Aunque este post trata de algo actual, como las auditorías informáticas que se llevan a cabo en las empresas, vamos a remontarnos a los orígenes de la humanidad. El ser humano, siempre ha sentido esa necesidad de contabilizar y administrar todos los recursos de los que dispone. La evidencia, descubierta por los arqueólogos a lo largo de la historia, muestra como ya en la antigua Grecia, se realizaban listas que, mediante tildes, puntos y círculos, reflejaban la disponibilidad de las mercancías, así como los movimientos de las mismas, las finanzas y los alimentos. Estos datos, confirman los primeros métodos que se empleaban en lo que hoy, conocemos como auditoría.
Estas maneras de controlar la mercancía, se llamaban Audire en latín, cuyo significado es oír, justamente, la función que tenían los auditores de la época: escuchar y registrar los testimonios para, posteriormente, verificar si las cantidades, eran correctas.
Siglos después, esta metodología ha ido mejorando hasta la actualidad, donde la palabra auditoria abarca numerosos campos y modalidades, con una misma finalidad: evaluar el uso del patrimonio de una empresa y los procedimientos que en ella se emplean.
Gracias a nuestros amigos de El laboratorio informático, expertos en reparación de ordenadores, vamos a adentrarnos en el mundo de la auditoría informática, para muchos, desconocida.
Este proceso, consiste en la recopilación, agrupación y evaluación de las evidencias que permiten determinar si el sistema informático que utiliza una empresa en particular, mantiene la integridad de los datos en el insertados, cumple con los protocolos establecidos, hace un uso eficiente de los recursos disponibles, cumple con la normativa correspondiente y la ley o leyes que regulan la materia.
Permite al mismo tiempo, la realización de inventarios, hacer una revisión de los mecanismos de control y gestión y, por supuesto, valorar el estado real de los activos informáticos: el software, el hardware y las conexiones.
En lo que a software se refiere, se obtiene información sobre la versión utilizada, la fecha de instalación, la de validez de las licencias, el número de programas que utiliza la empresa, etc.
Con relación al hardware, se conoce el tipo de procesador de cada computadora, la capacidad de memoria, almacenamiento, particiones del disco duro y medios utilizados. Así como los periféricos conectados al ordenador: servidores, router, impresora, ratón, teclado, etc.
La finalidad de una auditoría informática es detectar cómo funciona la infraestructura y los flujos de información de los que dispone una empresa u organización para determinar sus costes, necesidades, el valor, la duplicidad y los nudos críticos que pueden afectar a la consecución de los objetivos y metas de la empresa.
Características y tipos de auditoria informática
Dentro de las diferentes auditorías que pueden llevarse a cabo en las empresas, la informática es la que se lleva a cabo en el área de Tecnología de la Información con sus propias particularidades, entre las que cabe señalar las siguientes:
- Los profesionales que realizan la auditoría, no solo deben tener competencias para ejecutar la misma, también deben contar con una formación específica relacionada con un contexto tecnológico o informático en concreto.
- La auditoría informática, debe ejercer una función que proporcione una imagen de confianza respecto a la digitalización del flujo de trabajo de la empresa.
- La evaluación llevada a cabo no solo requiere el estudio de los activos informáticos físicos de la empresa, va más allá, englobando las prácticas y utilización de las herramientas de trabajo.
- Debe hacerse un seguimiento constante de toda actualización informática existente en el mercado y su aplicación empresarial.
La incorporación de las nuevas metodologías y aplicaciones tecnológicas en las empresas, constituye un punto de atención que, ha ocasionado una mayor necesidad de requerir los informes correspondientes a este tipo de auditoría en concreto.
Básicamente, las auditorías que se llevan a cabo en las empresas, pueden ser de dos tipos: interna, realizada a nivel interno de la empresa sin requerir contratar personal externo; externa, ejecutada por personal externo ajeno a la empresa y su actividad.
Los objetivos fundamentales de una auditoría informática, son varios: evaluar los equipos computacionales, la infraestructura de la red, considerar los sistemas de información, los procesos de trabajo, las medidas de control, los métodos de archivo y la seguridad en general.
Su importancia es máxima para el correcto desempeño de los sistemas de información y los niveles de seguridad, por lo que deben ir alineados con las siguientes líneas estratégicas:
- Seguridad operativa de los programas, seguridad física de las instalaciones, posibles agresiones, sabotajes, seguridad en redes, etc.
- Confidencialidad y seguridad informática en el control de acceso a la información.
- Estabilidad y protección de datos.
- Aspectos jurídicos y económicos en relación a la solidez de la información y el derecho universal a la misma.
- Mecanismos de control frente a los delitos informáticos a nivel interno.
Importancia y beneficios de la ejecución de auditorías
Dado que los avances de la informática están en constante evolución y mejora, se generan limitaciones a la hora de desarrollar nuevas oportunidades comerciales, llevando a la posibilidad de cometer errores. Esta es una de las razones por la que es necesario practicar auditorias, de modo que se puedan conocer en profundidad los procesos internos relacionados con el procesamiento de los datos, determinar la obsolescencia y mejorar la productividad y el rendimiento de la empresa.
Los aspectos mas importantes a considerar en una auditoría son la disponibilidad de nuevas tecnologías, los altos niveles de sistematización, la automatización de los medios de control y la integración de la información.
Mediante una auditoría informática se obtienen beneficios como el control de las Tecnologías de la Información y el riesgo confiable; la habilitación de los sistemas de gestión de seguridad o el acceso seguro e integrado a los datos internos de la empresa. A su vez, optimiza los procesos y sistemas informáticos, y concede la posibilidad de ingresar en diversos mercados. La adaptabilidad y escalabilidad dentro de las nuevas tecnologías digitales es otra de sus ventajas, así como la reducción de la vulnerabilidad y los riesgos en los sistemas informáticos. También concede una mayor ventaja competitiva, mejora la imagen de la marca y la reputación empresarial y, gracias a la optimización de la gestión de los procesos, aumentan los ingresos de la empresa.
Puntos para hacer una auditoría informática
Antes de nada, para iniciar cualquier tipo de proceso, hay que llevar a cabo un análisis general de toda la organización que va a ser objeto de la auditoría. De esta manera, se logra mayor comprensión sobre las actividades que se ejecutan en la misma, los recursos que se emplean en el desarrollo de la actividad y se establece la planificación y el método de abordaje de la auditoría propiamente dicha.
De tal modo que los puntos a evaluar por los auditores son los siguientes:
- Hacer un inventario de la infraestructura.
- Recabar la documentación legal de los equipos en los que si incluyen facturas y órdenes de compra.
- Hacer una revisión de los programas instalados y sus respectivas licencias y números de serie.
- Comprobar los protocolos de seguridad que se emplean en los equipos, sus códigos de barras, etiquetas y precintos.
- Comprobar los diferentes elementos de ciberseguridad como cortafuegos, antivirus, etc. garantizando que estén operativos y actualizados.
- Conocer los diferentes procedimientos y metodologías de trabajo que se emplean en el uso y controlo de los activos empresariales.
Una vez comprobados y verificados todos estos aspectos, para dar como finalizada la auditoría, hay que elaborar un informe. Este debe contener un resumen de todos los resultados obtenidos tras el análisis y examen de los puntos citados. El mismo debe confeccionarse según la planificación previa, señalando el alcance, el tiempo empleado, la metodología de trabajo utilizada, las conclusiones y recomendaciones para la empresa.
Tras su correcta elaboración y revisión, se aprueba el dossier final para enviar una copia a la empresa u organización a la cual se ha practicado la auditoría, al personal de calidad y a su junta directiva.
En el caso de existir no conformidades en el informe final presentado, se plantean las consiguientes acciones y medidas correctivas y se ofrecen soluciones de confianza para mejorar los diferentes puntos críticos señalados.
Puesto que es la propia organización la responsable de tomar las decisiones pertinentes sobre las medidas a implementar a corto plazo y, garantizar la protección de los activos, datos y seguridad informática, se recomienda un plazo de ejecución para que la empresa, lleve a cabo los cambios necesarios.
Finalmente, es necesario monitorizar todo el proceso a ejecutar para, posteriormente, poder evaluar los resultados obtenidos con la implementación de las nuevas medidas y poder llevar a cabo las correspondientes modificaciones y ajustes, en el caso de que no se están alcanzando los objetivos propuestos.
Durante la fase de monitorización, debe a su vez, establecerse un sistema de control que permita detectar todos los fallos que puedan darse y garantizar que se siguen los protocolos y procedimientos de seguridad necesarios.
En resumen, una auditoría informática, permite a la empresa conocer la situación actual respecto a la ciberseguridad y la protección de datos, definir la línea de actuación si es necesario e implementar los cambios y modificaciones que, de ello derive.