CIBERSEGURIDAD

¿Por qué contratar la auditoría de seguridad de TI a auditores externos?

0 80 3 minutos de lectura


La auditoría de seguridad de TI consiste en crear evaluaciones cuantificables de los activos de TI, como servidores, equipos cliente, activos de hardware, aplicaciones que se ejecutan en ellos y los datos almacenados en ellos.
Estas evaluaciones son importantes para garantizar la seguridad de estos activos a la luz de las amenazas que prevalecen en la tecnología moderna. En los viejos tiempos, cuando los datos se almacenaban en cintas y disquetes, garantizar la seguridad de dichos activos era mucho más sencillo.
Pero en los últimos años, en el contexto de algunos fraudes corporativos importantes que sacudieron al mundo, la evaluación realizada por las agencias federales reveló que las organizaciones se habían retrasado en adaptarse a los nuevos desafíos de seguridad. El resultado fue una gran cantidad de estándares regulatorios como SOX, HIPAA, GLBA y PCI para salvaguardar los intereses de todas las partes interesadas del negocio.
Entonces, ¿quién puede realizar una auditoría? La auditoría de TI puede ser realizada por reguladores federales o estatales, auditores externos, auditores internos y consultores que pueden ayudar a una organización a mantener la «queja» de auditoría. Tradicionalmente, la mayoría de las empresas dependían de auditorías internas para cumplir con los requisitos de cumplimiento. Sin embargo, con los requisitos cambiantes y la norma de centrarse en la competencia central, muchas de las organizaciones esperan poder recurrir a la auditoría interna.
Una encuesta reciente reveló que alrededor del 40 por ciento de las empresas que realizaron auditorías internas resultaron en fallas de auditoría, y este número aumentó cerca del 60 por ciento en el caso de las empresas que tomaron la ayuda de auditores externos. Hay dos inferencias que se pueden extraer de este estudio: en primer lugar, la mayoría de las organizaciones, especialmente las pequeñas y medianas, todavía no están haciendo lo suficiente para garantizar la seguridad de la red de TI. En segundo lugar, las organizaciones que optaron por la auditoría externa reportaron mayores fallas de auditoría, probablemente porque los auditores externos realizaron una auditoría más profunda.
La auditoría, en su mayor parte, implica una serie de tareas como evaluar la seguridad física de los activos, crear una lista de todos los recursos de TI, entrevistar al personal del servicio de asistencia de TI y a los administradores, etc. La auditoría interna en el nivel más básico debe comenzar con la creación de una red mapa que enumerará todos los dispositivos en la red, todas las aplicaciones que se ejecutan en ellos, el número de versión de las aplicaciones, quién, cuándo y dónde se instalaron estas aplicaciones, etc.
Esta información se puede comparar de vez en cuando para medir la eficacia de la estrategia de auditoría. Hay una serie de aplicaciones de auditoría gratuitas que pueden ayudarlo a realizar las tareas mencionadas anteriormente, como Microsoft Baseline Security Analyzer, Open-AuditIT y Nmap, por nombrar algunas.
Entonces, ¿por qué utilizar auditores externos? Teniendo en cuenta los desafíos de seguridad actuales frente a las organizaciones y los estándares regulatorios, las organizaciones deben invertir una fortuna para poder crear una organización casi libre de riesgos y compatible. Una vez que esté al tanto de la auditoría, mantenerla durante un largo período de tiempo requiere una inversión significativa en recursos durante años.
Teniendo en cuenta la feroz competencia y el estrecho margen de beneficio en el que operan muchas de las empresas, es lógico enviar los requisitos de auditoría a auditores externos. Pero esta es solo una de las razones.
Los auditores externos, con la auditoría como su competencia principal, tienen el tipo de capital de conocimiento y la agilidad que se requieren para cumplir con el entorno empresarial que cambia rápidamente y la realineación resultante que requiere la estrategia general de auditoría.
Como responsable de la toma de decisiones, puede obtener la auditoría interna de forma parcial o total. Aunque en la actualidad, la subcontratación completa es poco común, muchas de las empresas se están moviendo hacia un enfoque mixto en el que ciertos aspectos de la auditoría se subcontratan a auditores externos.
Hay una serie de factores que deben tenerse en cuenta antes de tomar una decisión sobre «qué» y «cuánto» subcontratar. Los pocos factores de decisión importantes que deben guiar este juicio son la competencia organizacional para realizar una auditoría exitosa, los cumplimientos regulatorios que deben cumplirse y si la organización tiene la mano de obra, las habilidades y la flexibilidad necesarias.
Si se implementa con éxito, la auditoría subcontratada puede aportar inmensos beneficios a la organización, como funciones optimizadas, procesos más recientes, habilidades de primer nivel y, sobre todo, un entorno de TI seguro y sin riesgos.

Satyendra Tiwari está asociado con Software de Lepide como gerente de pruebas y marketing de productos.

Publicaciones relacionadas

Número de registro de violaciones de datos

24,3 millones de datos confidenciales de pacientes descubiertos en línea.

Google prohíbe seis aplicaciones de Android que contienen el siniestro malware Joker

El viaje hacia la automatización de la seguridad

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar