Servicios Externalizados de TI

[Escriba el subttulo del documento]

15/11/2013 Auditora de Sistemas

Katherine Donoso Ivo Muoz Macarena Orellana

Contenido
Introduccin ................................................................................................................................................................................... 3 Marco Conceptual ....................................................................................................................................................................... 6 Definicin de Supuestos y Antecedentes ........................................................................................................................ 6 Informacin Relevante .............................................................................................................................................................. 7 Planificacin de Auditora ...................................................................................................................................................... 8 Programa y Procedimientos de Auditora .................................................................................................................. 10

Introduccin
Salvo para algunas pequeas empresas que se resisten a la evolucin tecnolgica, para la mayora de las empresas el correo electrnico ha pasado a ser tan necesario como un telfono. Si nos movemos al segmento de las instituciones educativas del da de hoy nadie concibe la idea de un slo da sin correo electrnico. El servicio de correo electrnico es crtico, lo cual implica que: Debe estar disponible todo el tiempo. Debe anticiparse el crecimiento de usuarios y demanda. Y por supuesto todo debe hacerse con el menor coste posible.

Existen tres posibles soluciones para el correo electrnico de las empresas: Totalmente interno usando Hardware, Software y recursos humanos de la propia empresa. Totalmente externalizado. Podemos pagar por cuenta de correo (lo ms comn) o por servidor. Mezcla, es decir, una parte interna y otra parte externa. (Ejemplo: servidores en housing, personal subcontratado, servicios de anti-spam, servicios de archiving). Los problemas de hoy en da El correo electrnico es una potente herramienta que permite enviar cientos de bits en slo unos segundos a cualquier lugar del mundo, pero que mal usado puede poner en riesgo la propiedad intelectual o informacin confidencial de las entidades Sin entrar en detalles, hay otros muchos problemas inherentes al correo electrnico: Las estadsticas actuales indican que el tamao medio de los mensajes y buzones de correo de nuestros usuarios crece a un ritmo superior al 20% anual, hace imprescindible la inversin continua en sistemas escalables y flexibles. Depende en que pases trabaje nuestra empresa y su negocio estaremos obliga dos por las leyes locales en muchos casos a tener fuertes polticas de retencin de datos, un sobre coste adicional en almacenamiento y herramientas. No cabe duda que el correo electrnico en una empresa es un servicio que debe ser proporcionado 247. Supone tener entornos que permitan realizar operaciones de mantenimiento sin que haya una parada de servicio. Con tal cantidad de informacin, las operaciones de Backup son realmente crticas y muchas veces duran horas. Si tenemos que dar servicio en diversos lugares del mundo, posiblemente tendremos usuarios trabajando mientras se realiza el Backup.

Servicios de movilidad es una palabra cada da ms de moda que complica un poco ms todos nuestros sistemas y su mantenimiento.

Finalmente, sumemos el coste de: Hardware; Software; sistemas de monitorizacin; la sobre dimensin de los servidores para hacer frente al crecimiento. El coste total estimado de una cuenta de correo se situar entre 15 y 50 al mes, dependiendo del tamao de la organizacin y los servicios que se ofrezcan. En el futuro Parece claro que el correo electrnico es un problema para las empresas, pero es un problema estndar, es decir, cualquier proveedor entiende perfectamente las necesidades que podemos tener. En cualquier caso, el objetivo debe ser reducir el coste de oportunidad que tiene el tiempo/esfuerzo invertido en mantener el correo electrnico y dirigir los recursos en los proyectos que aportan valor al negocio. El crecimiento del nmero de empresas que externalizan parte o completamente el servicio de correo electrnico refuerzan esta teora: foco en el negocio y no perder tiempo en servicios estndar. Pero qu me aporta que no tenga ya? Veamos que puede aportarnos externalizar el correo electrnico: Detrs de todo siempre hay un presupuesto. El coste de un servicio en el cual se paga por buzn de correo es mucho ms predecible que los costes que puede ocasionar un servidor o el equipo de mantenimiento. Tengo unos sistemas obsoletos y tengo que cambiar toda mi plataforma hardware/software!. En este caso hay que plantearse la opcin de externalizar parte del servicio como medio para prolongar la vida de nuestros sistemas, por ejemplo, externalizando el servicio de anti-spam y anti-virus podemos reducir el trfico y el tamao de los buzones de correo de una forma significativa y sencilla. Nuestro equipo por norma estar al 100% de carga de trabajo con el da a da (es raro ver lo contrario o al menos difcil de justificar a la direccin), por lo tanto subcontratando a un proveedor podemos desplegar nuevos servicios de forma mucho ms rpida, y si el sistema es suyo todava ser ms rpido. Mayor flexibilidad para crecer/decrecer y un precio ajustado a cada circunstancia. Si tenemos Exchange 2003 estaremos pensando en migrar a Exchange 2007, sino con el tiempo nos veremos obligados por la falta de soporte de Microsoft. No cabe duda que las migraciones sern ms sencillas. 4

Entonces, Por qu no externalizar el correo electrnico? Aunque es el futuro, pueden existir algunas razones por las que no deberamos externalizar nuestro servicio de correo electrnico: Menor flexibilidad, es el tpico argumento, y con razn. El servidor ya no es nuestro y no podemos hacer todo lo que queramos, pero con el grado de madurez que tienen estos servicios realmente necesitamos ms de lo nos puede ofrecer un proveedor? Rentabilizar la inversin. Si tenemos sistemas que estamos amortizando todava difcilmente podremos justificar econmicamente la externalizacin. Dnde estn mis datos? es algo que siempre nos preguntaremos y que muchas veces el proveedor no sabr (o quizs no querr) decirnos. La nica solucin es un acuerdo de confidencialidad y seguridad de la informacin donde deberan estar involucrado el departamento jurdico de nuestra empresa. Tampoco supone tanto esfuerzo!. El esfuerzo de mantenimiento puede ser pequeo para una empresa que ya tenga un CPD (Centro de Proceso de Datos) en el cual tengan servidores monitorizados 247 no supondr grandes problemas tener otro sistema que mantener, incluso los nuevos sistemas y aplicativos que cada da simplifican ms la gestin. No obstante hay que tener mucho cuidado con los costes ocultos. Finalmente Qu es lo mejor? No existen respuestas correctas, pero creemos que para poder responder correctamente debemos hacernos las preguntas adecuadas: Cunto nos cuesta mantener el correo electrnico dentro de nuestra entidad? Realmente damos un buen servicio? Externalizando todo o parte cambiara algo?

Marco Conceptual
Entorno
El entorno ser una Institucin Educativa, la cual posee diferentes sistemas de informacin. Uno de ellos se encuentra externalizado, ya que resulta ms conveniente por ahorro de dinero, control de gastos, centralizarse en actividades claves, etc. Por esto, es que esta institucin ha externalizado el servicio de correo electrnico.

Contexto de ambiente a auditar

En esta institucin, el servicio de correo electrnico juega un rol crucial, ya que no se dispone de un portal que permita a los alumnos tener informacin bsica del quehacer diario en ella, como leer avisos sobre ctedras, planillas de notas, material docente, etc. Cualquier cada en los servidores del correo electrnico, pueden causar que el normal desarrollo de las actividades de la Institucin se vea afectado y que cause problemas en calendarizaciones, material de estudio disponible a tiempo, informacin general, etc. Es por ello, que es prudente ver la forma en que la empresa que administra el sistema de correo electrnico est controlando los riesgos que tien e servicio y de que forma estos afectan a la Institucin Educativa.

Definicin de Supuestos y Antecedentes

Supuestos
El nico servicio externalizado en la Institucin Educacional es el Sistema de Correos Electrnicos. El proveedor de servicio cuenta con un adecuado proceso de Gestin de Servicios TI, y reas de Auditora apropiadas que apoyarn la revisin sealada en el Programa de Auditora.

Antecedentes
En el ltimo tiempo se han presentado diversos problemas en la entidad, tales como: Suplantacin de usuarios en la referente a informacin sensible dentro del mbito educativo. Por ejemplo, envos de planillas de notas falsas, envo de correos fraudulentos suspendiendo clases. Caidas constantes en el servicio de correo electrnico en fechas y horarios cruciales para la Institucin. La constante entrada de correo no deseado, con excesiva publicidad, lo cual no debiese corresponder a un correo institucional. 6

Activos tecnolgicos involucrados

Las redes, sistemas, servidores y equipamiento en general del proveedor de servicios, asi como tambin la infraestructura tecnolgica que posea la Institucin Educativa.

Aplicativos o Unidades involucrados

Unidad de auditora de la Institucin Educativa rea de operaciones del proveedor de servicio

Informacin Relevante
Sujeto de auditora
El sujeto de auditora se define como las reas que sern auditadas, es decir, qu revisaremos y sobre qu emitiremos una opinin. En nuestro caso, auditaremos el servicio de correo electrnico externalizado por la Institucin Educativa.

Objetivo de auditora
Revisar cmo funciona la externalizacin en trminos de cada del servicio de correo electrnico (continuidad), seguridad de la informacin que se traspasa a travs del mismo, adems de los datos personales de los usuarios (confidencialidad). La idea de la auditora es que veamos dnde hay posibilidades de mejora en la construccin del acuerdo o contrato formal con el tercero que lleva el manejo del correo, para minimizar el impacto de las posibles prdidas financieras, de reputacin, chantajes, sabotajes, correos no deseados, entre otros, hasta un nivel que no afecte en una medida significativa el desempeo de la Institucin Educativa. Las consecuencias de las fallas en la seguridad de la informacin y la prdida de disponibilidad del servicio debieran estar sujetas a un anlisis del impacto en el desempeo de la de quien externaliza. El servicio debera entregarse a un nivel ptimo, y el proveedor externo debera ser capaz de recuperar rpidamente los errores de funcionamiento, dando soporte apropiado a los trminos acordados y demostrando que protege los datos privados y confidenciales que se mueven a travs del correo electrnico. Creemos que lo ms importante es revisar el contrato que se firm, para verificar que efectivamente se cumplen los puntos descritos. Adems veremos cul es la existencia de controles preventivos y detectivos, adems de procedimientos que permitan mitigar los riesgos a los que podra verse expuesta la organizacin.

Alcance

El alcance est enfocado principalmente en el anlisis de la continuidad y la seguridad del servicio proporcionado, por el proveedor externo, especficamente en el rea de opciones del proveedor que es quien finalmente entrega el servicio.

Para esto nos basaremos en las buenas prcticas definidas en ITIL, las normas de seguridad de la informacin ISO 27001 y BS25999, y la ISO 22301 referente a continuidad de negocio, de esta manera nos aseguramos de que en buena medida hay una buena gestin del servicio TI.

Planificacin de Auditora

Objetivo: Asegurar la continuidad y seguridad del servicio, a travs de la adecuada elaboracin del contrato o acuerdo formal con el tercero, y los controles precisos para evitar cualquier contingencia que afecte el desempeo de la Institucin. Alcance: Habr un anlisis del contrato y los trminos que se pactaron con el proveedor, para verificar cul es su responsabilidad realmente, adems de revisar el manejo de las bases de datos, el manejo de cuentas y accesos que lleva el proveedor. Tambin sera bueno analizar los activos fijos de redes, sistemas y el servidor central para ver si puede soportar el servicio a los niveles acordados en el SLA. Equipo de trabajo: Auditor jefe experto en el rea de sistemas ms 3 auditores que realicen la auditora del servicio (ideal que posean conocimientos en las normas ISO y las prcticas ITIL).

Etapas: Fases que se harn en la auditora en orden cronolgico, para cumplir con los objetivos descritos previamente. 1) Recopilacin de Informacin Lo primero es que el auditor jefe del equipo, se rena con los involucrados en la auditora, y recopile la informacin acerca de los trminos actuales del contrato, el estado de la tecnologa existente, cmo se compone el acuerdo de niveles de servicio (SLA), y cualquier otro dato que pueda ser relevante. Tiempo de fase aproximado en una semana. 2) Anlisis y Evaluacin de Riesgos Este anlisis se basa en el impacto y la probabilidad de cada uno de los riesgos que se definan, priorizando as cules se enfrentan primero y de qu manera. Es decir, en otras palabras ste anlisis nos permitir saber dnde poner el foco en la revisin, pues donde haya ms riesgo, ms posibilidades hay de que el desempeo de los objetivos estratgicos de la organizacin educacional se vea reducido. Estos riesgos se miden en trminos econmicos u operacionales y se ligan por supuesto a la falta de continuidad, por fallas de los recursos humanos, tecnolgicos o logsticos, y a la poca seguridad en el servicio, identificando los puntos de riesgo por donde algn usuario indeseado podra acceder a los datos privados. Para la identificacin de riesgos y su anlisis, trabajar todo el equipo, y la duracin aproximada para esta fase debe ser de una semana. 3) Elaboracin del contrato ptimo Esto, pues a modo de recomendacin, queremos que el establecimiento educacional arregle todos los vacos que pueda tener el contrato existente. Esta fase debera durar como mximo 2 das y el contrato modelo debera incluir: La poltica de seguridad Controles para asegurar la proteccin de los activos Capacitacin y concientizacin de los usuarios Resguardo de derechos de autor Participacin del tercero con subcontratistas y los controles de los subcontratistas Requerimientos de continuidad Responsabilidades legales Multas y compensaciones

4) Desarrollo del Plan de Auditora Preliminarmente se har una planificacin de las habilidades y recursos a ser auditados, todo esto debe ser conversado con el auditado, explicando el propsito de la auditora de manera que haya una buena llegada y no se nos evite informacin.

Se deben definir quines sern las personas entrevistadas, de dnde provienen las fuentes de informacin, dnde se ubican los componentes fsicos a revisar. Tambin es bueno saber cmo se encuentra antes de la auditora el funcionamiento del servicio, dnde estn las fallas, cada cunto tiempo y si ha habido algn indicio de malversacin de informacin. Con esto, se tendr claro cules son los puntos clave donde poner atencin para comenzar la revisin. Esta fase debera durar una semana. 5) Pruebas y Mantenimiento del Plan Ahora implementaremos el plan de Auditora, aqu comienza el trabajo de campo donde todo el equipo recolectar la informacin necesaria para emitir el juicio respecto al servicio externalizado. Para esto se hacen pruebas de cumplimiento y sustantivas, para ver si estn los controles adecuados y funcionan de manera correcta, en este caso ayudando a la integridad de la entrega del servicio. Tambin se notar cules son los puntos a corregir y definir planes de accin ante diversas situaciones indeseadas, con todo esto se genera el informe final de auditora. La idea es que las recomendaciones generen una filosofa de constante mejora continua que ayude a que mejore da a da la relacin entre proveedor y quien pidi el servicio. Esta fase debera durar entre uno y dos meses.

Programa y Procedimientos de Auditora

A continuacin se muestra el programa de Auditora para la revisin del servicio de correo externalizado por la Institucin Educacional. En l se describen los pasos para cada actividad, el tiempo que debera tomar la fase completa y quin ser el responsable encargado de generar el cumplimiento.

10

Etapas Actividad Recopilar Informacin - Solicitar Contratos del servicio de TI 1 - Revisiones del estado de los Activos Fijos - Solicitar el SLA del servicio Anlisis y Evaluacin de Riesgos - Identificar los riesgos existentes en la externalizacin del servicio 2 - Analizar el impacto en el negocio - Priorizar los riesgos detectados Elaboracin del Contrato ptimo 3 - Revisar el contrato actual y comprarlo con estndares Desarrollo del Plan de Audora - Definicin de habilidades y recursos necesarios para realizar la auditora 4 - Definir quines sern las personas entrevistadas - Obtener informacin respecto del funcionamiento del servicio antes de la Auditora Pruebas y Mantencin del Plan - Recolectar informacin para emitir juicio 5 - Realizar pruebas de cumplimiento - Definir planes de accin

Tiempo de duracin Una semana

Persona Encargada Jefe de Auditora

Una semana

Jefe de Auditora y Auditor Interno Jefe de Auditora y Auditor Interno

Una semana

Una semana

Jefe de Auditora y Auditor Interno

Entre uno y dos Jefe de Auditora y Auditor meses Interno

11