Auditando Tecnología … con Tecnología.

Definitivamente las Tecnologías de la Información están aportando mucho al soportar las operaciones de negocios de las empresas. Todas las áreas del conocimiento están recibiendo constantemente dispositivos y software que hacen su labor más eficiente y efectiva. La Auditoría de Sistemas no es la excepción y lo que se conoce como CAAT – Computer Assisted Audit Techniques, ahora están siendo apoyadas con una serie de equipos, metodologías y software. Como comentábamos hace algunos días, las pistas de auditoría que dejan las operaciones realizadas con el apoyo de Tecnologías de la Información son variadas y abundantes. Esto nos lleva a saber qué se ha hecho en los sistemas de información y quién lo ha hecho. Pero ¿Qué hará un auditor de sistemas que se encuentra con una gran cantidad de información en las pistas de auditoría? El enfoque tradicional nos llevaría a poner esa información en alguna aplicación para generar reportes y a partir de ahí, empezar a consultar todo tipo de actividad sospechosa. De esta manera aunque la información fuera bastante, se podían obtener resultados definidos, entendibles para la Alta Gerencia, accionables a partir de la evidencia. Pero hay que reconocer, que este seria un análisis forense, realizado al final de un periodo de revisión, que en muchas empresas es trimestral, semestral y algunas veces anual o bianual. Si estuviésemos hablando de un caso que implique fraude, posiblemente cuando se descubra la evidencia, los responsables habrán desaparecido de la organización.

El enfoque ideal, nos llevaría a configurar en una pieza de software, de manera constante, los parámetros de comportamiento de los sistemas de información que interesa monitorear, para que en el momento en el que la acción capaz de generar un hallazgo de auditoría este pasando, el software emita una alerta, vía correo electrónico para el auditor, para que este analice la información y pueda definir caminos de acción dependiendo de la gravedad del hallazgo. Mucho mejor. Esta es la Tecnología que la Auditoría de Sistemas moderna utiliza para realizar su función.

Y aún hay  más. Debido a la cantidad de amenazas que se generan a partir del mal uso o configuración de las Tecnologías de la Información, los sistemas de auditoría están llegando incluso a permitir el monitoreo constante de las configuraciones de los equipos, comparándolas con estándares existentes por tipos de equipos. Esta tecnología incluso llega a mantener una conexión constante con bases de datos de vulnerabilidades, que permiten la comparación de las configuraciones auditadas contra configuraciones necesarias para cubrir las vulnerabilidades detectadas. Este tipo de Tecnología une la revisión de la configuración con la comparación contra el estándar más actualizado existente para cada tipo de dispositivo. Hay que recordar que la auditoría de sistemas al revisar la infraestructura tecnológica de una organización incluye componentes como bases de datos, equipos de comunicación, aplicaciones y datos, componentes que en centros de datos grandes existen de manera repetitiva, por lo que la ayuda de la Tecnología está más que justificada, para lograr realizar revisiones eficientes y eficaces. Esto es todo un reto para los Auditores de Sistemas, pero si nos gusta la Tecnología, es un trabajo gratificante.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 19 de septiembre de 2012 en Auditoría de TI y etiquetado en , , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: