He escuchado en muchas ocasiones esta pregunta ¿Y qué hace un auditor?, y generalmente los que formulan esta preguntan se responden así mismos con otra pregunta "¿Acaso no hacen lo mismo que los testers o un supervisor, es decir verifican el cumplimiento de ciertas normas establecidas?", bueno, desde el punto de vista de ejecución de tareas, presentan cierto porcentaje de similitud. Reduciéndolo en tres pasos simples, primero, analizar los estándares o políticas a verificar, segundo, ejecutar un checklist de las verificaciones, y tercero, emitir un informe de la evaluación. Listo, sin embargo un auditor de TI desde el punto de vista holístico, realiza evaluaciones de manera imparcial para presentárle a la alta dirección o gerencia hallazgos de incumplimiento a las normas en las que se encuentra sujeta la organización. En pocas palabras, el auditor debe elaborar todo un ecosistema interno para lograr un informe fidedigno de los hallazgo realizados. ¿Cómo hace posible dicha auditoría? y ¿Por qué el personal tiene miedo a las auditorías? Veamos.

Auditoría de TI

Los auditores de TI necesitan trabajar en base a un Plan de Auditoría, para ello lo primero que se debe hacer es establecer un documento de Plan de Auditoría donde se contemple claramente el alcance de esta auditoría, es decir qué áreas, procesos, cargos será los sometidos a la auditoría. Por ejemplo, si el alcance indica que solamente se auditará al área de programación y testing, se estaría excluyendo explícitamente al área encargada del despliegue o producción. Otro ejemplo, si se desea auditar que los motores de bases de datos existentes en la organización, como SQL Server, Oracle, etc, respecto al cumplimiento en ciertos estándares y reglas establecidas, queda claro que el alcance abarca revisar todos los objetos del motor como diseños de procedimientos almacenados, tablas, sinónimos, etc., pero no la manera de consumo realizado por las aplicaciones.

Tras ello se inician las tareas de pre auditoría, donde se conversa con los auditados para entender su flujo de trabajo y actividades relacionadas al alcance, y así entender de dónde obtendrá evidencia de cumplimiento o incumplimiento. Tener un ambiente de buena relación entre auditor y auditado harán que los objetivos de la auditoría tengan un fortalecimiento de mejora continua en el trabajo y de lecciones aprendidas.

Auditados y Reunión de datos

Aquí es donde los auditores de TI demuestran su habilidad en manejo de reunión de datos, registro de información en planillas, herramientas de automatización, etc. En auditoría la recolección de evidencias a través de una muestra de datos es primordial y depende mucho de la experiencia del auditor líder y sobretodo de su criterio, criterio en determinar si se cumple o no lo escrito en las normas de la empresa.

En el mercado existen varios recursos de buenas prácticas para la auditoría de TI los cuáles orientan al auditor líder en definir la lista de tareas a realizar en la auditoría. Tenemos a COBIT5 y Cyber Security Resources de ISACA, el estándar PCI DSS Payment Card Industry Data Security Standard, ITIL, NIST, ISO 27001, entre otros.

Si hablamos de auditoría de TI avanzada, estaríamos hablando de una auditoría soportada por la inteligencia artificial, machine learning y big data, esto es útil para ambientes donde la información es gingantesca y se necesita determinar fraudes transaccionales, contables, financieros, etc. a través de la información digital y aplicaciones que presente la organización.

Consejo audit

La colaboración y el trabajo en equipo es importante para empujar hacia adelante el plan de auditoría de tecnologías de la información, y no solamente basta con revisar lo que se cumple o no, se necesita altas habilidades blandas como liderazgo, trabajo en equipo, empatía y proactividad. Se sugiere estudiar cada vez más las nuevas herramientas del mercado y sacar el máximo provecho de ellos. En audit brindamos cursos sobre PowerShell y la potencia que brinda ante una auditoría.