La auditoría informática desde el punto de vista práctico (el terreno manda)

Luis Vilanova - Auditor informático

La auditoría informática desde el punto de vista práctico (el terreno manda)

Los que estamos metidos en el sector de Auditoria TI conocemos y dominamos la teoría de los principales estándares de auditoria. En este pequeño post quisiera explicar en la práctica, sin ánimo de ofender a los muy teóricos, en el terreno, en que ayuda a una empresa y su equipo directivo una auditoria TI.

Descripción teórica

Para ello, en primer lugar, voy a nombrar algunos de los que utilizamos y una breve descripción de su enfoque:

ISO27001

Es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), incluyendo una serie de cláusulas y más de 130 puntos de control.

CMMI (enfocado al desarrollo de software)

Nos da el marco de referencia, para evaluar la madurez de los procesos de desarrollo de una empresa software. Aunque en general es aplicable a la medición y evaluación de la madurez en el desarrollo de procesos de cualquier negocio, nosotros lo utilizamos para evaluar el los procesos de desarrollo software.

COBIT 5

COBIT 5 es un conjunto de objetivos de control que ayuda a optimizar los servicios y el coste de las TI y la tecnología, apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas y gestionar las nuevas tecnologías de información. Realmente es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información, ayudándonos a auditora la forma del Gobierno TI de un departamento u organización.

ITILv3

ITIL es un estándar mundial de facto en la Gestión de Servicios Informáticos. Puede ser definido como un conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios TI. Su objetivo último es mejorar la calidad de los servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuación para que estos sean solucionados con el menor impacto y a la mayor brevedad posible.

Descripción práctica

En el terreno, en el interior de las organizaciones, con sus problemas cotidianos, medio y largo plazo, sus crisis, sus organigramas, sus departamentos, sus recursos humanos, problemas de entendimiento, bajadas de ventas, cambios de estrategias,… es donde en realidad estos estándares no sirven de nada sin una persona que sea capaz de fusionar todos los conceptos teóricos con la realidad de la empresa anteriormente descrita.

Con mi experiencia voy a tratar de traducir la teoría anteriormente descrita, a la práctica, al lenguaje que el directivo NO TI entiende:

ISO27001

Nos permite reflejar de una forma objetiva si tenemos copias de seguridad adecuadas, si hay posibles fugas de información, si existe control de quien navega a que, si tenemos riesgos de entrada de virus, si la empresa puede quedarse parada sin capacidad para remontar en pocas horas por la informática, si cualquier usuario puede instalar un programa pirata o no, si podemos conocer, en caso de problema, quien ha accedido a que y cuando, si tenemos contratos que se revisan adecuadamente y periódicamente con proveedores, si tenemos dependencia de un técnico informático y si se puede minimizar …

Cualquier empresa puede extraer mejoras de una auditoria de este tipo.

CMMI

Nos permite saber los procesos que el equipo de desarrollo implementa, como desarrolla, con qué calidad, si están de acuerdo con las necesidades del negocio y clientes, si la calidad y los tiempos de desarrollo están acorde con las necesidades del negocio, si los procesos de desarrollo software y test son fiables.

En definitiva empresas de desarrollo software o aquellas con un área de desarrollo interna o subcontratada son objetivo de esta auditoría.

COBIT5

Puesto que el gobierno TI es clave para todas las organizaciones, en especial su alineamiento con lo que la empresa necesita (a su estrategia) las mejoras son múltiples, desde reducción de costes, externalización de servicios no core, cumplimiento legal, mejora en la relación del área TI con otras de la empresa, aportación de valor con las TI,…

Este tipo de auditoria lo recomiendo a empresas que dispongan de un área TI.

ITILv3

Fundamentalmente aplicar ITIL nos permitirá mejorar como el área TI presta el servicio al resto de la organización, tanto en la gestión de incidencias, cambios, mejoras, resolución de problemas, valoración del equipamiento, obsolescencia programada, etc

Igual que el anterior lo recomiendo a empresas que tengan un equipo TI interno que preste servicio al resto de usuarios. Es de mucha ayuda al área de soporte del departamento TI.

Conclusión

Es muy importante aclarar que estas auditorías NO sirven sin disponer de una persona, interna o Interim Manager (como realizamos nosotros) que no solo sea capaz de auditar estos puntos desde el punto de vista teórico, sino de llevar a cabo, internamente, en el terreno, con todos los problemas que tiene una empresa anteriormente citados, las acciones de mejora que de cada una de ellas surge.

Es ahí donde esta nuestro valor, combinamos la parte teórica, con una completa ejecución practica posterior, involucrados en la empresa como un equipo externo que supervisa y se responsabiliza de superar todos los problemas y circunstancias que una empresa tiene internamente, para llevar a cabo los planes de actuación final de cada auditoria.

Adaptar la auditoria informática a la situación de la empresa, al tipo de empresa, a la cultura de la empresa, es fundamental para el éxito del resultado final.

Luis Vilanova Blanco.

Interim Manager TI.

luis@luisvilanova.es

6069454593