Siete recursos para facilitar la Auditoría de las Tecnologías de la Información

-

Introducción

    A medida que la tecnología se integra más en la estructura de la gestión y las operaciones comerciales, se vuelve más importante evaluar la utilización de la tecnología y preparar una evaluación de las amenazas y oportunidades disponibles para auditar las Tecnologías de la Información.

    En términos de amenazas, un sistema inadecuado de almacenamiento de datos o documentos puede representar un riesgo para una organización. Las políticas débiles que rigen el uso de las tecnologías de información de la empresa pueden exponer o amenazar los datos e información. El uso de software no autorizado, particularmente el software no autorizado instalado por los empleados, podría resultar en multas de miles o incluso millones de dólares por infracción de derechos de autor. Y estos son sólo los peligros evidentes.

    No obstante, son mayores las oportunidades y beneficios que obtienen las empresas al utilizar las tecnologías de información en sus procesos y servicios. Las tabletas o netbooks se están utilizando para reemplazar las costosas computadoras portátiles a través de servidores con computadoras virtuales o la creación de servicios a través de contenedores accesibles en todo momento y en todo lugar. Las operaciones de impresión se están centralizando en las empresas o sencillamente se están remplazando por documentos electrónicos. La productividad de las empresas se ha ampliado con capacidades adicionales al permitir el trabajo virtual o remoto utilizando tecnologías efectivas. Esto sin mencionar los beneficios económicos indirectos para la empresa al manejar licencias de software o reducir el consumo de electricidad. Sin embargo, todas estas oportunidades han abierto mayores posibilidades a las amenazas cibernéticas. 

Algunos de los recursos de tecnología que deben ser auditados en una empresa son: 

  1. La seguridad de la red y todos los dispositivos conectados examinan las posibles fallas que pueden comprometer la seguridad o disponibilidad de los datos que circulan a través de la red empresarial. De igual forma, se requiere examinar los servicios externos o puntos que requieren accesibilidad a datos o información hacia dentro o fuera de la organización. Los recursos que deben ser auditados en una red incluyen el hardware, software, datos y procesos de manejo. Es importante, verificar la integridad física y disponibilidad de las tecnologías de información vinculadas a la red para sostener los procesos y funciones de la organización.

  2. El software de la empresa puede salvar a la empresa de gastos en demandas que pueden ser de miles de dólares. Se requiere validar los equipos prestados para que los softwares utilizados cumplan con las políticas de la organización. Deben existir documentos que validen a través de recibos la compra o alquiler, los acuerdos de licencia y las versiones de software que deben estar implementadas. Además, se debe verificar si el software está al día y los riesgos que puede ofrecer.

  3. El hardware de la empresa requiere no solo evaluar la seguridad del hardware, sino que sea utilizado adecuadamente para cada tarea, deber y rol el usuario a cargo. Por ejemplo, en una universidad, la preparación de materiales para cada reunión y capacitación de la facultad puede costar miles de dólares en tiempo y materiales. Una inversión única en tabletas para cada miembro de la facultad pudiera reducir los costos. Es vital verificar que las opciones de computadoras estén estandarizadas para reducir costos, y que la selección de hardware se base en el sentido financiero, la facilidad de uso, requisitos mínimos para los deberes y roles funcionales del usuario. Las empresas deben mantener un registro de cada equipo, incluido su ubicación, número de modelo, número de serie, persona a cargo, fecha de compra, copia del recibo y garantías que posee. Esto reduce el robo y puede ayudar con el reemplazo del hardware.

  4. Los sistemas de respaldo y recuperación de datos o información es requerido y no debe ser delegado a los usuarios finales. Debe estar descrito el nivel de acceso a los datos y prioridad, y de igual forma que mecanismos se utilizan para crear respaldo de los datos.  Los criterios son que las copias de seguridad de datos esenciales se almacenen en una ubicación remota (en caso de tornado, incendio o inundación), que se proporcione verificación automática de la copia de seguridad a través de alguna técnica de certificación digital y que las operaciones de recuperación y restauración sean simples. Las copias de seguridad in situ (raid o sistema de almacenamiento externo) deben tener una copia de seguridad secundaria en la nube u otra localidad.

  5. Los procesos de gestión de documentos es la oportunidad más simple para garantizar que las empresas reduzcan los costos. Deben existir políticas descritas que establezcan el uso correcto de los sistemas de correo electrónico, del software y del hardware para la gestión de documentos apropiada. Algunos departamentos, como los departamentos de compra, producen mayor cantidad de documentos. Siempre se debe auscultar, sugerir la implementación de sistemas electrónicos ya que también proveen beneficios en ahorro económico y poder evaluar de forma más simple la integridad en los procesos.

  6. Las impresoras son una carga financiera para la mayoría de las empresas. Las impresoras se compran por una variedad de razones. Abundan los modelos y las marcas. Nadie realiza un seguimiento del costo de los cartuchos de impresora. En muchas organizaciones los departamentos mantienen su propio inventario de cartuchos de reemplazo. La auditoría de las impresoras muchas veces no es considerada, pero pueden ser consideradas un desastre en su implementación, además de aumentar los gastos. Recomiende formas de fusionar los tipos de impresoras. Es importante evaluar si la empresa está pagando el precio más bajo posible por los cartuchos. 

  7. Asegurarse de que la empresa tenga un plan tecnológico estratégico y de gobernanza. El costo de los datos, el hardware y el software es tan importante para los procesos, servicios e imagen de una empresa que no puede manejarse al azar. Debe existir escrito un plan estratégico de tecnología de al menos tres años y a su vez, deben existir planes de Continuidad y Recuperación de Desastres. Los planes deben escribirse, distribuirse, revisarse y probarse. De igual forma es muy importante que estén aprobados por la alta gerencia de la organización.

Conclusión

    La forma más sencilla de aprender a realizar una auditoría de Tecnologías de Información es fundamentarla en los datos, los procesos y las personas vinculadas a las tecnologías de información en la organización. Pudiera sorprender, que con toda la información existente y la publicidad relacionada a la ciberseguridad la mayoría de las empresas no entienden los las amenazas, riesgos y alcances que enfrentan. Lamentablemente, algunas organizaciones deben pasar por algún evento o ataque cibernético para así dimensionar el costo de no haber evaluado los controles de seguridad de sus tecnologías de información.


Comentarios

Publicar un comentario

Entradas populares de este blog

Manejo de Riesgos - Conceptos y Escenarios

-
Introducción      El proceso de identificar, evaluar y controlar las amenazas de los activos y capital de una organización se conoce como Gestión de Riesgos. Estos peligros surgen de una variedad de fuentes, incluida la incertidumbre financiera, las responsabilidades legales, los problemas tecnológicos, los errores de gestión estratégica, los accidentes y los desastres naturales.  La Gestión de Riegos adecuada ayuda a una organización a considerar todos los riesgos que puede enfrentar. La gestión de riesgos también evalúa la relación entre los riesgos y las posibles consecuencias para los objetivos estratégicos de una organización.      La gestión de riesgo no solo se centra en las amenazas internas y externas, también enfatiza en la importancia de gestionar el riesgo positivos. Los riesgos positivos son oportunidades que, si no se aprovechan, pueden aumentar el valor empresarial o perjudicar a una organización. De hecho, el objetivo de cualquier programa de gestión de riesgos no es el
Leer más

Control de Acceso - La gestión primaria para la seguridad de las TI

-
La Gestión de Control de Acceso en las Tecnologías de la Información Introducción Debe ser irrefutable, que la gestión principal de la gerencia de TI debe ser garantizar la seguridad de los datos y del sistema. Si bien en la actualidad, casi todas las aplicaciones financieras, de manejo de recursos humanos, de contabilidad, entre otras, poseen algún procedimiento de control de acceso no necesariamente proveen privacidad, seguridad y defensa de sus datos.  Si bien el control de acceso media en el intento de cada usuario de acceder a un recurso del sistema no solo se limita al ámbito del software.  Después de la autenticación del usuario, algunos sistemas otorgan acceso completo, pero la mayoría requiere un control más sofisticado.  El control de acceso considera tanto la autenticación (contraseñas) como las autorizaciones. En algunos casos, la autorización puede reflejar la estructura de la organización, mientras que en otros puede basarse en la confidencialidad de los datos y la autori
Leer más