Auditando Políticas de TI

En otra ocasión hablamos de la importancia de la creación de las políticas de TI como una herramienta para crear un equipo de dirección que incluya a la Alta Dirección en la toma de decisiones de la gestión de TI. Las políticas, en ese sentido sirven para establecer el marco regulatorio de toda la actividad de TI, soportadas por la Alta Dirección y ejecutadas a través de las operaciones del departamento de TI. Si la ejecución funcionará perfectamente, definitivamente no existiría lugar para la Auditoría de Sistemas. Sin embargo, la función de Auditoría de Sistemas resulta útil para activar la mejora continua de las políticas de TI.

En primer lugar, la revisión de los resultados de la aplicación de políticas puede determinar que hay áreas que no han sido normadas adecuadamente, creando situaciones de riesgo para la información. Es decir, aun cuando se cumplan las políticas existentes, la Auditoría de Sistemas sirve para evaluar si ese cumplimiento es suficiente para mitigar los riesgos existentes. Por ejemplo, si existe una política de asignación de laptops a puesto claves y no existe una política de resguardo de la información que viaja en esas laptops, la verificación de la seguridad de la información que realice una auditoría de sistemas, determinará como hallazgo el peligro que existe de perder información almacenada en las laptops, creando la recomendación de evaluar las opciones para garantizar que la información almacenada en las laptops no se pierda o llegue a manos equivocadas. Es conveniente plantear un segundo escenario sobre este mismo caso. Si existe ya una política de seguridad de la información de los dispositivos móviles y el departamento de TI la ha implementado a través de tecnología que cifra la información y crea los respaldos tan pronto la máquina se conecta a la organización, la Auditoría de Sistemas procederá a verificar el cumplimiento de la política y su mecanismo de implementación a través de la revisión de que todas las máquinas o una muestra de ellas, dependiendo del tamaño de la organización, efectivamente tengan los agentes instalados y no existan excepciones a la ejecución de respaldos. En un caso ideal, todos los equipos estarían protegidos y no habría mayor hallazgo que reportar, pero si se detecta un número mayor a lo que se puede considerar una excepción, que normalmente no pueden ser más de una o dos, la Auditoría de Sistemas procedería a investigar la causa de estas excepciones, para lograr determinar el hallazgo real y crear una recomendación para eliminarlo. Lo importante del ejemplo es que aunque la definición de Políticas de TI es el inicio de un ambiente controlado de operaciones de TI, en la práctica es necesario siempre tener un nivel adicional de validación de que se están implementando las políticas de acuerdo a la intención original y que cumplen con el objetivo para el que se crearon. Si enumeramos las excepciones y omisiones creadas por los departamentos de TI, se encontrará una justificación importante para que una organización cuente con servicios de Auditoría de Sistemas.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 10 de septiembre de 2012 en Auditoría de TI y etiquetado en , , , , . Guarda el enlace permanente. 1 comentario.

  1. There is certainly a lot to know about this issue. I like all the points
    you made.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: