El papel del auditor de sistemas ante los nuevos riesgos en los centros de datos
Un auditor debe considerar en su informe tanto los riesgos identificados como las medidas que se han tomado para controlarlos.
¿Qué papel juegan los auditores ante los nuevos riesgos a los que se enfrentan los data center? ¿Existe una metodología que minimice los riesgos? DatacenterDynamics ofrece las claves en MCSS, la jornada de ciberseguridad que se celebra el 7 de abril en el marco de la 9ª edición de DCD Converged España.
1. Función de Auditoría
La función de auditoría interna moderna puede considerarse como la asesoría independiente a la alta dirección sobre los riesgos que existen en la organización y la evaluación sobre la posibilidad de que estos riesgos puedan afectar negativamente a la sostenibilidad de la misma.
Desde este enfoque, que no coincide plenamente con la definición clásica, el auditor debe considerar en su informe tanto los riesgos identificados como las medidas que se han tomado para controlarlos. Estas medidas suelen estructurarse en un conjunto de controles que, para que sean efectivos deben estar definidos, implantados y verificados periódicamente.
El conjunto de las citadas medidas mitigatorias se conoce como Modelo de Control y su efectividad real conduce a una mejora de la madurez, lo que en definitiva acerca a la organización a su sostenibilidad. Para ello el auditor debe contemplar diversos horizontes temporales en concordancia con la naturaleza y evolución de los mencionados riesgos.
En el mundo actual se constata que una gran parte de los riesgos existentes tienen una importante vertiente tecnológica, derivada de la ubicuidad de los sistemas de información y de la creciente digitalización de los procesos empresariales. Esto obliga a que la labor del auditor deba incorporar una fuerte componente tecnológica. Su correspondiente “profesionalización” ha conducido a la aparición de la denominada “auditoría de sistemas”.
Por lo tanto y adaptando la definición inicial, los auditores de sistemas asesoran de forma independiente a la alta dirección sobre los riesgos de naturaleza informática que pueden dificultar la sostenibilidad de la organización.
2. Rol del auditor en el Centro de datos
En los últimos años han surgido en el sector diversas metodologías que pretenden minimizar los riesgos en los sistemas informáticos, tanto en el desarrollo de sistemas, como en su operación. Estas metodologías (ITIL, CMMI, ISO 27000, ISO 20000 etc…) han introducido paulatinamente un conjunto de rutinas y estándares que han hecho eficaz, predecible y madura la labor de la informática corporativa.
Una de las actividades del auditor de sistemas es evaluar el buen funcionamiento de estos estándares, a través de la verificación periódica de los controles asociados. Esta tarea tiene una dimensión básicamente táctica, que tradicionalmente se ha considerado de “inspección”.
Asimismo, y ya en un plano más estratégico, debe analizar la ausencia de algunos de estas metodologías y recomendar si es conveniente su implantación, en función de los riesgos que pueda presentar.
Para su labor, el auditor de sistemas se apoya también en metodologías, por ejemplo CobiT, que tienen un carácter de alto nivel y pretenden asegurar una actuación profesional y verificable.
Es importante hacer notar que hoy en día el centro de datos no debe considerarse tan solo como un edificio dedicado a ordenadores. En la informática actual el sistema está compuesto por multitud de redes, equipos, usuarios y entornos de terceros, interactuando continuamente. Por ello la frontera de la actuación de los auditores de sistemas cubre todo el procesamiento, almacenamiento y protección de la información de la organización, independientemente de su ubicación.
3. Continuidad de negocio
Una de las medidas mitigatorias más potentes que se pueden establecer en este ámbito es el conocido como “Plan de continuidad”. En el mundo informático este plan se vertebra alrededor del “Plan de recuperación frente a desastres” y su implantación mitiga de forma genérica una gran cantidad de riesgos, ofreciendo una alternativa de proceso para los casos en que los mismos deriven en incidentes que no puedan ser manejados de forma efectiva.
Este plan se diseña, implanta y verifica con la ayuda de algunas normas (BS25999, ISO 22301) que facilitan un correcto enfoque del plan. Aquí también es crucial la labor del auditor de sistemas, como en el resto de metodologías ya comentadas, pues debe ser quien certifique que el plan es efectivo. El auditor de sistemas es parte del plan y su actuación se describe en las normas.
4. Nuevos retos actuales
La rápida evolución de las tecnologías del mundo digital conlleva la aparición constante de nuevos riesgos, los cuales no pueden estar contemplados en su totalidad en las normas. Es importante tener en cuenta que ninguna normativa puede ser considerada completa.
Es tarea de todos los actores de este sector mantenerse al tanto de estos riesgos para considerar formas de mitigarlos. En este punto es fundamental la tarea del auditor de sistemas, pues debe asesorar sobre todo lo que pueda afectar a la organización.
En ese sentido y entre otros, se pueden mencionar:
- Ataques telemáticos
- Ciberseguridad en redes y comunicaciones, en redes abiertas y redes mixtas
- Riesgos del uso de “Cloud computing”
- Riesgos del uso de “redes sociales”
- Nuevas obligaciones regulatorias
- Por ejemplo, en protección de datos de carácter personal
- Nuevos diseños de centros de datos (Activo-activo).
- Efecto en los planes de continuidad.
- Ciberseguridad en infraestructuras críticas y estratégicas
- Redes de control industrial
- Nuevos dispositivos en la red
- BYOD
- Internet de las cosas
5. Conclusión
La labor del auditor y en particular del auditor de sistemas constituye un elemento crítico para la sostenibilidad de la organización en el mundo digital actual.
Su tarea no se limita a verificar el buen funcionamiento de los estándares elegidos e implantados, sino que debe asesorar estratégicamente sobre todos los procesos que, debido a su baja madurez o a la irrupción de nuevos riesgos, pueden requerir una actuación determinante de la alta dirección.