Últimamente la seguridad de la información y los riesgos de la información han ocupado espacio en este blog. Esta vez pensé escribir de algo diferente, la integridad de la información, pero si reflexionamos un poco, no es un tema tan diferente. El estándar de seguridad de la información ISO 27001 estableció como criterios para definir la seguridad de la información que para considerarla asegurada, la información debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad. Esta tríada, ampliamente conocida en el mundo de las Tecnologías de la Información como CIA, por las siglas en inglés (Confidenciality, Integrity, Availability) definen los atributos que la información debe poseer para considerarla segura. Así que técnicamente, seguimos en el tema. Es importante considerar aquí que la probabilidad de que nuestra información pierda seguridad por daños a la integridad es mucho mayor porque los daños a la integridad son causados normalmente por causas internas. Esto implica un mayor riesgo que debe de ser considerado por el auditor de sistemas.

Mi principal consideración acerca de la integridad de la información es que la estructura de los datos de una organización define su integridad. Esto es así porque cada dato recibe un nombre, un tipo de datos, una longitud y valores permitidos que son específicos para cada organización. Es importante asegurarse que esta definición existe a través de una documentación adecuada y que además ha sido apropiadamente actualizada de acuerdo con los cambios que la afectan. Este punto se dice fácil, pero ha probado ser difícil en múltiples revisiones de auditoría. Los casos que se encuentran van desde que no hay documentación hasta que la documentación no corresponde con el uso que se le da a cada dato.

Es conocido también que una buena práctica de gestión de datos exige asignar la propiedad de los datos a personas específicas. El auditor de sistemas debe entonces verificar que se han definido las personas responsables de realizar y aprobar las definiciones de datos apropiadas que permitan conocer adónde y como se almacenan los datos que se utilizan en los procesos de negocio.

Si se han establecido estos dos elementos, el auditor de sistemas puede entonces entrevistar a los responsables de los datos, tanto desde el punto de vista técnico como funcional, establecer cuáles son los datos más críticos de la organización y proceder a preparar pruebas, utilizando la información de la definición de los datos, que permitan establecer que se mantiene una integridad razonable en la organización. Esto es, hablando en términos técnicos que el 100% de los datos cumplen con la definición de los mismos y que no se tienen valores fuera de rango, valores nulos, referencia a valores inexistentes, registros huérfanos y demás. Este valor esperado de 100% de datos conforme a la norma es difícil de cumplir por múltiples razones, que van desde mala digitación y malos controles de aplicación hasta errores en las aplicaciones. Muchas veces, al realizar la evaluación de la integridad y encontrar deficiencias en los datos, es más importante determinar porque se dio la diferencia para determinar la causa raíz de la falta de integridad y proceder a implementar una solución que elimine el problema de integridad para el elemento auditado, así como para futuros cambios que se realicen en la estructura de los datos. Por ejemplo, si un programa está guardando mal la información y esto causa que no se almacene un dato, el auditor de sistemas debe de identificar el error en el programa como la causa raíz y acordar con la Gerencia de Sistemas un plan de implementación para corregir el programa y evitar que se siga repitiendo el daño a la integridad de la información.

Auditar la integridad de los datos de una organización es una de las tareas más difíciles para un Auditor de Sistemas, debido al tamaño de los sistemas de información utilizados hoy en día, la complejidad de reglas de negocio que se le aplican a los datos y la falta de cumplimiento de buenas prácticas como la asignación de responsables y la documentación adecuada.