Hoy día es prácticamente imposible encontrar empresa alguna que no se apoye en el uso de sistemas de información para su operación. La información y el conocimiento que podamos generar con ésta, continúa siendo uno de los tópicos más relevantes para cualquier compañía. Por lo que, en el mismo tenor es una constante hablar sobre la importancia de la seguridad informática. Muchas organizaciones, adoptan diferentes medidas para evidenciar su preocupación por el tema. En algunos casos es real, en otros, se trata solo de un aspecto de cumplimiento.

A saber, cualquier estrategia de seguridad informática, arranca con una evaluación preliminar que captura la foto de la situación actual de la compañía y de ahí se delinean las fases y actividades necesarias para conformar un plan integral. Después de ejecutado dicho plan, una manera de validar si vamos por el camino correcto es revisar el nivel de cumplimiento de los controles implementados. Llevar a cabo una práctica de auditoría en seguridad informática, puede ser un mecanismo adecuado.

Hasta este punto, todo parece sencillo. Sin embargo, las prácticas de auditoría, al menos en TI, en mi experiencia, están subentendidas y sobrepagadas. Al igual que muchos otros conceptos de TI, la palabra “auditoría” ha tomado connotaciones fuera de la realidad que actualmente viven las organizaciones. El primer reto está en seleccionar a la firma que ejecutará la auditoría -aspecto del que he hablado en otras ocasiones- por la importancia de evaluar estrictamente tanto la empresa como las habilidades y conocimientos por parte de sus auditores.

Suponiendo que éste obstáculo está superado, se procede a ejecutar la auditoría y con los hallazgos encontrados, corresponde una revisión preliminar al dictamen entre ambas partes –la entidad auditora y nosotros- para asumir/responder dicho reporte y definir el conjunto de acciones de remediación a ejecutar en orden de prioridad, en función del impacto y/o riesgo latentes. Una vez acordado, se emite el dictamen final.

Aquí se presenta un nuevo reto. Obtener el patrocinio por parte de la Dirección para la implementación y seguimiento de las acciones de las medidas correctivas y/o preventivas como resultado de esos hallazgos.

En decir, más importante que la auditoría en sí misma, está la revisión del cumplimiento de estas acciones, no hasta el próximo ejercicio de auditoría, sino de forma periódica y en el mediano plazo, para asegurarnos que estamos transitando por la ruta correcta. He visto infinidad de reportes de auditoría en seguridad informática, que quedan justo en eso. Reportes que en un sentido teórico deberían ser el insumo de los sucesivos ejercicios, pero en el cotidiano pasan a formar parte de la documentación confidencial del área de TI o de la Dirección.

Las razones para minimizar un reporte de auditoría pueden ser múltiples. Pero la que más peligrosa me parece es que en un afán de “no perder” al cliente, la firma auditora acepte complacientemente suavizar el informe revocando las recomendaciones más críticas. En ocasiones puede tratarse de un aspecto presupuestal para implementar todas las acciones deseables o sugeridas. Algunas otras por el temor a sufrir daños en la imagen corporativa ante inversionistas y/o clientes, pues atacar el problema, requiere reconocerlo.

Una práctica sana, -aunque no muchas veces factible- es no promover que la firma que realiza la evaluación inicial, sea la misma que ejecuta la auditoría. Y que no ocupemos a ninguna de ellas para la implementación de algunas de las medidas sugeridas en cualquiera de las etapas, asegurando así total imparcialidad y objetividad durante el proceso.

Es más notorio en las empresas pequeñas, pero las grandes no están exentas. Es entendible en las primeras, pero menos justificable en las segundas, en las cuales el valor de la información y las prácticas de seguridad son indispensables.

Por lo que, resulta conveniente que, si emprendemos el camino tortuoso de una auditoría informática, desde inicio ubiquemos al patrocinador adecuado en la organización; y que por cierto, no necesariamente tendría que ser la Dirección General, pues desde su rol, podría ser más conveniente dejar el dictamen apilado sobre su escritorio.

Sin duda, es un tema de conciencia y madurez organizacional, de proporciones no menores, pues hablamos precisamente de lo más valioso, salvaguardar y proteger uno de los activos más importantes de nuestra empresa, la información.