Introducción a la Auditoría de Datos
Por: Consuelo Gargantilla
Grupo de Trabajo de Auditoría de Datos de DAMA España.
Auditoría de Datos, no es un requisito que hace perder tiempo y dinero a las organizaciones, sino que lo que realmente pretende es ayudarlas a conseguir sus objetivos, ya que los datos son un recurso clave. En esta sesión de trabajo, nos centramos en los motivadores del negocio para la realización de una auditoria, conceptos esenciales a tener en cuenta y objetivos a alcanzar.
Teniendo esto en mente, presentamos este artículo de Consuelo Gargantilla sobre la auditoría de datos que formará parte, entre otros, del futuro capítulo de Auditoría de Datos en DAMA España.
Motivadores de negocio
Existen empresas u organizaciones que consideran la Auditoría de Datos, como un requisito que les hace perder tiempo y dinero, cuando realmente lo que pretende es ayudar a las organizaciones a conseguir sus objetivos, ya que los datos son un recurso clave para la empresa, tanto para planificar, controlar o evaluar.
Partiendo de esta reflexión, la implantación de un proyecto de Auditoría de Datos dentro de una organización responde a una serie de motivaciones empresariales, tales como:
- Aumento del presupuesto del Departamento de Procesamiento de Datos
- Desconocimiento de información de las distintas áreas.
- Falta de seguridades que garanticen la integridad del personal, de los equipos y de la propia información.
- Descubrimiento de fraudes.
- Incumplimiento de plazos y mala calidad en los resultados.
- No poder planificar por falta de información.
Metas y principios
Así mismo tendremos una serie de metas, a las que tenderemos con una correcta implantación de la Auditoría de Datos.
- Salvaguardar los activos útiles para el procesamiento de datos, evitando robos, destrucción, usos no adecuados.
- Mantener la integridad de los datos.
- Mediante la contribución de la información que se maneja en la empresa, alcanzar las metas organizacionales.
Estas metas, tendrán como objetivo, que la información de la que disponga la empresa u organización tenga una serie de características:
- Se debe contar con la información en el momento deseado, ni antes ni después, para poder hacer uso de ella sin retrasos.
- La información debe ser siempre real, sin alteraciones y sin errores.
- Debe ser completa.
- Debe ser protegida, y sea manejada con seguridad.
Tales metas, serán alcanzables siempre y cuando tengamos en cuenta los principios en los que toda Auditoria de datos se debe basar:
- Integridad: que sea precisa, completa, consistente y confiable.
- Presentación imparcial: la comunicación debe ser veraz, exacta, objetiva, oportuna, clara y completa
- Debido cuidado profesional: se deben hacer juicios razonados en toda situación.
- Confidencialidad: se debe proceder con discreción en el uso y la protección de la información. La información de la misma auditoría no deber usarse para beneficio personal del auditor o del cliente de la auditoría. Esto incluye, por supuesto a la información sensible o confidencial
- Independencia: los auditores deben actuar con independencia de lo que se esté auditando. Deben actuar de manera libre, ya sean internos o externos, y sin conflicto de intereses.
- Enfoque basado en la evidencia: las evidencias de las auditorías deben ser verificables, Las evidencias serán tan importantes ya que son las que nos dan la confianza que puede depositarse en las conclusiones de la auditoría.
- Enfoque basado en riesgos: las auditorías deben centrarse en asuntos importantes para el cliente de la auditoría y para alcanzar los objetivos del programa de auditoría.
Conceptos esenciales
Igualmente hay una serie de conceptos esenciales que se debe manejar a la hora de poder implementar una buena Auditoria de Datos en una organización, y serán la base de esa Auditoria de Datos.
- Acceso, actualización, integridad y calidad de los datos.
- Reducción de riegos.
- Detección de vulnerabilidades.
“Mantener bajo control estricto el acceso a determinados datos, por los perfiles apropiados, facilitará la securización de los datos, ya que no toda persona debe poder acceder a todos los datos”
Veremos a continuación que entendemos por cada uno de estos conceptos:
Acceso, actualización, integridad y calidad de datos.
Este primer bloque de conceptos es fundamental en toda gestión organizada de datos.
Mantener bajo control estricto el acceso a determinados datos, por los perfiles apropiados, facilitará la securización de los datos, ya que no toda persona debe poder acceder a todos los datos, así como no se puede tener el mismo nivel de acceso, según el perfil y la propia naturaleza de los mismos datos. Asegurará la trazabilidad de estos accesos y de las concesiones de los permisos de los usuarios, facilitando la labor de mantener seguros los datos de toda organización.
Así mismo deben mantenerse bajo control los perfiles que pueden actualizar los datos.
Así como tener como objetivo la integridad y la calidad de estos mismos datos.
Reducción de riegos [SR1]
Nuestro objetivo con la reducción de riegos será minimizar la exposición a posibles riesgos a nuestros datos, así como aumentar la seguridad de la información, asegurando que nuestros datos estén protegidos contra posibles amenazas.
Para reducir estos riesgos podemos implementar distintas medidas y estrategias para disminuir la probabilidad de pérdida, daño o acceso no autorizado a la información valiosa o confidencial de nuestra organización.
Detección de vulnerabilidades [SR2]
Con la detección de vulnerabilidades nos referimos a la identificación de debilidades o brechas de seguridad en los sistemas y procesos que manejan y almacenan información, que podrían ser explotadas para acceder a la información de forma no autorizada o para dañarla.
Para llevar a cabo esta detección de vulnerabilidades, tendremos que realizar pruebas regulares de seguridad e implementar de medidas preventivas para proteger nuestros datos de posibles ataques.