AUDITORIA TIC.

Por s sola, la palabra auditora transmite algo de respeto y un poco de hermetismo. Si le aadimos el TIC, a qu nos
estamos refiriendo?.
Muchas preguntas surgen al respecto de este concepto; es obligatoria una auditora TIC?, para quin y cada
cunto?, quin la puede desarrollar?, auditoras internas o externas?, qu beneficios se obtienen?, riesgos que
pueden surgir?, son homogneas o dependen de quin las realiza?.
En este blog, intentaremos dar una pequea introduccin al tema y aclarar en lo posible dichas dudas.
DEFINICIN DE AUDITORA TIC
Partimos de la definicin de auditora que proporciona una organizacin
como ISACA, segn la cual la auditora es un proceso sistemtico por el cual un equipo o una persona calificada,
competente e independiente, obtiene y evala objetivamente la evidencia respecto a las afirmaciones acerca de un
proceso con el fin de formarse una opinin sobre el particular e informar sobre el grado de cumplimiento en que
se implementa dicha afirmacin.
Es conveniente leerla un par de veces, para caer en el significado y trascendencia que implica. Aparecen trminos
como competencia, independencia, evidencia, opinin y grado de cumplimiento. Dando un paso ms, podramos decir
que la auditora TIC es la auditora que abarca revisin y evaluacin, parcial o total, de los sistemas automatizados de
procesamiento de la informacin, los procesos relacionados no automatizados y los interfaces entre ellos.
Llegados a este punto, surge una PRIMERA REFLEXIN:
Las auditoras TIC que se realizan a da de hoy estn centradas exclusivamente en un porcentaje muy alto en el cumplimiento
de la legislacin vigente, principalmente LOPD; sin embargo la propia definicin de auditora deja el campo abierto a que
todos los servicios seauditen contra cualquier norma-estndar.
Bastara con elegir un estndar-norma que aplique a un sector determinado y revisar el grado de cumplimiento del
servicio.
OBLIGACIN DE LA AUDITORA TIC
La obligacin de realizar una auditora TIC slo la marca la ley vigente, y en este caso la
LOPD establece que donde se traten datos personales etiquetados dentro del nivel medio o alto, los sistemas de
informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a
una auditora interna o externa.
As mismo, extraordinariamente deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales
en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
Ahora ya sabemos de dnde viene la razn de que las auditoras TIC sean en su mayor caso auditoras especficas
para la ley LOPD. Por lo visto si no hay una exigencia obligatoria, a nivel de ley; las empresas espaolas no estn por
la labor de verse sometidas a auditoras TIC.
Esto nos lleva a la SEGUNDA REFLEXIN:
Las empresas espaolas no ven, bien por falta de conocimiento suyo o por falta de concienciacin desde el lado del auditor, el
beneficio de realizar una auditora TIC.
BENEFICIOS DE LA AUDITORA TIC
En los tiempos que corren, cualquier gasto es mirado con lupa antes de estudiar si realmente supone una inversin de
cara al propio negocio. De este modo, es vital el saber los beneficios que aporta el realizar una auditora TIC.
Podemos destacar los 3 ms principales brevemente:
Aseguramiento del cumplimiento legal. Este parece claro que s llega a las empresas, aunque sea por
imperativo legal.
Aseguramiento de la seguridad a niveles de autenticidad, integridad, confidencialidad, disponibilidad. Se sabe de
su importancia, pero parece que no es lo suficientemente llamativo; an teniendo en cuenta que una prdida de
datos puede suponer un cierre de negocio tanto por su repercusin social como por el propio hecho en s de cara
a la confianza de los clientes.
Aseguramiento de la eficacia; algo que no conviene olvidar porque el xito de un sistema TI est en su utilidad.
Actualmente no se tiende a auditarlo, algo sencillo con una buena monitorizacin, y nos fiamos ms de los
comentarios de los clientes y del propio personal.
Vistos estos beneficios, aparece el TERCER PUNTO DE REFLEXIN:
Quin puede asegurar estos beneficios?; es decir, quin est capacitado para realizar auditoras TIC, y contrastarlo con lo
que realmente se da en nuestra sociedad?.
AUDITORES TIC
En la definicin de auditora se mencionaban a personas o equipos calificados, competentes e independientes.
Vayamos paso por paso.
Una persona calificada es aquella que cumple con ciertos requisitos; en nuestro caso deber tener
conocimientos legales y tcnicos para poder llevar a cabo su trabajo. Y esos conocimientos debern ser
avalados por alguna certificacin, condicin importante.
Una persona competente es aquella persona calificada que a la vez asume a cambio de sus servicios, unas
responsabilidades y obligaciones.
Por ltimo una persona independiente a nivel de auditora representa una persona ajena a la labor diaria del
objeto a ser auditado.
Repasando estos tres conceptos, nos vienen a la cabeza los consultores que
implantan de da y auditan de noche para ver que la situacin actual no es la idnea. Cul sera?.
Depende de la empresa y su tamao, evidentemente; pero la situacin ideal es un auditor interno, independiente del
resto de departamentos y cuyo trabajo sea avalado posteriormente por un auditor externo.
Esto es slo la teora y nicamente realizable en grandes empresas; en las empresas pequeas se debera tender a
una auditora externa que cubra el proceso global.
Desde nuestro punto de vista; no se trata de una guerra auditor interno-externo sino en focalizar la necesidad
imperiosa de cubrir esa tarea y cuando se d la ocasin, la colaboracin entre ambos perfiles.