El cambio permanente en las tecnologías es un tema que no puede quedar afuera de la agenda estratégica de cualquier organización. Dejar de lado la renovación tecnológica en los mercados actuales, inevitablemente conlleva una pérdida de competitividad que pone en riesgo la continuidad del Negocio.

El uso de Internet, el correo electrónico, EDI, CRM, ERP, e-Banking son algunos de los tantos ejemplos de cómo las nuevas tecnologías afectan considerablemente la manera en que las Organizaciones trabajan. Pero este cambio trae aparejado nuevos riesgos que deben ser manejados.

Por lo tanto, el desafío de qué auditar no se circunscribe únicamente a aspectos tecnológicos, sino que afecta a todas las áreas de la organización. Inevitablemente esto no es ajeno a la Auditoría de Sistemas y Seguridad, por lo tanto debemos enfocar nuestro trabajo en entender claramente a la Organización y los Procesos Claves de Negocio.

Nuestro Plan de Trabajo tiene que estar enfocado de una manera tal que nos permita generar valor agregado y esto implica enfocarlo hacia el mismo rumbo donde se dirigen los Negocios. Ahora bien, ¿es posible tener una Auditoría que nos permita asegurar el Negocio en forma razonable, aún con tanto cambio?

Desde mi punto de vista, la respuesta es SÍ, es posible. Y para ello es imprescindible entender al detalle normativas internacionalmente aceptadas, donde ya han sido considerados estos temas y se dan soluciones en este aspecto. Es imposible pensar que un área de Auditoría o de Seguridad de la Información esté altamente especializada en todas las tecnologías. Y mucho menos que se actualice con todos los cambios tecnológicos en forma permanente, al menos es prácticamente imposible de una manera costo eficiente.

Por lo tanto, es evidente que la solución no sólo pasa por el conocimiento de la tecnología, sino en entender claramente los procesos que soportan el Negocio. Recuerdo que en una oportunidad, el Directorio de una empresa me solicitó evaluar desde el punto de vista de la Seguridad una aplicación sumamente crítica para el Negocio. Esta aplicación corría en forma local y luego enviaba la información al proveedor del Servicio para finalizar la operación. Entre los temas a revisar estaban, como prioritarios, la seguridad del Control de Accesos y la conexión vía Internet. En una reunión con el proveedor, me contó sobre toda la tecnología de punta que se había implementado para hacer de ésta una aplicación totalmente segura. Que inclusive, esta misma tecnología era utilizada por grandes corporaciones financieras a nivel internacional, con lo cual no había de qué temer.

Mi pregunta fue simple :

Siendo esto tan seguro, ¿podemos entonces firmar un contrato que ante cualquier diferencia de contenido entre Uds. y lo que diga la empresa, se tomará como cierta la información contenida en la PC local?

Automáticamente dejó de ser tan segura. Si bien la aplicación fue implementada, la seguridad se basó en el Proceso y no en la Tecnología, que finalmente se utilizó para mejorar la eficiencia del proceso.

Con esto quiero decir que no sólo es necesario tener conocimientos técnicos que nos permitan llegar a conclusiones. Hay que entender claramente los objetivos de Negocio y entender cómo se gerencia la Seguridad dentro de una empresa es un paso vital para llegar al éxito.

Como conclusión, creo que es posible mitigar el riesgo del Cambio Tecnológico, que en definitiva es nuestro objetivo final, pero no atacando la tecnología en sí misma. Como todo en Seguridad, es un Proceso Integral que requiere una participación multidisciplinaria con una visión única:

Asegurar los Objetivos de Negocio.