Sei sulla pagina 1di 6

La mayora de los profesionales ya estn muy acostumbrados a utilizar herramientas tcnicas

con fines tcticos especficos cuando se trata de seguridad o garanta dentro de sus entornos.
Estas herramientas pueden ser de cdigo abierto o comercial. Por ejemplo, los profesionales
pueden emplear herramientas de cdigo abierto como Clam, Wireshark o OpenVAS para
realizar tareas especficas (antivirus, anlisis de red y evaluacin de vulnerabilidad,
respectivamente) o pueden aprovechar productos comerciales para proporcionar cualquier
cosa, desde sistemas de deteccin de intrusiones (IDS) hasta cortafuegos, prevencin de
prdida de datos (DLP) a agentes de seguridad de acceso a la nube (CASB) (y ms all). En
resumen, las herramientas -la seleccin cuidadosa y el uso juicioso de las mismas- son una
parte importante de ser un profesional en estas reas temticas.

Sin embargo, cuando se trata de gobierno tecnolgico (gobierno empresarial de TI [GEIT]), a


menudo puede ser ms difcil encontrar herramientas especficas que pueden ayudar al
profesional. Las razones de esto no son difciles de entender. En primer lugar, el gobierno es,
por definicin, un ejercicio que requiere una personalizacin significativa de la organizacin
para la organizacin, y cmo el gobierno se implemente en la organizacin A es muy diferente
de la organizacin B. Esto se debe en parte a objetivos diferentes. As como los objetivos
tcnicos que se derivan de las necesidades de las partes interesadas, mtricas e indicadores
clave de desempeo (KPIs) utilizados para asegurar la mejora continua, diferentes culturas y
apetitos de riesgo, y numerosos otros factores especficos de la organizacin. Esto, a su vez,
hace que sea difcil encontrar y usar herramientas de talla nica que puedan soportar
transversalmente las implementaciones en varias organizaciones.

Dicho esto, hay algunas herramientas con un ojo hacia el gobierno holstico y sistemtico que
los profesionales a lo largo del camino pueden emplear para ayudarles. En esta columna se
destacan algunas de estas herramientas y cmo se pueden utilizar en una implementacin ms
amplia del gobierno. Hay, por supuesto, ms herramientas de las que se pueden cubrir en un
resumen superficial como ste; Que dicho, esta columna convoca a unos pocos que pueden
ser de utilidad en los esfuerzos de una organizacin de gobierno.

Adems, puesto que es una obviedad que las consideraciones presupuestarias pueden ser un
factor (especialmente en pocas como stas cuando los presupuestos son escasos y el
escrutinio es alto), se destacan las herramientas de fuente abierta que se pueden utilizar para
este propsito. Tenga en cuenta que esto no implica que no hay herramientas comerciales por
ah que pueden hacer cosas similares o ayudar de diferentes maneras; de hecho, nada podra
estar ms lejos de la verdad, ya que hay cientos (si no miles) de productos comerciales que
pueden ayudar en la implementacin de GEIT. Pero, dado que no todas las organizaciones
tendrn el mismo nivel de apoyo presupuestario disponible (sin mencionar que el paisaje del
vendedor a menudo es mutable), esta columna pone el foco en las opciones de cdigo abierto.

Para la organizacin que lleva a cabo una implementacin de GEIT, puede ser difcil obtener
traccin y comenzar. Las consideraciones presupuestarias a veces pueden ser un factor
limitante en trminos de progreso. En este caso, las herramientas de fuente abierta pueden
tener el beneficio de una rpida "rampa" que de otra manera no sera el caso.
1) Inventario Activos
la gestin Monitoreo de activos es todo un desafo hacerlo bien. Por lo tanto, las herramientas
de apalancamiento que refuerzan la gestin de activos pueden tener beneficios en muchas
reas. Sin embargo, en el contexto especfico de GEIT, las herramientas que apoyan la gestin
de activos pueden ser particularmente valiosas. Por qu? Debido a que durante las fases de
implementacin de un despliegue de GEIT, las organizaciones llevan a cabo algunas
actividades clave: (es decir, relevamiento y evaluacin de riesgos, establecimiento de
indicadores clave de rendimiento y mtricas de desempeo, establecimiento del alcance
apropiado). En un nivel macro, estas tareas no necesariamente requerirn un conocimiento a
nivel de componente de cada sistema, aplicacin o nodo que un entorno haya puesto en
campo. Pero, como una organizacin comienza a rascar la superficie y va ms all del nivel
macro a la planificacin ms detallada de cualquiera de estas actividades, la contabilidad de los
matices nicos de un entorno (que presupone que uno sabe lo que est en l) puede significar
la diferencia entre el xito y el fracaso.

Con esto en mente, las herramientas que soportan inventario y descubrimiento de activos,
como GLPI (www.ubuntugeek.com/glpi-it-and-asset-managemet-software.html) y OCS
Inventory NG (www.ocsinventory-ng.org/en/) Pueden ser beneficiosas. Las organizaciones
pueden usarlas para descubrir lo que ya tienen en su lugar para ayudar en los esfuerzos de la
gestin de riesgos. Tambin pueden usarlos para mantener un registro de lo que han colocado
y vincular esa informacin junto con la recopilacin de mtricas para ayudar a establecer
mtricas de mejora de rendimiento en curso. Adems, las organizaciones pueden vincular la
informacin contenida dentro de ese sistema para apoyar todo lo relacionado con la fase de
implementacin de su planificacin de GEIT.

2) Gestin de Riesgos

La introduccin de GEIT de ISACA en el Manual de introduccin a GEIT: "Introduccin a la


implementacin del gobierno de la TI corporativa" destaca la necesidad de una evaluacin de
riesgos durante la fase de implementacin de un despliegue GEIT: Especficamente, la gua
seala que "La iniciativa de GEIT para asegurar que el riesgo del programa, ya sea
compromisos de recursos, presupuestos o calendario, est dirigido a mantener el programa
que est en marcha.1 Esto indica que evaluar el riesgo y responder en consecuenciaes
parte integrante de la implementacin del propio GEIT. Es en esta rea que las herramientas
libres y de cdigo abierto pueden ayudar a apoyar la implementacin.

Hay pocas maneras en que esto es cierto. En primer lugar, herramientas como SimpleRisk
(https://www.simplerisk.it) pueden ayudar a mantener un seguimiento del riesgo a un nivel alto,
registrando cules son las reas de riesgo, proporcionando una manera de rastrearlas con el
tiempo, apoyando la vinculacin de estrategias de mitigacin A las propias reas de riesgo ya
registrar el progreso de la remediacin. Del mismo modo, existen herramientas gratuitas que
pueden ayudar a las organizaciones a comprender cules son los factores de riesgo e
identificarlos/contextualizarlos. Por ejemplo, una herramienta como el Anlisis Prctico de
Amenazas (PTA, por sus siglas en ingls) (www.ptatechnologies.com) puede ayudar a
desarrollar un modelo sistemtico de amenazas para asegurar que la organizacin est
considerando el riesgo sistemticamente. Dependiendo del nivel que las partes interesadas
quieran alcanzar al hacer esto, pueden, potencialmente, aprovechar herramientas como.

OpenVAS o Vega para ayudar a identificar vulnerabilidades en la superficie de las aplicaciones


y la infraestructura que pueden informar el perfil de riesgo que hacen. Por supuesto, no todas
las implementaciones de GEIT llevarn la parte de evaluacin de riesgos de la implementacin
a este nivel granular, pero la opcin es que si la organizacin elige hacerlo.

3) Monitoreo

El objetivo de una implementacin de GEIT es llegar a un circuito de retroalimentacin de


mejora continua. Es decir, al monitorear la organizacin de manera continua y al estar atentos a
las mtricas y los KPIs que se relacionan con los requerimientos de las partes interesadas, las
organizaciones pueden ver reas de mejora y aprovecharlas para mejorar. Aqu es donde hay
una serie de opciones que pueden ayudar.

En primer lugar, hay una serie de herramientas disponibles para apoyar el monitoreo del
rendimiento. Esto incluye herramientas como Icinga 2 (https://www.icinga.com/products/icinga-
2/), Nagios (https://www.nagios.org), OpenNMS (https://www.opennms.org/en) y Zabbix
(www.zabbix.com). Cualquier informacin sobre el desempeo puede referirse directamente a
la informacin de accesibilidad que probablemente sea de inters a medida que la organizacin
completa una implementacin de gobierno. Pensando ms ampliamente, sin embargo, las
herramientas que se basan en esto como Observium (https://www.observium.org) o Cacti
(www.cacti.net) pueden proporcionar capas adicionales de detalle dependiendo de lo profundo
que la organizacin tenga intencin de ir. Por supuesto, algunas organizaciones pueden tener
herramientas en el lugar que proporcionan informacin similar, pero para las que no lo hacen,
esto podra proporcionar la informacin necesaria.

Hacer el monitoreo es importante, por supuesto, pero tambin lo es la capacidad de procesar la


informacin de monitoreo en un formato que permita a la organizacin actuar sobre ella.
Herramientas que ayudan en la visualizacin de datos, por ejemplo, Datawrapper
(https://www.datawrapper.de/gallery) y similares, tambin pueden ser de beneficio para una
organizacin desde el punto de vista del gobierno.
Administracin de Peticiones (Tickets), Monitoreo
de Redes, Auditoria e Inventario.

"Sysaid" (Tickets y Visualiza la


Exploracin). lista de Licencia: (Freware).
hardware y S.O: Windows.
software en Idioma: Espaol, Ingls.
su red. Link: http://www.ilient.es/
Maneja
peticiones
de los
usuarios y
servicios que
brinda el
TIC.

"Zenoss Monitoreo Licencia: (Open Source).


Core" (Monitoreo y remoto de S.O: Windows.
Tickets). equipos en Idioma: Espaol, Ingls.
"Remedy" la red y los Link:http://community.zenoss.org/community
software. /download
Maneja
eventos,
Notificacione
s de Alertas
y Vmware.
Puede
generar
tickets de
soporte
porque tiene
integracin
con Remedy.

"OCS
Inventory" (Tickets). Recopila Licencia: (GNU, GPLv2).
"GLPI" informacin S.O: Linux, Windows.
e inventariza Idioma: Ingls.
el hardware Link (Linux): http://www.ocsinventory
y software -ng.org/en/download/download-server.html
de equipos Link (Windows): http://www.ocsinventory-
que hay en ng.org/en/download/download-server.html
la red.

Administraci
n de
peticiones
(TIQUETES)
e historiales
de las
diferentes
labores de
mantenimien
to y
procedimient
os
relacionados
.

"Hyperic Monitorea y Licencia: (Open Source).


HQ" (Monitoreo). administra S.O: Windows.
aplicaciones Idioma: Espaol, Ingls.
Web, en la Link: http://sourceforge.net/projects/hyperic-hq/
nube y
locales, con
Alertas,
especial
para
entornos que
se deben
monitorizar
las 24 horas.

"Nagios" (Monitoreo). Vigila los Licencia: (GNU GPLv2).


equipos S.O: Linux.
(hardware) y Idioma: Espaol, Ingls.
servicios Link: http://www.nagios.org/download/core/thanks/
(software)
que se
especifiquen
, alertando
cuando el
comportamie
nto de los
mismos no
sea el
deseado.

"Nmap" (Auditora y Realiza Licencia: (GNU).


exploracin). exploracione S.O: Linux, Windows, Mac Os x.
s de Idioma: Ingls.
servidores, Link: http://nmap.org/download.html
servicios
disponibles, http://nmap.org/download.html#windows
sistemas
operativos,
etc.. en cada
una de las
PC's
conectadas
a la red.

"Snort" (Monitoreo y Licencia: (GNU).


anlisis de Trafico). Es capaz de S.O: Windows, Linux.
realizar el Idioma: Ingls.
registro de Link: http://www.snort.org/snort-downloads
paquetes y
analizar el
trfico de
una red IP
en tiempo
real.

OCS + GLPI[editar]

GLPI es una aplicacin web de software libre distribuido bajo licencia GPL, que facilita la
administracin de recursos informticos. Sus principales funcionalidades estn articuladas
sobre dos ejes:

El primer eje est relacionado con el inventario de todos los recursos informticos, y el
software existente (permite registrar y administrar el inventario de hardware, software y
cualquier tipo de perifricos como impresoras, monitores, mouse, teclados, scanners,
webcams, discos externos, tabletas grficas, etc...) , de una empresa o una red de
computadora, cuyas caractersticas se almacenan en bases de datos de forma manual.

El otro eje est basado la administracin y los historiales de las diferentes labores de
mantenimiento y procedimientos relacionados, llevados a cabo sobre esos recursos
informticos (permite registrar informacin de inventario, de contactos, registrar solicitudes
de servicio y asignar la atencin de dichas solicitudes al personal de soporte
correspondiente).

Una excelente idea es integrar GLPI y OCS, ya que juntando el HELP DESK de GLPI
ms la posibilidad de hacer un inventario de hardware y software totalmente actualizado y
automtico de OCS podemos hacer seguimiento de todo lo que se tenga inventariado y
con ello conseguir estadsticas de falla, seguimiento del manejo del equipamiento de
usuario, etc. Estas dos herramientas ya son capaces de trabajar en conjunto y adems los
equipos de desarrollo de ambos proyectos se han propuesto a corto plazo una fuerte
integracin de funcionalidades2 .