La auditoría de sistemas no es una obligación sino una necesidad
Ing. Rolando A. García
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Gerente de Sistemas FEPADE – ISEADE
Desde los que son amantes de la tecnología hasta los que no lo son, se ven en la necesidad de actualizarse con recursos tecnológicos hasta la adquisición de sistemas administrativos financieros, y el papel del administrador del área de sistemas se ve tan comprometido que incluso en las empresas modernas estos dependen directamente de la dirección de la empresa, por el nivel de control de información confidencial que se maneja y por la disponibilidad de la información financiera que se procesa en los sistemas, a tal grado de que se supera el nivel de responsabilidad del área financiera de dicha empresa.
La auditoría de sistemas no es una obligación sino una necesidad
Cuando se piensa en verificar la calidad de la información y la integridad de la misma, se acostumbra contratar auditorias que verifican la veracidad de la información recabada en la empresa en periodos específicos y, además, se suele verificar la infraestructura física y digital de los sistemas, los criterios o las políticas de seguridad implementados por sistemas y la distribución de los equipos informáticos a los usuarios, con la idea de verificar las condiciones de dichos recursos y los niveles de seguridad aplicados.
En realidad considero que esa visión se encuentra obsoleta, ya que el objetivo de una auditoría ha cambiado y se considera incluso un proceso en beneficio de la empresa que la desarrolla. Veamos a lo que me refiero.
Fuente: Origen propio
Al ver el siguiente esquema la auditoria inicia con la verificación de las condiciones actuales de los recursos informáticos disponibles para disponer de un punto de inicio que lleva dos objetivos: primero, es verificar las condiciones de los recursos disponibles para poder determinar puntos de mejora; y segundo, tener información veraz a ser utilizada si la empresa realizará a futuro cambios estructurales para tener soporte a cualquier inversión a desarrollar, permitiendo a futuro, al mismo tiempo que cualquier empresa auditora, poder desarrollar en los periodos contratados la verificación del manejo de los recursos informáticos disponibles en la empresa.
La verificación de las condiciones de los recursos actuales nos lleva a definir el alcance de la auditoría de sistemas, que, de acuerdo a mi experiencia, la clasifico en ocho áreas interrelacionadas, ya que todas dependen de cada una, y por la amplitud de cada área se necesitan personas que dominen cada una de las mismas. Para dar fe de lo encontrado en la definición de las condiciones actuales, vemos cada una:
1. El sistema eléctrico. Parte fundamental, ya que dependiendo de sus condiciones podemos determinar la calidad de la energía proporcionada a todos los equipos informáticos. Nace desde la capacidad del transformador o subestación que suministra la energía demandada, hasta llegar al toma polarizado, incluyendo la polarización y el equipo de protección en cada uno de los dispositivos conectados al sistema, incluyendo la infraestructura de los aires acondicionados disponibles en el área de servidores y dispositivos de conexión a red.
2. El sistema de redes. Parte desde las acometidas de servicios, router, firewall, switches, patchpanel, cableado y puntos de red certificados.
3. Sistemas aplicativos. Sistemas administrativos y financieros, administración de archivos, administradores de correo, administradores del sitio web, administrador del sistema telefónico, entre algunos.
4. Servidores de aplicativos. Condiciones de los servidores de acuerdo a su función, como son los servidores de dominio, sistemas administrativos y financieros, servidor de correo, web, telefonía, etc.
5. Computadoras personales. Estructurado en las condiciones del su hardware y el software instalado de acuerdo al perfil del usuario.
6. Sistema de seguridad. Estructurado de acuerdo a las normas, tomando en cuenta las condiciones de la seguridad física y digital.
7. Sistema de copias o backup. Imprescindible en toda empresa la copia de los insumos digitales generados por todos los usuarios en sus computadoras y copias de la información alimentada en los sistemas aplicativos.
8. Políticas y procedimientos. Orientan como complemento para el buen uso de los recursos de los sistemas aplicados a las otras siete áreas.
Al darnos cuenta del alcance de la revisión de las condiciones actuales, lo ideal es que un equipo multidisciplinario efectúe la auditoria de acuerdo al campo de su dominio.
Cuando se hace la verificación se presenta un informe que enlaza las ocho áreas y permite elaborar conclusiones orientadas a recomendar puntos de mejora a ser tomadas en cuenta de acuerdo a su peso económico e importancia, consideradas a plazos inmediato, mediano y largo, de acuerdo al impacto que produzca dichas sugerencias.
Lo bueno de este tipo de auditoria es que se tienen todos los insumos base para poder elaborar estimaciones de inversión más apegados a la realidad, pudiendo determinar con un buen respaldo qué es la información obtenida en la auditoría.
Con estos insumos y de acuerdo al plan de auditorías se dispone de toda la información necesaria para dar seguimiento a los tópicos encontrados en la auditoria inicial.
En conclusión, vemos la importancia de que la Auditoria de sistemas es una necesidad que nos permite conocer las condiciones actuales en que nos encontramos, y de esa manera poder determinar puntos de mejora, para que las tecnologías aplicadas en nuestras empresas se optimicen lo mejor posible.
Todo esto, enfocado a las mejores prácticas en el uso de los recursos informáticos de los que dispone cada empresa.