¿Qué es una Auditoría de Seguridad de TI?
Publicado el 22 de febrero de 2018 por Karen Walsh • 5 minutos de lectura
Una auditoría de seguridad de TI a menudo causa estrés dentro de una empresa, pero no es necesario. Para ayudar a proteger contra un evento de amenaza de datos, las auditorías de seguridad incluyen revisiones técnicas que informan sobre configuraciones, tecnologías, infraestructura y más. Estos detalles de datos pueden intimidar a aquellos que se sienten menos expertos en TI, pero comprender los recursos y las estrategias disponibles para protegerse contra los ataques modernos hace que la seguridad de TI sea menos abrumadora.
En su raíz, una auditoría de seguridad de TI incluye dos evaluaciones diferentes. La evaluación manual se produce cuando un auditor de seguridad de TI interno o externo entrevista a los empleados, revisa los controles de acceso, analiza el acceso físico al hardware y realiza análisis de vulnerabilidades. Estas revisiones deben realizarse, como mínimo, anualmente. Sin embargo, algunas organizaciones prefieren hacerlo con más frecuencia.Las organizaciones también deberían examinar los informes generados por el sistema. Las evaluaciones automatizadas no solo incorporan esos datos, sino que también responden a informes de monitoreo de software y cambios en la configuración del servidor y los archivos.
¿Por qué es Importante una Evaluación de Riesgos de Seguridad de TI?
Antes de crear procedimientos y controles en torno a la seguridad de TI, las organizaciones deben determinar su exposición al riesgo. ISACA señala que hay cinco razones principales para establecer una evaluación de riesgos de seguridad empresarial.
En primer lugar, una evaluación de riesgos puede ayudar a justificar los gastos financieros necesarios para proteger a una organización. La seguridad de la información tiene un costo. Los presupuestos ajustados significan que los gastos adicionales pueden ser difíciles de aprobar. Una evaluación de riesgos de seguridad de TI articula los riesgos críticos y cuantifica las amenazas a los activos de información. Al educar a las partes interesadas internas para que puedan ver no solo la exposición, sino también el valor de mitigar los riesgos críticos, una evaluación de riesgos de seguridad ayuda a justificar las inversiones en seguridad.
En segundo lugar, las evaluaciones de riesgos ayudan a optimizar la productividad del departamento de TI. Al formalizar las estructuras que ayudan a la supervisión continua, los departamentos de TI pueden centrarse en revisar y recopilar documentación de forma proactiva en lugar de responder a las amenazas de forma defensiva.
Además, las evaluaciones pueden ayudar a derribar barreras. Comenzar con una evaluación de riesgos de seguridad pone a la administración corporativa y al personal de TI en la misma página. La administración debe tomar decisiones que mitiguen el riesgo mientras el personal de TI las implementa. Trabajar juntos desde la misma evaluación de riesgos proporciona a todos la información que necesitan para proteger a la organización y facilita la aceptación de los esfuerzos de seguridad más allá del departamento de TI.
Las evaluaciones de los riesgos de seguridad de la empresa también establecen la base para la autoevaluación. Si bien el personal de TI conoce el sistema técnico, la red y la información de la aplicación, la implementación depende del personal de otras unidades de negocio. Las evaluaciones de riesgos proporcionan informes accesibles centrados en información procesable, para que todos los involucrados puedan asumir el nivel adecuado de responsabilidad. Para fomentar una cultura de cumplimiento, la seguridad no puede funcionar de forma aislada.
Finalmente, las evaluaciones de riesgos de seguridad ayudan a compartir información entre departamentos. Con proveedores y sistemas individualizados, es posible que los diferentes departamentos de una organización no sepan lo que están haciendo los demás. Dado que la alta dirección de las empresas más grandes debe compartir la responsabilidad, las evaluaciones proporcionan la información necesaria para celebrar debates significativos que respalden la seguridad de TI.
¿Qué Hace un Auditor de Seguridad de TI?
Los auditores de seguridad de TI proporcionan una variedad de funciones. Revisan las operaciones, los informes financieros y el cumplimiento de una organización. Si bien estas áreas parecen segregadas, las tres se cruzan en varios lugares.
Las auditorías financieras incorporan algo más que la revisión estándar de los libros de una empresa. Cuando el Congreso aprobó la Ley Sarbanes-Oxley de 2002 (SOX), la legislación incluía la sección 404. La Sección 404 requiere auditorías del sistema de informes financieros para garantizar el cumplimiento de los controles internos de la compañía. La seguridad de TI, el cumplimiento y los informes financieros se superponen en estas revisiones requeridas por la ley.
Otra área donde los tres se cruzan está en los informes SOC. Muchos clientes requieren que sus proveedores completen una auditoría de Control de Organización de Servicios (SOC). Ya sea que una empresa decida participar en un informe SOC 1, SOC 2 o SOC 3, deberá contratar a un auditor para determinar los protocolos de seguridad de datos de la empresa. Los informes SOC se pueden ver como adyacentes a SOX. Para las organizaciones que anticipan un futuro mandato de cumplimiento de SOX, los informes SOC pueden servir como una preparación valiosa. Por lo tanto, contratar a un auditor de seguridad de TI no solo ayuda a proteger los activos de información de una empresa, sino que ofrece oportunidades para escalar su cumplimiento.
¿Qué debe Buscar una Organización en un Auditor de Seguridad de TI?
Aunque no todos los auditores de seguridad de TI son Contadores Públicos Certificados (CPA), el Instituto Americano de Contadores Públicos Certificados (AICPA) ofrece recursos para conectar organizaciones con CPA que tienen experiencia en ciberseguridad. Combinar los dos conjuntos de habilidades ayuda a desarrollar o proporcionar garantías para los planes de ciberseguridad.
Para las empresas que recién comienzan con los controles de seguridad de TI, la AICPA también comparte investigaciones para ayudar a tomar decisiones importantes, así como un marco para determinar formas de crear prácticas efectivas de gestión de riesgos de ciberseguridad.
A medida que los ataques de malware y ransomware siguen afectando a las empresas, las empresas deben protegerse y garantizar que sus clientes estén seguros. Una filtración de datos puede llevar a la quiebra, especialmente para las pequeñas empresas.
¿Qué es una Pista de Auditoría de seguridad de TI?
El aspecto que más tiempo consume de una auditoría de seguridad de TI es crear el seguimiento de auditoría. Una pista de auditoría consiste en la documentación proporcionada al auditor que muestra pruebas de procesos para asegurar un entorno de TI.
Al prepararse para una auditoría de seguridad de TI, las empresas deben comenzar por organizar los documentos que cumplen con los requisitos de auditoría. La documentación debe demostrar el conocimiento de las empresas y la industria. Debido a que el auditor leerá el informe de auditoría del año anterior, es aconsejable que una empresa lo revise también y recopile pruebas de las acciones correctivas. Además, las empresas deben mostrar las evaluaciones de riesgo, los artefactos de cumplimiento de los estatutos reglamentarios y la evidencia de información financiera desarrollada en el año en curso.
Además, el departamento de TI necesita recopilar información que muestre la estructura organizativa de TI, las políticas y los procedimientos, las normas, la lista de personal, el desempeño de los empleados y los procesos, y las pruebas de control interno. Toda esta documentación muestra hechos que respaldan la opinión del auditor sobre su informe final.
¿Cuál es la Diferencia Entre los Controles Generales y de Aplicación?
Los controles generales se centran en aquellas infraestructuras aplicables a todo el negocio, incluidas, entre otras, las TI. Los controles generales incluyen, entre otros, operativos, administrativos, contables y organizativos.
Los controles de aplicación se centran en las transacciones y los datos dentro de los sistemas de aplicaciones informáticas. Por lo tanto, estos son específicos del panorama de TI de la empresa. Los controles de aplicación enfatizan la precisión de los datos, específicamente la función de entrada, procesamiento y salida (IPO) de la empresa.
¿Cómo Optimiza la Ti la Automatización del Proceso de Seguridad de TI?
Auditar la seguridad de TI requiere una gran cantidad de documentación. Las herramientas SaaS, como ZenGRC, aceleran el proceso de agregar información. También ayudan a las partes interesadas a comunicarse mejor. Cuando varias áreas de una organización crean e intentan implementar sus propios controles, la documentación de auditoría de seguridad se vuelve difícil de manejar y requiere mucho tiempo para compilarla.
ZenGRC simplifica el proceso de auditoría de TI, comenzando con sus módulos de evaluación de riesgos. ZenGRC ofrece módulos de evaluación de riesgos que proporcionan información sobre el riesgo del proveedor y el riesgo de la empresa. Los gráficos de Tendencia de Riesgo y Responsabilidad de riesgo proporcionan imágenes codificadas por colores fáciles de digerir que proporcionan a la administración una visión del riesgo actual de la empresa.
Además, ZenGRC permite a las organizaciones almacenar su documentación de auditoría en un solo lugar. Sin embargo, a diferencia de las unidades compartidas, ZenGRC permite a los administradores moderar el acceso de los usuarios de manera eficiente. Esta moderación mantiene los registros a salvo de manipulaciones y también facilita la comunicación. Mientras que algunos empleados requieren acceso de edición, otros solo necesitan ver documentos. ZenGRC permite a los profesionales de TI seguir los protocolos de acceso de los usuarios, incluso dentro de sus procesos de documentación de auditoría.
Finalmente, ZenGRC genera de manera eficiente informes que satisfacen diversas necesidades. Proporciona a los directivos la visión general que necesitan para comprender el panorama de TI, al tiempo que ofrece a los profesionales de TI un lugar para registrar la profundidad de la información necesaria durante una auditoría de seguridad de TI.