Auditando la Integridad de la Información

Últimamente la seguridad de la información y los riesgos de la información han ocupado espacio en este blog. Esta vez pensé escribir de algo diferente, la integridad de la información, pero si reflexionamos un poco, no es un tema tan diferente. El estándar de seguridad de la información ISO 27001 estableció como criterios para definir la seguridad de la información que para considerarla asegurada, la información debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad. Esta tríada, ampliamente conocida en el mundo de las Tecnologías de la Información como CIA, por las siglas en inglés (Confidenciality, Integrity, Availability) definen los atributos que la información debe poseer para considerarla segura. Así que técnicamente, seguimos en el tema. Es importante considerar aquí que la probabilidad de que nuestra información pierda seguridad por daños a la integridad es mucho mayor porque los daños a la integridad son causados normalmente por causas internas. Esto implica un mayor riesgo que debe de ser considerado por el auditor de sistemas.

Mi principal consideración acerca de la integridad de la información es que la estructura de los datos de una organización define su integridad. Esto es así porque cada dato recibe un nombre, un tipo de datos, una longitud y valores permitidos que son específicos para cada organización. Es importante asegurarse que esta definición existe a través de una documentación adecuada y que además ha sido apropiadamente actualizada de acuerdo con los cambios que la afectan. Este punto se dice fácil, pero ha probado ser difícil en múltiples revisiones de auditoría. Los casos que se encuentran van desde que no hay documentación hasta que la documentación no corresponde con el uso que se le da a cada dato.

Es conocido también que una buena práctica de gestión de datos exige asignar la propiedad de los datos a personas específicas. El auditor de sistemas debe entonces verificar que se han definido las personas responsables de realizar y aprobar las definiciones de datos apropiadas que permitan conocer adónde y como se almacenan los datos que se utilizan en los procesos de negocio.

Si se han establecido estos dos elementos, el auditor de sistemas puede entonces entrevistar a los responsables de los datos, tanto desde el punto de vista técnico como funcional, establecer cuáles son los datos más críticos de la organización y proceder a preparar pruebas, utilizando la información de la definición de los datos, que permitan establecer que se mantiene una integridad razonable en la organización. Esto es, hablando en términos técnicos que el 100% de los datos cumplen con la definición de los mismos y que no se tienen valores fuera de rango, valores nulos, referencia a valores inexistentes, registros huérfanos y demás. Este valor esperado de 100% de datos conforme a la norma es difícil de cumplir por múltiples razones, que van desde mala digitación y malos controles de aplicación hasta errores en las aplicaciones. Muchas veces, al realizar la evaluación de la integridad y encontrar deficiencias en los datos, es más importante determinar porque se dio la diferencia para determinar la causa raíz de la falta de integridad y proceder a implementar una solución que elimine el problema de integridad para el elemento auditado, así como para futuros cambios que se realicen en la estructura de los datos. Por ejemplo, si un programa está guardando mal la información y esto causa que no se almacene un dato, el auditor de sistemas debe de identificar el error en el programa como la causa raíz y acordar con la Gerencia de Sistemas un plan de implementación para corregir el programa y evitar que se siga repitiendo el daño a la integridad de la información.

Auditar la integridad de los datos de una organización es una de las tareas más difíciles para un Auditor de Sistemas, debido al tamaño de los sistemas de información utilizados hoy en día, la complejidad de reglas de negocio que se le aplican a los datos y la falta de cumplimiento de buenas prácticas como la asignación de responsables y la documentación adecuada.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 29 de septiembre de 2014 en Auditoría de TI, Prácticas de Gestión, Seguridad de TI. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: