El papel del auditor de sistemas ante los nuevos riesgos en los centros de datos

¿Qué papel juegan los auditores ante los nuevos riesgos a los que se enfrentan los data center? ¿Existe una metodología que minimice los riesgos? DatacenterDynamics ofrece las claves en MCSS, la jornada de ciberseguridad que se celebra el 7 de abril en el marco de la 9ª edición de DCD Converged España.

10 March 2016 por DatacenterDynamics

La función de auditoría interna moderna puede considerarse como la asesoría independiente a la alta dirección sobre los riesgos que existen en la organización y la evaluación sobre la posibilidad de que estos riesgos puedan afectar negativamente a la sostenibilidad de la misma.
“Desde este enfoque, que no coincide plenamente con la definición clásica, el auditor debe considerar en su informe tanto los riesgos identificados como las medidas que se han tomado para controlarlos. Estas medidas suelen estructurarse en un conjunto de controles que, para que sean efectivos  deben estar definidos, implantados y verificados periódicamente”, afirma Erik de Pablo, Director de Investigación en ISACA y ponente destacado en MCSS by ISACA Madrid. El conjunto de las citadas medidas mitigatorias se conoce como Modelo de Control y su efectividad real conduce a una mejora de la madurez, lo que en definitiva acerca a la organización a su sostenibilidad, añade el experto.
Una gran parte de los riesgos existentes tienen una importante vertiente tecnológica, derivada de la ubicuidad de los sistemas de información y de la creciente digitalización de los procesos empresariales.
En los últimos años han surgido en el sector diversas metodologías que pretenden minimizar los riesgos  en los sistemas informáticos, tanto en el desarrollo de sistemas, como en su operación. Estas metodologías (ITIL, CMMI, ISO 27000, ISO 20000 etc…) han introducido paulatinamente un conjunto de rutinas y estándares que han hecho eficaz, predecible y madura la labor de la informática corporativa.
El centro de datos no debe considerarse tan solo como un edificio dedicado a ordenadores. En la informática actual el sistema está compuesto por multitud de redes, equipos, usuarios y entornos de terceros, interactuando continuamente. Por ello la frontera de la actuación de los auditores de sistemas cubre todo el procesamiento, almacenamiento y protección de la información de la organización, independientemente de su ubicación.

 

Continuidad de negocio

Una de las medidas mitigatorias más potentes que se pueden establecer en este ámbito es el conocido como “Plan de continuidad”. En el mundo informático este plan se vertebra alrededor del “Plan de recuperación frente a desastres” y su implantación mitiga de forma genérica una gran cantidad de riesgos, ofreciendo una alternativa de proceso para los casos en que los mismos deriven en incidentes que no puedan ser manejados de forma efectiva.
Este plan se diseña, implanta y verifica con la ayuda de algunas normas (BS25999, ISO 22301) que facilitan un correcto enfoque del plan. Aquí también es crucial la labor del auditor de sistemas, como en el resto de metodologías ya comentadas, pues debe ser quien certifique que el plan es efectivo. El auditor de sistemas es parte del plan y su actuación se describe en las normas.
La rápida evolución de las tecnologías del mundo digital conlleva la aparición constante de nuevos riesgos: ciberseguridad en infraestructuras críticas, estratégicas o los nuevos dispositivos en la red como BYOD  o IoT, etc.
Como conclusión, el experto de ISACA considera que “la labor del auditor y en particular del auditor de sistemas constituye un elemento crítico para la sostenibilidad de la organización en el mundo digital actual”.

 

CONÉCTESE A DCD

INGRESE


¿OLVIDÓ SU CONTRASEÑA?

CREAR UNA CUENTA DCD

¿Necesita personal cualificado?

REGIONES

region LATAM y España North America Europe Em Português Middle East Africa Asia Pacific

Whitepapers VER TODO