Auditoría de seguridad de la información ¿estamos listos?

Publicado el | por blogcapa8

Por lo general, cuando escuchamos la palabra “auditoría” en nuestra empresa pareciera que es una palabra de terror debido a que en el entorno laboral una auditoría puede parecer algo intimidante cuando alguien ajeno a nuestro entorno evalúa si estamos haciendo algo bien. Así surge la incertidumbre de “pasar el examen”.

Una auditoría, por definición, es un proceso de negocio que se utiliza de manera formal para evaluar la calidad de la información en relación con los procesos de negocio y para conducir a la empresa hacia la mejora continua. La auditoría puede ser interna (realizada por un área dentro de la empresa) o externa (realizada por un tercero).

Quitarse el miedo

Una auditoría puede aportar más que perjudicar, ya que nos ayuda a mejorar y a entender las áreas de oportunidad de nuestras tareas. Por esta razón, hay que tomarla como un aporte laboral, es decir, es un elemento de ayuda que beneficiará el cumplimiento de nuestras funciones:

  • Alinear los objetivos a cumplir con las metas del negocio
  • Crear propuestas de mejora ante la detección de observaciones o no conformidades
  • Aumentar la productividad en términos de optimización de recursos físicos
  • Presentar más transparencia en los roles y funciones
  • Tener la posibilidad de obtener una certificación

El peor escenario es el incumplimiento. Por fortuna, una de las tareas de la auditoría es señalar en dónde se encuentra la falla y, por consecuencia, está deberá arreglarse para que en un futuro los resultados de la auditoría sean positivos.

¿Auditoría interna o auditoría externa?

Una auditoría interna tiene como objetivo comprobar el cumplimiento de las metas y objetivos de las prácticas y procesos de negocio dentro del entorno organizacional, el cual está conformado por personal de la misma empresa y que, hasta cierto punto, genera un ambiente más relajado, ya que los hallazgos que pudieran ser detectados son tratados como áreas de oportunidad.

La auditoría externa, a diferencia de la interna, provee una revisión más exhaustiva, profesional y sistematizada de las prácticas y procesos que exige una norma o un estándar de calidad. Esta auditoría es realizada por personal independiente a la empresa y está predefinida con una serie de revisiones obligatorias que permiten detectar debilidades o incumplimientos en su aplicación para lograr la obtención de un certificado o reconocimiento de cumplimiento. Por lo tanto, una auditoría externa contará con 3 fases principales:

Figura 1. Fases de una auditoría

A continuación, se presentan algunas recomendaciones que podrás llevar a cabo en cada una de las fases en caso de una próxima auditoría.

Recomendaciones para la planificación

  1. Realizar una revisión previa de cada uno de los procesos o sistemas que están proyectados para evaluarse.
  2. Entender y conocer cuál es el objetivo de la auditoría (una certificación, recertificación, revisión, etc.).
  3. Entablar canales de comunicación entre las áreas o recursos involucrados en la auditoría con el fin de presentar información que esté relacionada y sea coherente.
  4. Repasar lo que se va a mostrar. No debemos permitir que durante el procedimiento de la auditoría aparezca una falla, información inconsistente o no prevista.
  5. No hacer ajustes de último momento, ya que esto puede afectar los documentos probatorios de otras áreas o recursos; es por esto que se debe prevenir este tipo de incidente en la fase de planificación.
  6. El respaldo de información es crítico previo a la auditoría.

Recomendaciones para la ejecución o realización de la auditoría

  1. Se deberá mostrar únicamente lo que el auditor solicite. Mostrar más puede propiciar la apertura a más preguntas y una solicitud de documentos probatorios, mostrar menos puede ser un indicativo de incumplimiento para el auditor.
  2. Mismo caso en las respuestas; responder de forma directa a la pregunta. Al extenderse en la respuesta o no ser conciso, el auditado puede ser más propenso a extender el tiempo de la auditoría.
  3. Pareciera irrelevante, pero mostrar seguridad durante el proceso puede incrementar la probabilidad de éxito en los resultados de la auditoría. Si existieran equivocaciones (como presentar datos erróneos en documentos probatorios o información), lo más recomendable es buscar una oportunidad para corregir el error con una actitud de confianza.

Recomendaciones en la revisión del informe y plan de acción

  1. Es importante tomar nota de las observaciones que haga el auditor al final de la auditoría.
  2. Si existen objeciones, se deben emitir de manera clara y objetiva teniendo a la mano los documentos que las justifiquen. En caso de ser rechazadas, lo mejor es permitir que el auditor concluya la sesión y solicitar una audiencia privada; esto permitirá un aumento en la probabilidad de éxito.
  3. Posterior a la emisión de resultados, es importante convocar una sesión de lecciones aprendidas para revisar los resultados y elaborar los planes de acción que permitan cumplir o mejorar los procesos o prácticas auditadas

Finalmente, una auditoría evalúa a los empleados como una unidad, como una empresa y el resultado de la misma es directamente proporcional al esfuerzo de un trabajo en equipo. Por lo tanto, independientemente de una certificación, el resultado es la obtención del valor y la calidad de los procesos de negocio para entregar servicios de calidad.

Por Diana Cadena