El enfoque a tomar en la ejecución de una Auditoría
de TI depende en gran medida del área y/o procesos a analizar y evaluar, y de
las habilidades y conocimientos que se necesitan en el auditor de TI para la Auditoría a realizar. No es lo
mismo revisar la gestión de un proyecto de TI –para cuya ejecución se
necesitarán habilidades y conocimientos menos técnicos y más orientados a los
de un gestor– que una revisión del nivel de seguridad de los servidores Unix
expuestos en la DMZ, para cuya tarea de evaluación se necesitará un dominio de
aspectos mucho más técnicos sobre esa tecnología en concreto.
DMZ es una zona que es principalmente pública a
Internet. Aquí es donde se encuentran unas
empresas web, e-mail y los servidores DNS. Una DMZ tiene a menudo una protección limitada, pero ya que está muy
expuesto a la Internet, el supuesto es que las máquinas en la zona finalmente
se verá comprometida. Por lo
tanto, las máquinas tienen a menudo tan poco conectividad a la red privada como
cualquier otra máquina de Internet.
Es importante diferenciar tres clases de
trabajos de Auditoría de TI según el
tipo de controles a evaluar:
Auditorías del gobierno de TI
Trabajos orientados a la evaluación de aquellos
controles establecidos para la supervisión de una correcta gestión de la
información, el establecimiento del “tone at the top”, así como de las
políticas que marcan las guías generales de la organización con relación a TI.
Auditorías de la organización y gestión de TI
Enfocadas a revisar aspectos generales de la gestión
de TI, tales como la protección física de los activos de TI, la gestión de
cambios, la gestión del outsourcing (externalización), la gestión de proyectos
de TI o la gestión financiera de TI.
Auditorías de la capa técnica
Engloban aquellos trabajos que requieren
conocimientos específicos de la plataforma tecnológica (sistemas operativos,
bases de datos, elementos de comunicaciones…). También pueden incluir la
revisión de aquellos controles de determinada aplicación que requiera un
conocimiento profundo y “técnico” de su funcionamiento.
Adicionalmente, y aunque no sean Auditorías de
TI, habría que considerar los trabajos de análisis masivo de datos mediante el uso
de herramientas tales como ACL o IDEA (por ejemplo: apoyo a investigaciones de
fraude, SAS99). Estos trabajos han recaído históricamente bajo la
responsabilidad de los auditores de TI, aunque, recientemente –debido
al mayor conocimiento en sistemas y a la formación específica recibida por las
nuevas generaciones de los auditores de negocio – la ejecución de dichos
trabajos va, poco a poco, pasando a ser responsabilidad de estos últimos.
Por
Por
FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES DE ESPAÑA
