9 maneras en que los CIO pueden utilizar las auditorías de TI de forma creativa

Si bien las auditorías no son divertidas, puede usarlas para su beneficio y ayudar a mejorar la TI en toda la organización.

Imagen: tashatuvango - stock.adobe.com

Imagen: tashatuvango – stock.adobe.com

Si es un director de información o un líder de TI, la auditoría de TI externa es casi siempre un proyecto impopular.

Piensa en cuánto tiempo le tomará a los proyectos críticos y en el impacto en su personal más valioso, a quien se le harán preguntas sobre documentación y detalles de procedimientos que, aparte de la seguridad, rara vez se revisan en el transcurso de un día.

Estas auditorías, que casi siempre arrojan algunos hallazgos, también son temas impopulares para que los directores de TI y los líderes de TI los discutan con la junta directiva.

A pesar de estos sentimientos, existen formas útiles de emplear auditorías de TI externas para ayudar a mejorar la TI en toda la empresa, lo que en última instancia puede beneficiar tanto los objetivos estratégicos como los operativos. Aquí hay nueve formas de aprovecharlas:

1. Análisis de deficiencias

En una empresa, una auditoría de TI confirmó la seguridad hermética en los activos de TI centrales, pero detectó políticas de seguridad y protecciones sueltas en varias oficinas de campo. Sin el conocimiento de TI, los usuarios de estas oficinas habían traído algunos de sus propios equipos sin tomar las precauciones de seguridad adecuadas. Las políticas estaban ahí, pero la práctica no. Una prueba de seguridad y vulnerabilidad de auditoría reveló la exposición y, con ella, una brecha en la cobertura de seguridad de TI que no fue lo suficientemente lejos para monitorear y hacer cumplir adecuadamente la seguridad en las oficinas de campo remotas.

¿Habría visto esta brecha por sí solo? Probablemente. Pero la pregunta es, ¿cuándo se habría descubierto esa brecha?

En otro caso, una política escrita para traer su propio dispositivo (BYOD) no se había actualizado durante tres años. El auditor señaló la necesidad de una actualización. ¿Habría llegado a revisar esta política sin que se le solicite? Probablemente en algún momento, pero ¿cuándo?

En ambos casos, una firma de auditoría externa cuyo mandato era encontrar los vacíos, encontró fallas antes de que ocurriera un ataque malicioso.

2. Sugerencias de mejores prácticas

Un auditor de TI revisa las políticas, los procedimientos, la ejecución del sistema y los flujos de trabajo de TI.

Con nuevas tecnologías como AI (inteligencia artificial) e IoT (Internet de las cosas) que se incorporan, junto con la aparición de nuevos enfoques como DevOps y la aparición de desarrolladores ciudadanos, las empresas deben reconsiderar cómo operan y respaldan su TI.

Muchos aún no se han decidido por la implementación y las operaciones de la organización de TI para estas funciones más nuevas y están operando de manera algo informal.

Una firma de auditoría externa, que supervisa las operaciones de muchas organizaciones diferentes, puede ofrecer las mejores prácticas que ayuden a TI a definir las mejores estructuras organizacionales y enfoques de soporte para nuevos métodos y sistemas.

3. Consultoría puntual

Las firmas de auditoría externas aportan más que experiencia en revisiones de sistemas, políticas y procedimientos. También cuentan con expertos en personal en áreas como seguridad informática.

En el caso de las pequeñas y medianas empresas en particular, existe la oportunidad de contratar a una empresa de auditoría en consultoría “puntual” para el personal en un área como la seguridad de TI, el establecimiento y administración de controles de seguridad adecuados y el diseño de políticas de seguridad. y procedimientos.

4. Seminarios y cursos

Las firmas de auditoría externas ofrecen seminarios y cursos en las áreas de seguridad y cumplimiento. Esta formación es particularmente útil para empresas que tienen una función de auditoría interna y / o para departamentos de TI que realizan auditorías internas de sistemas y redes como parte de su carga de trabajo normal. Además, la participación periódica en el seminario o la sesión informativa de una empresa de auditoría puede alertar a TI sobre nuevos tipos de amenazas de seguridad y contribuir a la preparación de TI para estas amenazas.

La participación en los seminarios de auditores también puede ahorrarle a las empresas los costos legales en los que de otro modo incurrirían cuando deban consultar a un abogado sobre los cambios regulatorios y de cumplimiento que afectan a sus industrias. Los costos se ahorran porque las empresas pueden tomar conciencia de estos cambios por sí mismas. Esto les da la oportunidad de tomar el conocimiento y actualizar sus sistemas para reflejar las revisiones regulatorias y de cumplimiento.

5. Revisiones de seguridad previas al despliegue de nuevas tecnologías

Ya sea que se trate de una verificación de cumplimiento, una verificación de seguridad o una verificación de que todas las políticas y procedimientos que respaldan un nuevo sistema o método están implementados, a menudo es una buena idea solicitar a una firma de auditoría externa que revise todas estas áreas por adelantado. de un sistema principal o implementación de un método.

La revisión externa asegura que no se hayan pasado por alto áreas críticas de seguridad, cumplimiento, políticas y procedimientos, y contribuye a una instalación sin problemas del sistema o método.

6. Recomendaciones y exámenes de los proveedores

Durante el proceso de RFP (solicitud de propuesta), es fundamental asegurarse de que los proveedores que está considerando cumplan con los estándares de su industria y que respalden los niveles de seguridad y gobernanza que espera.

Si hay alguna duda sobre esto, o si desea un conjunto de “ojos externos” para evaluar al proveedor, una firma de auditoría externa puede ser un buen lugar para acudir.

7. Adquisición de políticas

Cuando era CIO, hubo varias ocasiones durante las auditorías de TI en las que nuestro auditor externo identificó una política o un procedimiento que nos faltaba.

En casi todos los casos, le pedí al auditor un ejemplo de política y procedimiento, y me lo proporcionaron. Esta fue una gran ayuda. Eliminó nuestra necesidad de desarrollar estas políticas y procedimientos “desde cero” y brindó acceso a las políticas y procedimientos de mejores prácticas en las áreas donde los necesitábamos.

8. Revisiones de documentación

Documentación es la pesadilla de la TI. En consecuencia, la documentación de TI es deficiente o falta por completo.

La falta de buena documentación afecta el tiempo de resolución cuando ocurre un problema del sistema. Esto crea tiempo de inactividad para el sistema, sus usuarios y la empresa. Mientras tanto, los programadores de soporte del sistema deben intentar descifrar rutinas indocumentadas o pobremente documentadas para averiguar dónde fallan las rutinas y cómo solucionarlas.

Dado que el tiempo de inactividad es algo que las empresas no pueden permitirse, una revisión de la documentación y la identificación de áreas deficientes por una firma de auditoría externa puede ayudar. La firma de auditoría puede revisar la documentación de aplicaciones, políticas, procedimientos y operaciones del personal de TI en sistemas, aplicaciones, bases de datos, redes y cualquier otra área que usted solicite.

9. Revisiones de TI del área de usuarios

Con el crecimiento de los desarrolladores ciudadanos, la TI en la sombra y la computación perimetral, las firmas de auditoría de TI externas pueden revisar el estado de estos sistemas que se implementan en las áreas de usuarios finales.

Los sistemas se pueden revisar en cuanto a seguridad, políticas, procedimientos, gobernanza y cumplimiento. Esto puede ser una gran ayuda para las empresas que tienen TI en la sombra a gran escala que pueden abrirse independientemente de TI, porque la firma de auditoría puede identificar brechas y vulnerabilidades que pueden haberse pasado por alto.

Siga estos artículos sobre la estrategia de TI y las mejores prácticas:

Cómo negociar con proveedores de software para obtener las mejores ofertas para 2021

IT Pivots: lecciones de supervivencia de un año turbulento

Formas de ayudar a los CIO y CFO a calcular los costos y el ROI de la nube

Mary E. Shacklett es una comentarista de tecnología reconocida internacionalmente y presidenta de Transworld Data, una empresa de servicios de marketing y tecnología. Antes de fundar su propia empresa, fue vicepresidenta de investigación de productos y desarrollo de software para la información de la cumbre … Ver biografía completa

Agradecemos sus comentarios sobre este tema en nuestros canales de redes sociales, o [contact us directly] con preguntas sobre el sitio.

Más información

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí