su parte del pastel, lo que supone un claro conflicto de intereses.

¿Cómo y a quien otorgar la calificación de auditor?

En una de las últimas jornadas que asistí, este fue uno de los temas a tratar y se comentó tangencialmente la creación de asociaciones privadas “sin ánimo de lucro” tanto en el ámbito LOPD como el de la seguridad, que tuvieran el privilegio de nominar auditores a golpe de varita mágica; la existencia de una Sociedad General de Auditores, una especie de SGAE II, me pone los pelos como escarpias de solo pensarlo. Imaginen la cúpula de esa asociación, formada por los directores mejores relacionados de las auditoras y consultoras más influyentes, limitando únicamente la ejecución de auditorías a sus empresas… oligopolio es la palabra que me viene a la cabeza, y no exagero un ápice.

Descartemos este acercamiento al problema por “mercado de libre competencia”, y ataquemos el asunto de los auditores por la vertiente de la formación. Tras examinar el Esquema Nacional de Seguridad, se observa que éste aboga por una vertiente puramente técnica, al contrario que la LOPD, donde se considera de facto la presencia de un abogado en la auditoria, y la figura técnica queda difusa pudiendo ser realizada por cualquier “técnico”.

Por tanto partamos de la hipótesis de que el auditor debe ser ingeniero, pero vamos a hilar más fino. Cojamos un punto del esquema, “4.2 Control de accesos” y veamos qué ingenierías dan formación específica en este punto. Obviamente en Industriales la materia más difícil es “configura tus servidor radius para autenticación remota”, y en telecomunicaciones donde el primer año te explican cómo configurar LDAP para integrarlo con el dominio…

¿Se os ocurre qué ingeniería debería ocupar ese puesto? Una vez más la ingeniería más agraviada, la única que no dispone de atribuciones.

Pero aceptemos que una ingeniería de carácter técnico pueda acometer estos proyectos, y limitamos el agravio comparativo. Pensemos en el futuro en el plan Bolonia, aceptemos los estudios de grado. Llegados a este punto es posible que se cumplan los requisitos y no se dispongan de las destrezas necesarias; ¿cómo damos esas destrezas a las personas?

Una propuesta que se me ocurre sería la creación de un postgrado oficial en seguridad de la información, reconocido por el estado e impartido por universidades públicas, que sería convalidable por aquel titulado universitario que pudiera acreditar X años de experiencia en el sector y los méritos apropiados. Pero queda claro que únicamente el personal cualificado debería acometer este tipo de proyectos y mientras esto no sea así, seguiremos asociando la profesión del consultor de seguridad a la venta de humo.

¿Están ustedes de acuerdo? ¿Qué opinan al respecto y qué alternativas se les ocurren?

Comments

  1. Muy interesante. El enfoque de posgrado es muy cocherente con el plan de bolonia, ya que incluso los industriales necesitarán un posgrado en tecnología industrial para las atribuciones. Aunque no tengo muchas esperanzas.

    Veremos…

  2. Muy interesante la opcion del postgrado aunque no hay que olvidarse de lo CFGS (año 97) que llevan ya mas de 10 años de experiencia en el sector y acumulan varios como consultores/auditores de seguridad y LOPD, quitarles la competencia de auditor por “titulitis” seria un grave error creo yo.

  3. Antonio Huerta says

    Llega un momento que hay que cortar por algun sitio, eso no quita que puedas ser mucho mas valido que cualquier titulado. Pero quien firma las ICT, o los planos… hay un requisito minimo. No creo que las auditorias sean cosas menos serias que lo esa clase de proyectos, sin embargo debe haber un titulado detras

  4. Buenas,

    si no lo niego, pero un un CFGS tambien es un titulado, a otro nivel, pero con formacion reglada y oficial en su campo, creo que para las TIC hay incluso 3 ramas diferenciadas y conozco gente que completo 2 de ellas (4 años de estudios compaginados con trabajo en el sector).Lo que quiero decir es que estoy de acuerdo en que debe estar regulado el “quien” firma o tiene potestad para realizar las auditorias, y a bote pronto el postgrado suena bien, pero entonces recuerdo a esos enormes profesionales que conozco en el sector que provienen de CFGS que luego complementaron con varios MCSE, CCNA, y muchos años de experiencia y pienso que seria injusto dejar de lado a todos estos profesionales por el simple hecho de obligar por normativa a que sea un titulado Universitario. O lo digo de otra manera… es mejor para firmar una auditoria de este tipo un titulado universitario con 1 año de experiencia en el terreno o un profesional del sector con formacion reglada de caracter tecnico con 10? lo que esta claro es que en el sector hay mucho intrusismo y la figura del consultor encorbatado y engominado que vende humo ha desvirtuado la profesion hasta tal punto de que, como sucedio en un cliente mio, la LOPD la auditaron y certificaron un dueto Abogado-ADE… asi les fue…

    Yo creo que lo mas importante en la figura del auditor es el caracter tecnico avanzado sobre el terreno a auditar y complementarlo con el conocimiento profundo y teorico de la Ley a aplicar…o dicho de otra manera 100% tecnico + 50% burocrata … independientemente de si su titulo lo firma IESE, UPC o la Escuela Superior X, actitudes+aptitudes

    Saludos

  5. muy bueno el articulo toni, lo acabo de leer en clase, aprovechando que estoy con el FTP

    continuaré leyendome los siguientes.

  6. Jon Turrillas says

    Creo que estáis barriendo para casa clarísimamente (sector técnico), cuando en realidad todo se basa en normativas grupo ISO 27.000, LOPD-RDLOPD, normativa que un jurista especializado en mi opinión sabe analizar con un enfoque distinto al de un técnico, hablo desde la experiencia pues siempre he trabajado con técnicos (ingenieros informáticos) y lo bueno precisamente era eso, que teníamos diferentes enfoques. En mi caso soy abogado especializado con un postgrado “Master en Derecho de las Telecomunicaciones y Tecnologías de la Información” el cual está estructurado en cinco áreas: Regulación del sector de las telecomunicaciones. Régimen jurídico de los medios de difusión. Propiedad Intelectual e Industrial. Protección de Datos de carácter personal. Internet y comercio Electrónico. Por ello creo que no estáis atinando, está claro que hace falta establecer unos criterios para establecer quién puede ejercer y estoy de acuerdo con Antonio en cuanto a que debe ser por formación y no por entidades privadas, pero creo que queda claro no conocéis a personas jurídicas especializadas en el sector.
    Yo siempre he pensado que las mejores auditorías ya sean en seguridad de la información como en LOPD son las realizadas por equipos mixtos, dado que en la LOPD y en el tema de ISO 27.000 (ejemplo 27.002) disponen de áreas que son puramente legales o de organización.

  7. Jon,

    sin entrar a valorar tu experiencia como auditor, y dejando de lado la LOPD (o más bien la auditoría de su reglamento) que pudiéramos considerar algo más relacionada con el ámbito jurídico, lo cierto es que la 27002 tiene un enfoque más técnico y organizativo que legal, reduciéndose éste al dominio de control “Cumplimiento” y algunos puntos tangenciales.

    Comentas la realización del postgrado, pero incluso el temario y denominación de éste inciden en aspectos legales de las telecomunicaciones y sistemas de información, pero no en aspectos técnicos y/o organizativos.

    Y digo lo de organizativo con toda la intencionalidad; no mezclemos aspectos organizativos con legales, porque no son lo mismo, aunque estoy de acuerdo en que quizá estén a la misma distancia del aspecto puramente legal que del puramente técnico. En cualquier caso, repasando la norma, creo que hay dominios de control que tienen una gran presenca de aspectos técnicos, mientras que esto no sucede en relación con los aspectos legales:

    DC5 Política de Seguridad: organizativo (95%).
    DC6 Organización de la seguridad de la información: organizativo (80%) / legal (20%).
    DC7 Gestión de Activos: organizativo (95%).
    DC8 Seguridad relacionada con Recursos Humanos: organizativo (80%) / legal (20%).
    DC9 Seguridad física y medioambiental: organizativo (60%) / técnico (40%).
    DC10 Gestión de operaciones y comunicaciones: organizativo (30%) / técnico (60%) / legal (10%).
    DC11 Control de Acceso: organizativo (40%) / técnico (60%).
    DC12 Adquisición, desarrollo y mantenimiento de sistemas de información: organizativo (30%) / técnico (67%).
    DC13 Gestión de incidentes de seguridad de la información: organizativo (60%) / técnico (20%) / legal (20%).
    DC14 Gestión de la continuidad del negocio: organizativo (70%) / técnico (30%)
    DC15 Cumplimiento: organizativo (60%) / técnico (10%) / legal (30%).

    En cualquier caso, quizá la cuestión sería definir quién esta cualificado para auditar esos aspectos organizativos que son la base de la norma.

    Un saludo

  8. Jon Turrillas says

    Manuel, no trataba de mezclar temas, los he puesto como dos ejemplos de los que yo consideró que no hace falta ser 100% técnico, el título del master que comentaba, por otro lado cuento con formación en seguridad de la información, obtenida en diferentes Universidades, como la UAH y la Carlos III, me acredita bastante más de lo que mucha gente del sector tiene incluyendo técnicos, sin entrar a valorar tema LOPD, del cual has olvidado que además del RDLOPD existe una Ley (LOPD) la cual establece bastantes obligaciones legales como son el tema del consentimiento informado etc. además de otras controversias que se dan en la práctica, de las que el sector técnico no suele estar preparado a no ser que esté especializado en el sector y conozca la casuística.

    Respecto a los controles que citas, en mi opinión se pueden afrontar perfectamente desde los dos perfiles si bien entiendo que siempre se debe tener una preparación especializada.

    Un saludo.

  9. Estoy completamente de acuerdo en que no es necesario ser 100% técnico, y de hecho no es recomendable para tener una visión global de la 27002. Por otro lado, por supuesto que la LOPD requiere un perfil legal, aunque no tanto el RDLOPD.

    Creo que básicamente convergemos hacia la misma opinión, si bien con alguna discrepancia. Ni una formación 100% legal ni 100% técnica son adecuadas para afrontar una 27001 o una auditoria del reglamento con garantías, sino que es necesario conocer el problema, tener cierta experiencia y estar familiarizado con los problemas y particularidades de cada una de ellas.

  10. Jon Turrillas says

    Eso es lo que quería transmitir desde el principio, en mi opinión, las auditorías se realizan de una forma más eficiente cuando los perfiles son legales y técnicos o viceversa, es decir que creo que depende del conocimiento y formación de la persona no de si es de una vertiente jurídica o técnica, lo importante es conocer la materia y disponer de cierta experiencia, como comentas en tu último comentario.

    Lo dicho creo que en el fondo estamos de acuerdo :)

    ¿Por cierto alguien ha probado el EVALÚA de la AEPD? A mi me ha parecido interesante, este es el link: http://212.170.243.77:8080/Evalua/home.seam

  11. Estuve mirándolo ayer, aunque sólo por encima. Tengo pendiente darle un vistazo más en profundidad, aunque me faltan horas :)

  12. Harley Roldán says

    Interesante artículo como todos los que se publican en esta página; pero se debe ver más allá del mundo proximo y empezar a explorar posibilidades como las expuestas por ISACA, mediante la Certificación CISA (Que demanda un perfil de quien dice ser auditor); también han elaborado un curriculum académico que ha sido aprobado y adoptado por varias univbersidades en sus posgrados y maestrías

  13. Como siempre la serie GOTO anda metiendo el dedo en la llaga.

    Hace algunos años, en la Web de la AEPD aparecía una pregunta dentro de la FAQ donde se recomendaba la certificación CISA pero debe ser que la presión por establecer exclusividad les hizo quitarlo.

    El tema debería resolverse con los titulos de Master Universitarios pero acreditados, o sea, que sigan un plan de estudio avalado por ANECA. Porque Masters en auditoría, seguridad y control interno ya hay algunos, pero muchos son titulaciones “propias” de cada universidad (Y por tanto, sería discutible que fueran consideradas como Titulos). Respecto al debate de si es técnico/jurídico, comparto la opinión de Manuel Benet respecto a la alta carga técnica que requiere el poder “valorar” o “enjuiciar” los 133 controles de la ISO 27002. La parte jurídica se limita a los bloques 6.2, 10.2 y 15.1 aunque hay bastantes aspectos organizativos que un perfil no técnico puede valorar. Creo que en algún momento habrá que ponerse serio con el tema. Paradójicamente existe ya un Registro Oficial de Auditores de Sistemas de Información (RASI), pero que cuelga del Ilustre Coleguio de Economistas. Ellos establecen que como garantes del negocio, son los más adecuados para velar por la alineación de la tecnología y la eficacia de su uso.

    Otro gran problema es la extensa defición de la palabra auditoría que hace que todo sea una auditoría, desde una simple llamada por teléfono para realizar comprobaciones hasta días enteros de trabajo de campo obteniendo todo tipo de evidencias que luego quieran ser transformadas en hallazgos. Yo como profesor de una asignatura sobre auditoría transmito a mis alumnos tres conceptos básicos para poder llamar a algo auditoría: el triangulo CSI que yo he adecuado a la auditoría.
    En CSI hay que relacionar sospechosoescenario_del_crimenvictima. En toda auditoría hay que relacionar objetivosevidenciaconclusión.
    1.- Objetivos: qué hay que lograr valorar, qué desea averiguar la auditoría y contra qué criterios vamos a revisar (LOPD, ISO 27001, ENS, …).
    2.- Evidencias: qué pruebas o indicios tenemos para poder afirmar si se cumplen o no los criterios.
    3.- Conclusiones: qué opinión objetiva podemos extraer. Basicamente si cumple, no cumple o cumple con deficiencias. Todo ello, bien apoyado en las evidencias obtenidas.

    El trabajo del auditor es atar cabos entre estos tres elementos.

    Objetivos-Evidencia:
    Buscar las mejores evidencias que luego puedan ser utilizadas como hallazgos para probar el cumplimiento o no de los objetivos planteados para la auditoria.

    Evidencia-Conclusión:
    La opinión sea favorable o no favorable debe estar sustentada firmemente en hallazgos irrefutables que evidencien la opinión objetiva del auditor.

    Conclusión-Objetivos:
    Determina el grado de confianza que la Organización puede tener en el cumplimiento de los objetivos revisados.

    Ya sea LOPD, ISO 27001, Esquema Nacional de Seguridad, el cliente tiene que tener claro la relación entre estos elementos.

    Quiero recordar también que el tema es de suma importancia puesto que la auditoría NO DEJA DE SER UN CONTROL COMPENSATORIO. Por tanto, juega un papel más dentro de la cadena de eslabones que persiguen garantizar la seguridad. Tal como expuse en http://seguridad-de-la-informacion.blogspot.com/2009/01/la-funcin-de-auditora-como-mecanismo-de.html

    No hay peor favor a la seguridad que una mala auditoría, porque generará una falsa “sensación de seguridad” que la realidad se encargará en un momento dado de demostrarnos. Acaso no son ejemplos suficientes los problemas “de auditoría” que ya ha vivido el sector bancario. Sin embargo, sorprende mucho que siga quedando vacío el criterio para establecer quién audita. Yo creo sospechar que no es un descuido sino un interés por no regular la profesión y así poder “contratar” a auditores que se encargen de reducir “no el riesgo” sino “la percepción que tenemos de él” pero mucha gente quiere autoengañarse y autocomplacerse, para hacer ver a sus superiores que no hay problemas supuestamente.

    En el plano profesional como siempre, opto por la misma opción. Hacer las cosas con el mejor criterio técnico que pueda y la aplicación de las normas internacionales que conozca. Y suele pasar que cuando entregamos nuestro informe, el cliente descubre que lo que le habían hecho hasta ahora, no eran auditorías. Para valorar la calidad es necesario siempre una referencia y el tuerto es el rey de los ciegos, hasta que alguien le abre los dos ojos al cliente.

  14. Javier,

    Lo que comentas sobre “suele pasar que cuando entregamos nuestro informe, el cliente descubre que lo que le habían hecho hasta ahora, no eran auditorías” no te ha pasado únicamente a ti.

    En el caso más extremo he visto algún informe de auditoría RDLOPD cuyo contenido era un párrafo de cinco líneas, aunque sin llegar a eso, he visto acceso a informes de grandes auditoras, probablemente nada baratos, cuyo contenido y conclusiones dejaban mucho que desear.

  15. Antonio Huerta says

    Me quedo con esta frase que dice Javier, que secundo completamente:

    “La parte jurídica se limita a los bloques 6.2, 10.2 y 15.1 aunque hay bastantes aspectos organizativos que un perfil no técnico puede valorar”

    Respecto a los informes esta claro que muchas veces hay que vestirlos, maquillarlos y darle empaque pero tampoco pienso que sea cosa de cantidad frente a calidad

    Aunque alguien que cobraba bastante mas que yo me dijo una vez que cada 100 hojas eran 6000 euros… si cobraba mas que yo seria porque sabria mas que yo…

  16. Harley Roldán says

    Por muy acertados y técnicos que parezcan los comentarios, es necesario mirar el entorno en el cual nos movemos; un agudo análisis sobre objetivos, evidencias, conclusiones, resuelve el asunto…en parte.

    El Objeto del artículo es responder a la pregunta si ¿Los auditores de sistemas debe ser ingenieros?; en la mayoría de países se han establecido programas de posgrado para formar Especialistas y Magíster en Auditoria de Sistemas de Información y Comunicación, esto se debe tal vez a lo interesante del mercado para las Universidades, tal vez a una demanda emergente de las organizaciones de auditores con elevados conocimientos técnicos.

    En muchos países entre ellos Argentina, se ha optado por considerar como carrera de pregrado la “Auditoría de Sistemas de Información”.

    Particularmente egresé de un programa de Especialización en Auditoría de Sistemas de Información y Comunicación, para Ingenieros; no obstante contar con una experiencia que supera los cinco años en una empresa muy compleja técnicamente, haber ejercido como docente de la materia en pregrado y contar con una permanente formación en seguridad y auditoria; no he aprobado el examen de certificación CISA, que valga la pena decirlo “No es fácil”, puedo exponer con certeza que una certificación de esta naturaleza asegura o aproxima a las organizaciones que van a contratar a un auditor, al perfil apropiado.

    Ahora bien, y lamento si soy excluyente, decir que estas tareas no deben ser llevadas a cabo por personas que no cumplan con una formación profesional apropiada, una experiencia válida y un constante camino de formación. (“Muy a pesar de ser solo un eslabón en la cadena de la seguridad”).

    Así como existe una perfecta interacción entre objetivos, evidencias y conclusiones; debe existir una perfecta cadena superior que abarque a la seguridad y la forma de evaluarla, para garantizar la mejora continua.

    Cuando se carece de apropiada evaluación (auditoría) se puede incurrir fácilmente en engañosos informes que digan que todo está de acuerdo a la norma 27001, o que se encontraron pequeños baches en el cumplimiento de la norma…eso puede convertirse en una auditoria de papel, basada en listas de chequeo preconcebidas, generando SGSI ficticios.

    Aunque la ISO 19011, ofrece una aproximación a lo que debe ser la auditoria, no abarca siquiera el 10% de lo que significa la auditoria de Sistemas de Información, la 19011, es muy limitada y aplica pobremente para SGC y SGA, no para SGSI. Es por eso que recomiendo abiertamente el cumplimiento de un código de conducta para los auditores, la aplicación de unos estándares, la formación constante y desde luego el ejercicio o experiencia en programas de auditoría.

    Las Certificaciones no debe ser un fin en sí mismas, deben ser el resultado de los postulados anteriores; así como cuando se implementa un SGSI, lo que se busca es asegurar la Información como activo estratégico, cuando se obtiene un aval como CISA, se quiere es demostrar un mínimo de capacidad aceptado universalmente.

Trackbacks

  1. […] This post was mentioned on Twitter by Security Art Work, Mario Redón. Mario Redón said: RT @Securityartwork: Nueva entrada de Antonio Huerta sobre el espinoso tema de la cualificación para la realización de auditorias: http://bit.ly/cV0BM5 […]

  2. […] GOTO V: ¿Quién se ha llevado mi queso?, en Security Art Work. […]