Hoy en día la tecnología forma parte esencial de nuestras vidas y es el núcleo de muchas empresas, sin importar el sector en el que se desenvuelvan, la digitalización cada vez está más integrada en los diferentes procesos empresariales: desde un simple control de la jornada laboral hasta la digitalización y envío de documentos sensibles.
Estos sistemas, sean de gran importancia o no, son susceptibles y pueden presentar fallas de seguridad, lo que puede significar el comprometer la integridad del sistema y los datos que este maneja. Es por ello que, la auditoría informática, tiene como objetivo el análisis de los sistemas informáticos, la verificación del cumplimiento de la normativa en este ámbito y la revisión de la gestión de los recursos informáticos.
Por otro lado, al realizar este tipo de auditorías puede brindar a la empresa otros beneficios como: Mejorar la imagen pública de la empresa, la confianza que tienen los usuarios en la seguridad de sus sistemas, disminuye los costos asociados a la mala calidad del servicio, etc.
A continuación, en este artículo, conocerás tres pasos fundamentales a la hora de realizar la auditoría informática, las mismas que forman parte de la metodología MAGERIT, que fue desarrollada en España por el Consejo Superior de Administración Electrónica (CSAE). Esta metodología surge como respuesta a la increíble dependencia informática que tienen las empresas en la actualidad. Veamos con más detalle cada uno de estos pasos:
Planificación del proyecto: Establece el marco general para el proyecto. Para ello se debe iniciar con el análisis de las necesidades de la empresa, ya que sin ello no es posible llevar a cabo una auditoría satisfactoria. Es en esta etapa donde surgen todos los problemas (objetivos) a tratar en las etapas posteriores del proceso de auditoría.
Cabe mencionar que, no todas las empresas tienen los mismos requisitos cuando encargan una auditoría informática. Puede que en un caso la red informática sea perfecta y no tengan problemas con sus equipos físicos, pero tengan fallas en sus sistemas de seguridad. En otro caso, puede suceder al contrario y encontrarnos un sistema de seguridad perfecto, pero fallos en la red y sistemas físicos.
Es por esto que el auditor, en estrecha colaboración con los empleados y el personal implicado, deberá de establecer unos objetivos personalizados a cada caso. Determinando los objetivos a cumplir y haciendo un inventario de todos los aspectos concernientes a los sistemas y usos informáticos en la empresa.
Tras el establecimiento de los objetivos de la auditoría mediante la etapa de análisis, la realización del inventario de los componentes informáticos existentes y los usos que se les dan a estos dentro de la empresa, llegamos a la planificación en sí misma. Es en este momento donde se planifica la auditoría, es decir, cómo vamos a abordar la consecución de cada uno de los objetivos que hemos establecido con el análisis previo.
Análisis de riesgos informáticos: En este punto, se puede determinar cómo son los activos, cuánto valen y cómo están protegidos, las vulnerabilidades que presentan, a qué amenazas se encuentran expuestos y qué probabilidad e impacto tienen una vez que ocurren. Gracias a esta identificación se podrán determinar los controles pertinentes para aceptar, disminuir, transferir o evitar por completo la ocurrencia de estos riesgos.
En el caso de ir de acuerdo a la normativa oficial (ISO/IEC 27001) el análisis de riesgos incluye los siguientes puntos a tratar:
Identificación de los activos, requisitos legales y de negocio relevantes al proceso.
Valoración de dichos activos e impacto que supondría una vulnerabilidad de los mismos.
Identificación de las vulnerabilidades y amenazas que pueden llegar a ocurrir.
Evaluación del riesgo de dichas vulnerabilidades y amenazas.
Cálculo del riesgo.
Al completar todos los pasos, y habiendo acotado correctamente los riesgos, se procede al último paso…
Gestión de riesgos informáticos: Permite la implementación de salvaguardas para afrontar los riesgos, ya que se tomarán medidas para resolver los problemas que ya están produciendo y prevenir los riesgos que se podrían producir en un futuro. En el caso de los riesgos detectados, podemos encontrar cuatro formas de actuación:
Controlar el riesgo: Mediante el fortalecimiento de los controles que ya están implantados en la empresa y proceder a la agregación de otros nuevos que ayuden a controlar el riesgo.
Eliminar el riesgo: En este punto se elimina directamente el activo que está causando el riesgo por lo que, dicho riesgo también es eliminado.
Compartir el riesgo: Mediante un acuerdo, es necesario establecer que, ante la imposibilidad de afrontar el riesgo por uno mismo, se cede la gestión del mismo a un tercero especializado en tratar dicha clase de riesgos.
Asumir el riesgo: en este caso, se determina que el riesgo es asumible y por lo tanto se acepta.
Para terminar, es importante tener presente que la seguridad en la empresa comienza desde dentro y es por ello que un personal capacitado, guiados por unas normas y protocolos correctos, es fundamental para evitar riesgos innecesarios.
Fuente: RevistaDigital