La importancia del conocimiento técnico en auditorías de sistemas

junio 18, 2010

Los auditores deben siempre, de manera inexcusable, asociar sus recomendaciones al riesgo. Si no hay riesgo, es absurdo escribir recomendaciones de auditoría. Es por tanto que si analizamos un AIX, malos auditores seremos si enfocamos la recomendación de desactivación de los core dumps por el mero hecho de que lo dice el CIS o algún otro checklist. Hay que fundamentar la recomendación, estableciendo un nexo fundado entre las excepciones y los riesgos que derivan de las mismas. En este ejemplo que nos ocupa, habría que estudiar al menos:

  • La probabilidad y el impacto EN EL NEGOCIO de que un core dump incluya datos sensibles que puedan provocar otras incidencias (acceso ilegítimo a información de negocio, obtención de contraseñas, etc.)
  • La probabilidad y el impacto EN EL NEGOCIO de que el forzado malintencionado de volcados provoque DoS local y/o replicado en la red por agotamiento de almacenamiento y/o procesos I/O.

Cuando marcamos en negrita EN EL NEGOCIO queremos recordar que aunque hagamos una auditoría técnica, los impactos relevantes son los del negocio y no los puramente técnicos. Que el balanceador de carga de una VLAN sufra problemas de rendimiento por culpa de los core dumps NO ES un impacto en el negocio. Un impacto en el negocio es, por ejemplo, que por culpa de un mal rendimiento ocasionado por los core dumps tengamos un problema en la tesorería, no podamos operar los sistemas de asset management fluidamente y dejemos de colocar en el mercado 5 millones de euros en derivados. Nótese la diferencia.

Una vez fundamentada la recomendación conviene también prepararse para poder ayudar a la resolución y poder afrontar la discusión de las incidencias detectadas con garantías. El auditor, aunque no reflejará en el informe los pasos exactos para resolver el problema, ya que eso es dominio del auditado, si tendrá en la recámara argumentos para la discusión.

La importancia de combinar el conocimiento técnico en nuestras recomendaciones técnicas

Las recomendaciones técnicas sólo deben hacerse cuando se tiene un conocimiento técnico profundo y suficiente. Por tres motivos, principalmente:

  • En primer lugar por una cuestión de respeto y compañerismo. Auditar implica que la gente dedique tiempo valioso a atenderte, tiempo que necesitan para sus quehaceres. Si vamos a pedirles su tiempo, y probablemente a romper sus esquemas de trabajo, lo mínimo que podemos hacer es procurar no hacerles perder el tiempo por culpa de nuestra incompetencia o inexperiencia. Hay que ser profesionales, y si no estamos preparados para ofrecer solvencia, es momento de retirarse y documentarse.
  • Por otro lado, si no sabes de lo que hablas, a duras penas estarás cualificado para opinar. La profesión de auditor exige producir como resultado, entre otras cosas, una opinión de auditoría. Si no puedes opinar o tu opinión no está basada en hechos contrastados por carecer de conocimiento, no eres un auditor. Eres otra cosa.
  • Por otro lado si no conoces bien la naturaleza técnica del problema y sus soluciones, ¿cómo pretendes evaluar las respuestas del auditado, el trabajo de tus auditores o el seguimiento a la resolución de un problema? ¿Vas a basarte sólo en la confianza, la intuición y que te cuenten unos y otros? Este es un terreno peligroso, porque igual que te puedes fiar de un equipo de auditoría solvente y acertar de pleno, puedes acabar siendo víctima de los cantos de sirena de un auditado que te engatuse y te venda respuestas que acabarás comprando habida cuenta de tu ausencia de conocimiento. Repito, terreno especialmente farragoso, ya que por norma general los auditados pertenecen a centros de coste distintos al de auditoría, y por tanto son ellos los que pagan con sus chequeras las incidencias que encontremos (en otras palabras, siempre tratarán de minimizar el gasto derivado de una auditoría, rechazando recomendaciones no fundamentadas, proponiendo soluciones que quizás no mitiguen la totalidad de los riesgos, negando acciones que podrían ser perfectamente ejecutadas, etc).

Motivos como los expuestos hacen extremadamente importante conocer bien el origen técnico de los problemas cuando vamos a auditar aspectos técnicos en un negocio. Es especialmente relevante que la ausencia de conocimiento tiene colaterales tremendamente peligrosos, como la fatiga de auditoría, el daño a la reputación y a la imagen de la unidad de auditoría que provocan las incidencias mal gestionadas por ambas partes y como no podía ser de otro modo, conflictos internos de diversa índole que a la larga no benefician a nadie. Tratemos de evitarlos.

Si eres un auditor de TI y vas a auditar aspectos técnicos, pon esfuerzo en aprender y comprender la naturaleza de los problemas técnicos, ya que en su ausencia acabarás produciendo trabajos con escasa calidad, no enfocados al riesgo y que no tendrán valor alguno para nadie.

About The Author

Sergio Zamenfeld

See author's posts

Más historias

Titan

10 buenas prácticas con las que tu amigo techie te puede ayudar

febrero 7, 2024
TorLogo

Herramientas gratuitas para fortalecer tu privacidad en Internet

enero 23, 2021
symantec-infografia

Seguridad empresarial más efectiva

diciembre 28, 2019

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Te pueden interesar

¿Qué es mailing y cómo puedes utilizarlo en tu eCommerce?

noviembre 7, 2024
cloudhosting

¿Como tiene una PyME su sitio en Internet?

septiembre 19, 2024

Posicionamiento y Promoción Web

agosto 18, 2024
Community Manager

¿Cuáles son las funciones de un community manager?

julio 4, 2024
leadNurturing_graphic

Errores comunes de lead nurturing

junio 3, 2024