LA AUDITORIA TI GENERA UN VALOR INMEDIATO / Por: Francisco Robledo Saavedra Gerente de Cuentas Corporativas Softline International del Perú
La auditoria siempre ha sido relacionada al seguimiento de evidencias o al requerimiento de miles de reportes o documentación, que indiquen que un proceso crítico dentro de la compañía, cumple con una serie de normativas de gestión y control.
Hoy, cada vez más, las empresas en el Perú han empezado a destacar la importancia de realizar un proceso de auditoría a su área de Tecnologías de la Información (TI), a fin de de evaluar los procesos que en la actualidad esta área sostiene, y donde se espera principalmente cumplir con diversos objetivos como el cumplimiento de normativas y certificaciones, identificación de las áreas de riesgo financiero y/o legal en los sistemas de información y el reconocimiento de las áreas de control en la gestión de TI.
Todo esto debido principalmente a que según el tipo de empresa, y el rubro de clientes a los que este enfocado, existen importantes regulaciones para los procesos de sistemas de información, que ahora se exige para seguir operando en el mercado con liderazgo, competitividad y ventajas diferenciadoras que distingan a la organización sobre sus similares.
En este sentido, por ejemplo, las entidades financieras deben cumplir con una serie de normativas, emitidas por la Superintendencia de Banca y Seguros (SBS), que reglamentan la seguridad de la información y la continuidad del negocio. En el caso de las mineras y empresas inmobiliarias, estas deben presentar informes ante la Unidad de Inteligencia Financiera.
También figuran las entidades reglamentadas por la reciente norma técnica peruana publicada, "NTP ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información”. Finalmente, la aplicación de Ley de protección de datos personales, Ley Nº 29733; entre otras.
Sobre este escenario es que las compañías empiezan a entender lo importante que es contar con auditorías IT, que, sin duda, soportan y apoyan la identificación de elementos que permiten mejorar las áreas de sistemas de información y el mejoramiento continuo de la entidad.
En este sentido, se presentan tres procesos del área de TI, donde la auditoria de TI, agrega valor de manera inmediata. La primera definida como Continuidad del Negocio. Este proceso involucra, todos los pasos necesarios que deben ser tomados para que en caso de un eventual percance en el área de sistemas de información, la compañía pueda continuar prestando el servicio a sus clientes. Aquí, usualmente, el gerente general debe establecer cuanto tiempo está dispuesto a laborar sin sus sistemas de información o cuanta información puede permitirse perder, en caso de un daño en la infraestructura de sistemas. Por su parte, el gerente de TI evalúa todas las posibles soluciones y cómo minimizar estos tiempos. Aquí es donde una Auditoria de TI periódica hará más “confiable” estas soluciones.
El segundo proceso comprende la Seguridad de la Información, donde se gestiona y controla la confidencialidad de la información de la compañía, previendo la fuga o pérdida de la información, así como los casos de detección de intrusos. Hay que tener en cuenta que por reportes, más del 70% de los casos de robo de información corporativa se hacen por personal interno. Para cada uno de los controles que el área de sistemas pueda utilizar, un servicio de auditoria de TI anual, ayudara a identificar eventuales riesgos que deban ser incluidos en los planes de mejora.
Por último, el tercer enfoque comprende la Gestión de Activos de Software, que es conocido como SAM por su significado en inglés “Software Asset Management”, que constituye un proceso importante para el área de Sistemas de información porque permiten la obtención y comprensión de los siguientes datos: cuántas licencias tiene la empresa, dónde se encuentran instaladas y quien realmente las utiliza. Todo esto con el objetivo de ayudar a la compañía a mejorar sus procesos de inversión anual en software, independiente del tamaño de las mismas. Hacer de estos procesos una regla perenne en la empresa puede ayudar a evitar el riesgo de tener problemas legales cuando el uso de SAM garantiza el estar debidamente auditados para que el gerente general y los accionistas, estén más tranquilos sobre las licencias originales que la compañía utiliza. Son solo estos tres ejemplos, de los muchos que, actualmente, el área de sistemas de información, puede mantener con un mejoramiento continuo con un servicio, que normalmente es tercerizado, para que los decisores de la compañía sigan potenciando el core del negocio.