¿Qué son los ITGC?
Los controles generales de TI (CGTI) se refieren a los controles fundamentales que se aplican en todo el entorno de TI de una organización para garantizar la integridad, seguridad y fiabilidad de los sistemas de información. Apoyan el correcto desarrollo y funcionamiento de los controles de las aplicaciones y contribuyen a garantizar la solidez del entorno general de control.
Estos controles tienen un amplio alcance y afectan a todos los sistemas y usuarios de la organización. Suelen incluir directivas, procedimientos y actividades relacionadas con el acceso al sistema, las operaciones, la gestión de cambios y el respaldo de datos.
¿Por qué son importantes los ITGC?
Los ITGC constituyen la base del control interno en los sistemas de TI. Sin ellos, incluso los mejores controles a nivel de aplicación pueden resultar ineficaces. Su importancia es evidente en los ámbitos que se mencionan a continuación.
∙ Requisitos regulatorios: los ITGC deben satisfacer normas y marcos de cumplimiento como GDPR, SOX, HIPAA, ISO 27001 y NIST.
∙ Preparación para la auditoría: los auditores evalúan los ITGC para determinar si pueden confiar en los sistemas de TI de una organización durante las auditorías financieras o de cumplimiento.
∙ Seguridad y gestión de riesgos: unos ITGC efectivos reducen el riesgo de accesos no autorizados, fraudes, violaciones de la seguridad de los datos y errores operativos.
∙ Continuidad empresarial: los ITGC apoyan la resiliencia mediante el respaldo de datos, la recuperación ante desastres y las medidas de integridad del sistema.
Categorías básicas de ITGC
Existen varias categorías básicas de ITGC, cada una dirigida a un aspecto crítico de la gestión y la seguridad de los sistemas.
∙ Controles de acceso
Estos controles garantizan que sólo las personas autorizadas tengan acceso a los sistemas y datos de TI, en función de los roles y responsabilidades que les hayan sido asignados.
∙ Controles de gestión de cambios
Los controles de gestión de cambios gobiernan cómo se introducen las modificaciones en los sistemas, las aplicaciones y la infraestructura.
∙ Segregación de funciones (SoD)
La SoD garantiza que las tareas críticas se dividan entre diferentes personas para evitar conflictos de intereses, fraudes o errores.
∙ Controles de las operaciones del sistema
Estos controles están asociados al funcionamiento cotidiano y al mantenimiento de los sistemas de TI.
∙ Controles de respaldo y recuperación
Estos controles garantizan que se realicen copias de seguridad periódicas de los datos y que puedan recuperarse en caso de desastres o fallos.
∙ Auditoría para el registro y el monitoreo
Estos controles garantizan que todas las actividades del sistema se registran y monitorean para detectar comportamientos sospechosos o no autorizados.
¿En qué se diferencian los ITGC de los controles de aplicación?
Aunque los TIGC y los controles de aplicación puedan parecer similares, son diferentes en lo que respecta a su ámbito de aplicación.
∙ Los ITGC se aplican a todos los sistemas y procesos, y garantizan que el entorno general de TI esté controlado y protegido.
∙ Los controles de aplicación son específicos de cada aplicación y se centran en la precisión, integridad y validez del procesamiento (por ejemplo, en el caso de la validación de entradas).
Ambos son necesarios para mantener la postura de seguridad de una organización, pero los ITGC proporcionan la estructura en la que los controles de aplicación pueden funcionar con efectividad.
ITGC y normativas de cumplimiento
Normativa de cumplimiento | Cómo se relaciona con los ITGC | Áreas clave afectadas de los ITGC | Qué buscan los auditores |
Ley Sarbanes-Oxley (SOX) | Garantiza la exactitud de los datos financieros mediante sistemas de TI fiables | Controles de acceso, gestión de cambios, registro de auditoría y SoD | Pruebas de acceso restringido a los sistemas financieros, aprobaciones adecuadas de los cambios y pistas de auditoría de las modificaciones |
Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) | Protege la integridad y confidencialidad de la información de salud protegida electrónica (ePHI) | Controles de acceso, registro de auditoría, operaciones del sistema, respaldo y recuperación | Acceso basado en roles a los datos de los pacientes, registros de los intentos de acceso y preparación para la recuperación ante desastres |
Reglamento General de Protección de Datos (GDPR) | Exige a las organizaciones que salvaguarden los datos personales y demuestren su rendición de cuentas | Controles de acceso, registro de auditoría, respaldo y recuperación | Acceso controlado a los datos personales, funciones de detección de violaciones y derechos a los logs de acceso/modificación |
Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) | Garantiza un tratamiento seguro de los datos de las tarjetas de crédito y los sistemas de información relacionados | Controles de acceso, registro de auditoría y gestión de cambios | Acceso restringido a los datos del titular de la tarjeta, monitoreo de la actividad en tiempo real y procesos formales de control de cambios |
Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) | Marco para la gestión y el gobierno de las TI que hace hincapié en alinear las TI con los objetivos empresariales | Todos los ITGC, especialmente la SoD y el control de cambios | Estructuras de gobernanza, actividades de control y métricas de rendimiento vinculadas a los riesgos de TI |
Desafíos en la implementación de ITGC
Aunque los TIGC son importantes para mantener la postura de seguridad de una organización, pueden conllevar retos como:
∙ Falta de visibilidad centralizada sobre el acceso y los cambios.
∙ Preparación de auditorías manuales y propensas a errores.
∙ Dificultad para mantener la consistencia en entornos híbridos o en la nube.
∙ Experiencia limitada del personal en materia de controles de gobernanza.
Cómo puede ayudar ADManager Plus a implementar los ITGC
Aunque comprender los ITGC es crucial, ponerlos en práctica en su entorno de Active Directory (AD) puede ser todo un reto sin la herramienta adecuada a su lado. Aquí es donde entra en juego ManageEngine ADManager Plus.
ADManager Plus es una solución integral de gestión e informes de AD que ayuda a las organizaciones a aplicar los ITGC de forma efectiva.
Controles de acceso
∙ Aplique el acceso basado en roles para los administradores y técnicos delegados.
∙ Automatice el aprovisionamiento y desaprovisionamiento de usuarios para reducir los errores manuales.
∙ Aplique controles de permisos granulares para restringir las modificaciones de AD.
∙ Supervise la actividad de inicio/cierre de sesión, los restablecimientos de contraseña, y mucho más a través de informes detallados.
Controles de gestión de cambios
∙ Implemente aprobaciones personalizadas basadas en flujos de trabajo para cualquier cambio en AD.
∙ Mantenga una pista de auditoría de quién hizo qué cambios y cuándo.
∙ Programe y automatice las tareas recurrentes de AD de forma segura y con rendición de cuentas.
Operaciones del sistema
∙ Automatice las tareas rutinarias de mantenimiento, como la limpieza de grupos y la gestión de cuentas antiguas.
∙ Genere informes listos para el cumplimiento sobre los cambios en usuarios, grupos y GPO.
∙ Automatice el control de cambios de AD con informes programados.
Registro de auditoría y rendición de cuentas
∙ Mantenga registros históricos de todas las acciones realizadas a través de la consola.
∙ Exporte los informes para cumplir los requisitos de auditoría y conformidad.
Controles de respaldo y recuperación