EscucharUsted seguro recuerda cómo el hackeo a los sistemas del Ministerio de Hacienda afectó la declaración y pago de impuestos en 2022, así como de aduanas para las actividades de importación y exportación.
También cómo el 19 de julio de 2024 un fallo ocasionado por un error de código del antivirus Falcon de la firma de ciberseguridad CrowdStrike colapsó los equipos con el sistema operativo Windows, de Microsoft, y afectó a ocho instituciones públicas en Costa Rica y a no pocas aerolíneas, hospitales y bancos, entre otros, a nivel global.
Y, más recientemente, cómo la caída de los servicios de telefonía móvil, Internet y televisión por suscripción de Liberty afectó a los usuarios de este operador por varias horas durante tres horas la noche del sábado 22 de marzo.
¿Se imagina su tienda, supermercado, fábrica o negocio paralizado por un fallo informático repentino? Piénselo bien: ¿podría seguir operando o perdería ventas, dinero y clientes? ¿Se pueden prevenir estas situaciones?
Siempre se habla de adoptar medidas proactivas en seguridad y protección informática. Una medida proactiva que le dirá el estado de los sistemas de su compañía es la auditoría tecnológica, la cual también le permite saber qué hacer de cara a una modernización y el cambio digital a profundidad.
“(Se puede) aprovechar la auditoría como base para optimizar su infraestructura, seguridad y operación tecnológica”, dijo Olman Núnez, gerente de soluciones de Cococo.
Fallas
Aparte de un hackeo (uno o varios accidentes simultáneos que derrumben la red de telecomunicaciones o un error de programación), hay varias causas por las que pueden fallar los sistemas de una empresa o institución.
Un reporte de la firma Gdt, que opera en varios países de América del Sur y en España, indica que las principales causas de caídas e interrupciones son las fallas de hardware (40%) y de software (17%), errores humanos (18%), fenómenos naturales (20%) y vandalismo (1%).
Los problemas de hardware pueden deberse a problemas de servidores, discos duros, fuentes de alimentación, envejecimiento, desgaste, sobrecalentamiento, subidas de tensión o daños físicos.
Los problemas de software suelen originarse por defectos en el código, fallos de diseño, incompatibilidad o errores en actualizaciones.
¿Las consecuencias? Pérdida de datos, interrupción total de servicios críticos, bloqueos, resultados incorrectos o degradación del rendimiento del sistema que se traducen en menor productividad, caída de la rentabilidad y deterioro de la reputación.
Auditoría tecnológica
La auditoría tecnológica es un diagnóstico preliminar del estado de la infraestructura de la tecnología de la información y de las comunicaciones (TIC) de una empresa para identificar riesgos y detectar oportunidades de mejora.
Otro objetivo es alinear los activos tecnológicos —que sean seguros, eficientes y actualizados— con las necesidades de los clientes, el nivel de la competencia y el mercado, y los objetivos del negocio.
También es la base de una planificación estratégica de inversiones en TIC de las organizaciones.
Sara Ortega y Catalina Flores, senior manager en aseguramiento de sistemas, procesos y servicios de PwC Costa Rica, destacaron que con la auditoría tecnológica se obtiene una valoración desde una perspectiva externa e independiente sobre cómo la empresa está preparada para mitigar los riesgos tecnológicos.
Metodología
La metodología no es complicada. Empieza por la aplicación en sitio de un formulario técnico estandarizado, la evaluación de las áreas claves y la presentación del informe con los hallazgos y las recomendaciones.
Se revisa la gobernanza o gestión de las TICs y cada una de sus áreas: infraestructura física y lógica (racks, switches, cableado, servidores), servicios en la nube y de almacenamiento (NAS/SAN, backups y licenciamiento), seguridad informática (firewalls, antivirus, control de accesos) y soporte (mesa de ayuda, inventario de equipos, monitoreo).
También se revisan los procedimientos de gestión de servicios tercerizados, cambios por mantenimiento, proyectos de desarrollo, incidencias, respaldos y recuperación, entre otros.
Estándares
La auditoría tecnológica se basa en los estándares y normas de gestión de calidad ISO 9001 y de la Information Technology Infrastructure Library (ITIL), un marco de trabajo y gestión de servicios de TIC.
También se puede basar con los marcos de control interno emitidos por la Information Systems Audit and Control Association (Isaca), como los estándares de gestión de Control Objectives for Information and Related Technologies (Cobit), y las normas de mayo de 2024 del Consejo Nacional de Supervisión del Sistema Financiero (Conassif) para entidades financieras locales.
Empresas
La auditoría tecnológica puede ser utilizada por cualquier empresa que dependa de los sistemas informáticos para operar, sin importar su tamaño o sector.
“Mientras más dependencia exista de los procesos operativos administrados por los sistemas de información, más relevante es realizar este tipo de evaluaciones periódicamente”, indicaron Ortega y Flores, de PwC.
Costo
El costo depende. Cococo brinda el servicio sin costo a pequeñas y medianas empresas de hasta 100 usuarios o infraestructuras no complejas. Fuera de esos criterios, la auditoría es personalizada y con un costo definido según la propuesta técnica y comercial.
En las grandes empresas y en instituciones el costo de la auditoría dependerá de los alcances definidos entre las partes, ya que son servicios adaptados a cada necesidad.
Recomendaciones
Para que la auditoría tecnológica tenga éxito, la empresa debe prepararse con antelación, disponiendo de salas técnicas, el inventario de los sistemas y equipos, un representante técnico que colabore con los auditores, solicitar propuestas para necesidades críticas y aprovecharla para optimizar toda su infraestructura TIC.
PwC también recalca que la empresa debe definir objetivos claros, elegir consultores con experiencia demostrable, revisar referencias, establecer un alcance adecuado, estar dispuestos a implementar cambios según los resultados y, en el caso de las entidades financieras, cumplir los requisitos establecidos por Conassif.
