Auditor de TI: Un papel vital para la evaluación de riesgos

0
959

Un auditor de TI es responsable de analizar y evaluar la infraestructura tecnológica de una empresa para garantizar que los procesos y los sistemas se ejecuten de manera precisa y eficiente, mientras se mantienen seguros y cumplen con las regulaciones. Un auditor de TI también identifica cualquier problema de TI que se encuentre bajo la auditoría, específicamente aquellos relacionados con la seguridad y la gestión de riesgos. Si se identifican problemas, los auditores de TI son responsables de comunicar sus hallazgos a otros en la organización, y ofrecer soluciones para mejorar o cambiar los procesos y sistemas con el fin de garantizar la seguridad y el cumplimiento.

El rol de un auditor de TI
El rol de un auditor de TI implica desarrollar, implementar, probar y evaluar procedimientos de revisión de auditoría. Será responsable de llevar a cabo proyectos de auditoría relacionados con TI, utilizando el estándar de auditoría de TI establecido en su organización. El proceso de auditoría puede extenderse a redes, software, programas, sistemas de comunicación, sistemas de seguridad y cualquier otro servicio que dependa de la infraestructura tecnológica de la empresa.

Es un papel esencial para las organizaciones que confían en la tecnología, dado que un pequeño error técnico o mal paso puede hacer tambalear e impactar a toda la compañía. En un esfuerzo por mantener a la organización y sus datos a salvo de amenazas externas o internas, las auditorías de TI son importantes para evaluar el control interno y los procesos.

Responsabilidades de la auditoría de TI
Como auditor de TI, será responsable de realizar varias auditorías de las tecnologías y los procesos de una organización. Las auditorías de TI también se conocen como auditorías de procesamiento automatizados de datos (ADP, por sus siglas en inglés) y auditorías de computadora. En el pasado, las auditorías de TI también se han etiquetado como auditorías de procesamiento electrónico de datos (EDP, por sus siglas en inglés). Las empresas también pueden realizar una auditoría de seguridad de la información para evaluar los procesos de seguridad y la gestión de riesgos de la organización. El proceso de auditoría de TI se utiliza normalmente para evaluar la integridad de los datos, la seguridad, el desarrollo y la gobernanza de TI.

Existen varios tipos de auditorías de TI, como:

  • Proceso de innovación tecnológica: Un proceso de auditoría que crea un perfil de riesgo, para los proyectos actuales y futuros, con un enfoque en la experiencia de la empresa con esas tecnologías y su posición en el mercado.
  • Auditoría de comparación innovadora: Una auditoría que analiza la capacidad de una organización para innovar en comparación con la competencia, y evalúa qué tan bien la empresa produce nuevos productos.
  • Auditoría de posición tecnológica: Una auditoría que examina la tecnología actual en la organización y las tecnologías futuras que deberán adoptarse.
  • Sistemas y aplicaciones: Un proceso de auditoría que evalúa específicamente si los sistemas y aplicaciones son controlados, confiables, eficientes, seguros y efectivos.
  • Instalaciones de procesamiento de información: Una auditoría para evaluar la capacidad de una organización, incluso en condiciones disruptivas, para producir aplicaciones.
  • Desarrollo de sistemas: Una auditoría para verificar que los sistemas que se están desarrollando son adecuados para la organización y cumplen con los estándares de desarrollo.
  • Administración de TI y arquitectura empresarial: Una auditoría de la estructura organizativa de la administración de TI para el procesamiento de la información.
  • Cliente, servidor, telecomunicaciones, intranets y extranets: Auditorías para examinar controles en servidores y redes conectados al cliente.

Habilidades de un auditor de TI
Las habilidades que necesita como auditor de TI variarán dependiendo de su función específica y de la industria, pero hay una variedad de habilidades generales que todos los auditores de TI deben dominar. Algunas de las habilidades más comúnmente buscadas para los candidatos a auditor de TI incluyen:

  • Seguridad e infraestructura de TI
  • Auditoría interna
  • Riesgo de TI
  • Análisis de datos
  • Herramientas de análisis y visualización de datos (ACL, MS Excel, SAS, Tableau)
  • Gestión de riesgos de seguridad
  • Pruebas de seguridad y auditorías
  • Seguridad informática
  • Estándares de auditoría interna incluyendo SOX, MAR, COSO y COBIT
  • Habilidades analíticas y de pensamiento crítico.
  • Habilidades de comunicación

Requisitos de trabajo del auditor de TI
Los puestos de nivel básico para auditor de TI requieren al menos una licenciatura en ciencias de la computación, sistemas de información gerencial, contabilidad o finanzas. Querrá tener una sólida formación en TI o seguridad de la información, y experiencia en contabilidad pública o auditoría interna. El trabajo requiere un conjunto sólido de habilidades técnicas con un fuerte énfasis en las habilidades de seguridad, pero también necesitará aptitudes interpersonales como la comunicación. Será responsable no solo de identificar los problemas durante una auditoría de TI, sino también de explicarles a los líderes fuera de TI qué está mal y qué debe cambiar. Las habilidades de pensamiento crítico y analítico también son cruciales, puesto que tendrá que evaluar los datos para encontrar tendencias y patrones con el fin de identificar la seguridad de TI y los problemas de infraestructura.

Certificaciones para auditor de TI
Si desea obtener la certificación como auditor de TI, Robert Half Technology apunta a dos certificaciones específicas que son útiles para los auditores de TI. Estas incluyen:

  • Certified Information Systems Auditor (CISA): La certificación CISA se ofrece a través de ISACA y está diseñada específicamente para profesionales de seguridad de la información y auditores de TI. Antes de que pueda obtener su certificación CISA, necesitará al menos cinco años de experiencia profesional en este campo.
  • Certified Information Security Manager (CISM): La certificación CISM está diseñada para gerentes de seguridad de la información, y se enfoca en diseñar, crear y mantener programas de seguridad de la información. Para obtener su certificación CISM, necesitará al menos cinco años de experiencia en seguridad de la información y tres años como gerente de seguridad.

Sarah K. White, CIO.com