miércoles, 30 de marzo de 2016

El papel del auditor de sistemas ante los nuevos riesgos en los centros de datos

Cargando...
Trabajo. Foto: © Sofie Delauw/Corbis. Imagen tomada de: semana.com.

¿Qué papel juegan los auditores ante los nuevos riesgos a los que se enfrentan los data center? ¿Existe una metodología que minimice los riesgos? DatacenterDynamics ofrece las claves en MCSS, la jornada de ciberseguridad que se celebra el 7 de abril en el marco de la 9ª edición de DCD Converged España.

1. Función de Auditoría

La función de auditoría interna moderna puede considerarse como la asesoría independiente a la alta dirección sobre los riesgos que existen en la organización y la evaluación sobre la posibilidad de que estos riesgos puedan afectar negativamente a la sostenibilidad de la misma.

Desde este enfoque, que no coincide plenamente con la definición clásica, el auditor debe considerar en su informe tanto los riesgos identificados como las medidas que se han tomado para controlarlos. Estas medidas suelen estructurarse en un conjunto de controles que, para que sean efectivos deben estar definidos, implantados y verificados periódicamente.

El conjunto de las citadas medidas mitigatorias se conoce como Modelo de Control y su efectividad real conduce a una mejora de la madurez, lo que en definitiva acerca a la organización a su sostenibilidad. Para ello el auditor debe contemplar diversos horizontes temporales en concordancia con la naturaleza y evolución de los mencionados riesgos.

En el mundo actual se constata que una gran parte de los riesgos existentes tienen una importante vertiente tecnológica, derivada de la ubicuidad de los sistemas de información y de la creciente digitalización de los procesos empresariales. Esto obliga a que la labor del auditor deba incorporar una fuerte componente tecnológica. Su correspondiente “profesionalización” ha conducido a la aparición de la denominada “auditoría de sistemas”.

Por lo tanto y adaptando la definición inicial, los auditores de sistemas asesoran de forma independiente a la alta dirección sobre los riesgos de naturaleza informática que pueden dificultar la sostenibilidad de la organización.

2. Rol del auditor en el Centro de datos

En los últimos años han surgido en el sector diversas metodologías que pretenden minimizar los riesgos en los sistemas informáticos, tanto en el desarrollo de sistemas, como en su operación. Estas metodologías (ITIL, CMMI, ISO 27000, ISO 20000 etc…) han introducido paulatinamente un conjunto de rutinas y estándares que han hecho eficaz, predecible y madura la labor de la informática corporativa.

Una de las actividades del auditor de sistemas es evaluar el buen funcionamiento de estos estándares, a través de la verificación periódica de los controles asociados. Esta tarea tiene una dimensión básicamente táctica, que tradicionalmente se ha considerado de “inspección”.

Asimismo, y ya en un plano más estratégico, debe analizar la ausencia de algunos de estas metodologías y recomendar si es conveniente su implantación, en función de los riesgos que pueda presentar.

Para su labor, el auditor de sistemas se apoya también en metodologías, por ejemplo CobiT, que tienen un carácter de alto nivel y pretenden asegurar una actuación profesional y verificable.

Es importante hacer notar que hoy en día el centro de datos no debe considerarse tan solo como un edificio dedicado a ordenadores. En la informática actual el sistema está compuesto por multitud de redes, equipos, usuarios y entornos de terceros, interactuando continuamente. Por ello la frontera de la actuación de los auditores de sistemas cubre todo el procesamiento, almacenamiento y protección de la información de la organización, independientemente de su ubicación.

3. Continuidad de negocio

Una de las medidas mitigatorias más potentes que se pueden establecer en este ámbito es el conocido como “Plan de continuidad”. En el mundo informático este plan se vertebra alrededor del “Plan de recuperación frente a desastres” y su implantación mitiga de forma genérica una gran cantidad de riesgos, ofreciendo una alternativa de proceso para los casos en que los mismos deriven en incidentes que no puedan ser manejados de forma efectiva.

Este plan se diseña, implanta y verifica con la ayuda de algunas normas (BS25999, ISO 22301) que facilitan un correcto enfoque del plan. Aquí también es crucial la labor del auditor de sistemas, como en el resto de metodologías ya comentadas, pues debe ser quien certifique que el plan es efectivo. El auditor de sistemas es parte del plan y su actuación se describe en las normas.

4. Nuevos retos actuales

La rápida evolución de las tecnologías del mundo digital conlleva la aparición constante de nuevos riesgos, los cuales no pueden estar contemplados en su totalidad en las normas. Es importante tener en cuenta que ninguna normativa puede ser considerada completa.

Es tarea de todos los actores de este sector mantenerse al tanto de estos riesgos para considerar formas de mitigarlos. En este punto es fundamental la tarea del auditor de sistemas, pues debe asesorar sobre todo lo que pueda afectar a la organización.

En ese sentido y entre otros, se pueden mencionar:
  • Ataques telemáticos
  • Ciberseguridad en redes y comunicaciones, en redes abiertas y redes mixtas
  • Riesgos del uso de “Cloud computing”
  • Riesgos del uso de “redes sociales”
  • Nuevas obligaciones regulatorias
  • Por ejemplo, en protección de datos de carácter personal
  • Nuevos diseños de centros de datos (Activo-activo).
  • Efecto en los planes de continuidad.
  • Ciberseguridad en infraestructuras críticas y estratégicas
  • Redes de control industrial
  • Nuevos dispositivos en la red
  • BYOD
  • Internet de las cosas
5. Conclusión

La labor del auditor y en particular del auditor de sistemas constituye un elemento crítico para la sostenibilidad de la organización en el mundo digital actual.

Su tarea no se limita a verificar el buen funcionamiento de los estándares elegidos e implantados, sino que debe asesorar estratégicamente sobre todos los procesos que, debido a su baja madurez o a la irrupción de nuevos riesgos, pueden requerir una actuación determinante de la alta dirección.

Tomado de: Silicon

1 comentario:

  1. En esta ocasión quiero aprovechar este artículo para hacer una pequeña reflexión sobre el rol de los auditores en las organizaciones.

    Lamentablemente en nuestro país es común escuchar entre los trabajadores algunos lamentos y reparos previo a la ejecución de los planes de auditoria, a tal punto que pareciera ser que se ve a los auditores como un enemigo que atenta contra la labor que desempeñamos en la organización.

    Esta visión general que se escucha a diario, no puede estar más alejada de la realidad.

    En realidad los equipos de auditoria son uno de los principales asesores de la parte directiva de cualquier organización y su labor aporta al mejoramiento continuo y a la detección de malas prácticas que puedan afectar el crecimiento y buen funcionamiento de una empresa.

    Aveces puede ser molesto que un tercero nos señale aquellas oportunidades de mejora que pueden surgir de las actividades que realizamos a diario, pero ese sentimiento va más que todo ligado a nuestro ego de creer que nuestro trabajo es perfecto o inclusive aveces a la pereza o resistencia al cambio de mejorar algo que llevamos tiempo desarrollando y por lo cual damos por sentado que se está haciendo de la forma correcta.

    Por lo anterior, los invito a hacernos las siguientes preguntas:

    ¿Estamos sacando provecho de las recomendaciones y oportunidades de mejora identificadas por los equipos de auditoria?

    ¿Somos sinceros a la hora de suministrar información a los equipos de auditoria?

    ¿Somos sinceros a la hora de reconocer nuestras debilidades y a la hora de aceptar oportunidades de mejora en la labor que realizamos?

    ResponderBorrar