Las organizaciones hacen suposiciones diferentes sobre los niveles de seguridad necesarios para proteger sus sistemas y activos de información. Aunque las empresas puedan diferir en sus ideas acerca de la seguridad de las TI [Tecnologías de la Información], es importante considerar el papel de los auditores internos: revisar el entorno de seguridad existente e identificar la efectividad de los controles internos. Desafortunadamente, los auditores de TI noveles se encontrarán con no pocas dificultades. Muchas empresas tienen cortafuegos y sistemas de detección de intrusiones (IDS) mal configurados, carencia de sistemas para detectar no-conformidades con las políticas y procedimientos de TI, usan sistemas antivirus desactualizados y esperan demasiado tiempo para parchear los sistemas cuando se detectan vulnerabilidades.
Para llevar a cabo con éxito revisiones de controles de seguridad, los auditores de TI se debe comprender los mecanismos adecuados para identificar riesgos y vulnerabilidades de seguridad, evaluar la efectividad de las medidas de seguridad perimetral y trabajar con la alta dirección de forma eficaz.
Es fundamental considerar la seguridad pues es determinante ante los riesgos y vulnerabilidades existentes, así como el nivel de buen gobierno y conformidad de las TI de la organización. Una vez que se le ha encomendado a un auditor la tarea de revisar el entorno de seguridad de las TI de una empresa, deberá evaluar los diferentes niveles de seguridad de todos los activos de TI y cómo se protege cada uno de ellos. Se requiere también del auditor dar recomendaciones de cómo mejorar la seguridad de las TI de la organización y certificar si existen controles internos adecuados para asegurar todos los activos de TI. Una forma de identificar riesgos y vulnerabilidades de seguridad antes de la auditoría es recomendando a la organización la realización de una evaluación de riesgos. Aparte de ayudar a los auditores a determinar qué controles serían más efectivos basándose en las necesidades de seguridad de la organización, una evaluación de riesgos puede ayudar a disipar la resistencia a los resultados de la auditoría, permitiendo a la dirección tener una imagen exacta del estado actual de la seguridad antes de tener lugar la auditoría.
El buen gobierno de las TI se basa en procesos de alta calidad, bien definidos y repetibles, que tienen que estar adecuadamente documentados y comunicados, y requiere la participación y compromiso de la gerencia y de los profesionales de TI y seguridad.
Una forma de examinar si una empresa tiene un programa eficaz de buen gobierno de las TI es comprobando que la gerencia ha establecido objetivos, políticas y procedimientos claros y que la gestión de las TI está basada en el uso de marcos de actuación, herramientas o buenas prácticas eficaces. Existen muchos marcos de actuación y buenas prácticas que pueden ayudar a las empresas en su gestión de las TI.
No hay comentarios:
Publicar un comentario