La Importancia de la Auditoría de Sistemas

Importancia de la auditoría de sistemas

Hoy en día no cabe duda que los sistemas y tecnologías de información son piezas clave para el éxito de las empresas. La importancia de la auditoría de sistemas parte del hecho de que, conforme van apareciendo nuevas tecnologías en el mercado, también van surgiendo nuevos riesgos que ponen en peligro uno de los activos más importantes de toda organización: la información.

La auditoría de sistemas o auditoría informática es un proceso de revisión de los sistemas de información (SI) y tecnologías de la información (TI) que ayuda a las empresas a identificar hallazgos, mitigar riesgos e implementar controles adecuados que permitan proteger su información crítica y valiosa.

Algunas estadísticas

Según el Informe de Riesgos Globales 2019 (elaborado por el Foro Económico Mundial), el cual contempla cinco categorías de riesgos (económico, ambiental, geopolítico, social, y tecnológico), existen riesgos tecnológicos dentro de los top 10 en cuanto a su probabilidad e impacto.

En términos de probabilidad aparece en la cuarta posición el riesgo de fraude o robo de datos, y en la quinta posición el riesgo de ciber-ataques.

En cuanto al impacto, aparece en la sétima posición el riesgo de ciber-ataques, y en la octava posición el riesgo de caída de infraestructura de información crítica.

Este ranking confirma que los riesgos tecnológicos mencionados son críticos para las empresas y, consecuentemente, deben gestionarse adecuadamente.

Dentro de los ciber-ataques, encabezan la lista el phishing (44%), el malware (31%) y la ingeniería social (27%), según el Informe de Estado de la Ciberseguridad 2019 elaborado por ISACA.

Dicho informe muestra los resultados de una encuesta aplicada a nivel mundial a los gerentes y profesionales de la ciberseguridad. De esta manera, se confirma la preocupación de las empresas en materia de ciberseguridad.

Beneficios de la auditoría de sistemas

Para poder enfrentar los desafíos del mundo actual, es necesario reducir o mitigar los riesgos tecnológios de manera tal que, no pongan en peligro la información crítica y valiosa de la organización.

A partir de allí, nace la importancia de la auditoría de sistemas o auditoría informática, ya que nos ayuda a cumplir con dicho propósito.

Entorno de control

La auditoría permite realizar un análisis del entorno de control de TI, e identificar los riesgos más relevantes.

Los controles de TI pueden tener deficiencias en su diseño o no existir y, en consencuencia, podrían afectar la confidencialidad, integridad y disponibilidad de la información crítica de la organización.

Por lo expuesto, la auditoría obtiene los hallazgos u observaciones más importantes, y plantea recomendaciones o alternativas de solución, a fin de que la empresa pueda tomar acciones que ayuden a mitigar los riesgos.

Servicios u operaciones de TI

Llevar a cabo una auditoría de sistemas proporciona a las empresas diversos beneficios. Por ejemplo, les permite contar con una infraestructura estable de TI.

Actualmente, existe la tendencia de brindar servicios de TI, tanto internos como externos, 24x7x365 (24 horas al día, los 7 días de la semana y los 365 días del año).

En consecuencia, la infraestructura que soporta dichos servicios debe brindar la disponibilidad requerida.

La empresa debe contar con controles robustos tales como copias de seguridad, planes de recuperación de desastres, gestión de incidentes, entre otros.

Controles de acceso

La auditoría ayuda a las organizaciones a identificar fallas o deficiencias en los controles de acceso (lógicos o físicos), en sus sistemas; de tal forma que se puedan minimizar los riesgos de acceso no autorizado, en cuanto a visualización, robo o manipulación de información crítica perteneciente a la empresa.

Gestión de cambios

Cuando las empresas requieren realizar actualizaciones en sus aplicaciones, sistemas operativos, bases de datos, entre otros; la auditoría puede ayudar a identificar problemas relacionados a la gestión de cambios.

Por desconocimiento, muchas empresas no realizan un control adecuado y no mantienen un entorno seguro que permita llevar a cabo actualizaciones o cambios en sus sistemas con un riesgo mínimo.

Cumplimiento regulatorio

La importancia de la auditoría de sistemas queda demostrada también dado que nos ayuda a cumplir con las regulaciones gubernamentales como por ejemplo, la Ley de Protección de Datos Personales ( Ley N° 29733).

En el caso de las empresas del sector financiero, existen regulaciones emitidas por la Superintendencia de Banca y Seguros (SBS), como la Circular N° G-140-2009, para la gestión de la seguridad de la información.

El proceso de auditoría de sistemas

El enfoque actual de auditoría está basado en riesgos. De manera general, abarca tres etapas: planificación, ejecución, comunicación de resultados, y control.

Planificación

Lo primero consiste en elaborar un plan de auditoría, en donde se defina la naturaleza, el alcance, los objetivos, el período de revisión, la estrategia, las actividades y los recursos necesarios para llevarla a cabo.

Es importante que el auditor tenga un entendimiento claro del negocio así como los conocimientos y experiencia previa acerca de los sistemas que formarán parte del alcance de revisión.

Además, en esta etapa se identifican los riesgos más críticos y los controles relacionados a dichos riesgos, que deben ser evaluados.

Ejecución

Es lo que se conoce también como trabajo de campo. El auditor realiza las actividades según lo planificado, en base a una metodología y mediante la aplicación de programas de trabajo (work programs) basado en buenas prácticas.

En esta etapa es importante la elaboración adecuada de papeles de trabajo que sustenten los hallazgos u observaciones. Para ello, las evidencias deben obtenerse de manera adecuada.

Asimismo, es importante tener en cuenta que una situación se vuelve relevante y es candidata para convertirse en un hallazgo, en la medida que dicha situación (lo que ocurre) se aleje de su línea base o estándar (el cómo debería ser).

Es decir, necesitamos identficar la brecha (gap) entre lo real y lo ideal.

Comunicación de resultados

Luego de realizar el trabajo de campo, el auditor elabora un borrador del informe y lo discute previamente con la gerencia o responsable de TI.

Dicho informe debe contener principalmente los hallazgos, los riesgos asociados, y las recomendaciones para subsanar los hallazgos.

Aquí es fundamental que el auditor revise junto al auditado, cada uno de los hallazgos encontrados, y que ambas partes estén de acuerdo.

Adicionalmente, como resultado de esta revisión, deben añadirse al informe los comentarios del auditado con respecto a cómo, cuándo y quién será responsable del levantamiento de las observaciones o ejecución de las recomendaciones.

Posteriormente, el auditor emite el informe final y comunica los resultados a la gerencia de la empresa o quien solicitó la auditoría.

Control

Dado que el proceso de auditoría es cíclico, luego de la emisión y comunicación de los resultados a través del informe final, la empresa debe realizar un seguimiento para el cumplimiento de las recomendaciones emitidas en dicho informe.

Finalmente, esta etapa daría paso a un nuevo proceso de auditoría en donde se revisará, entre otras cosas, el nivel de cumplimiento de las recomendaciones sugeridas. Y, de esta manera, se repite el ciclo y se inicia un proceso de mejora continua.

La necesidad de una auditoría de sistemas

La necesidad de realizar una auditoría de sistemas o auditoría informática está directamente relacionada con la complejidad de la organización, la cual se puede medir principalmente en base a su tamaño y a la cantidad de información que maneja.

A continuación, mencionamos algunas situaciones que justifican la realización de una auditoría de sistemas.

Crecimiento de la organización

La empresa evoluciona en el tiempo y se encuentra en constante crecimiento con respecto a:

  • Volumen de facturación
  • Cantidad de empleados
  • Procesos nuevos y de mayor complejidad
  • Nuevas áreas de negocio

Sistemas obsoletos

La empresa requiere actualizar parte de sus sistemas o aplicaciones de gestión. Cuenta con sistemas obsoletos e ineficientes que generan retraso y retrabajo.

Falta de controles

La empresa no cuenta con los controles ni con la visibilidad adecuada que le permita proteger su información clave y valiosa. Asimismo, tiene problemas con la disponibilidad oportuna de dicha información.

Conclusión

La auditoría de sistemas o auditoría informática es importante para las empresas en la medida que éstas consideren a la información como uno de sus activos más importantes.

Si la empresa cuenta con información crítica y valiosa, es necesario protegerla adecuadamente y por consiguiente, minimizar los riesgos tecnológicos asociados a dicha información.

¿Deseas conocer más acerca de la auditoría de sistemas y cómo puede ayudarte en el éxito de tu negocio?

¡Contáctanos y solicita una evaluación gratuita de seguridad ahora!

2 comentarios en «La Importancia de la Auditoría de Sistemas»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *