Las auditorías de TI pura son de poco interés para las empresas. No es suficiente descubrir que existe un problema con el proceso empresarial o la infraestructura de TI. Necesitas entender cómo lidiar con eso. Por lo tanto, además de proporcionar los resultados de la auditoría y las explicaciones, los clientes también desean recibir sugerencias para acciones futuras. El auditor puede proporcionar una descripción de alto nivel del camino a seguir y también puede brindar un plan de trabajo detallado para realizar los cambios necesarios en las áreas afectadas por la auditoría.
Para los auditores que entienden los procesos de la organización durante la investigación, también es lógico proporcionar servicios de consultoría o soporte técnico a la empresa para implementar los cambios propuestos, según señala Itworld. Los servicios de TI del cliente no siempre tienen la capacidad de planificar e iniciar dichos proyectos.
Por ejemplo, no puede asignar suficientes recursos internos, o no puede formar soluciones técnicas complejas, incluidos varios software y equipos de diferentes fabricantes, o no tiene suficiente experiencia operativa y la capacidad para realizar la capacitación adecuada. La experiencia de los integradores de sistemas muestra que para la mayoría de las empresas modernas, atraer socios externos para implementar cambios de TI a gran escala es la estrategia con menos riesgos.
La gestión de riesgos es la clave
Para una auditoría exitosa, lo principal es que todas las partes interesadas tengan el mismo entendimiento de los objetivos y resultados de la auditoría. Ésta puede incluir muchos aspectos y objetos de inspección: sistema de gestión de TI, madurez empresarial digital, componentes de infraestructura, proyectos de sistemas de información, costos de TI, protección de circuitos de red, proceso de soporte de flexibilidad empresarial, cumplimiento de leyes y regulaciones, etc.
Cómo las auditorías pueden ayudar a descubrir cuellos de botella de IP
Independientemente del tipo de auditoría, se recomienda realizar auditorías de acuerdo con las mejores normas y prácticas. Estos incluyen el método ITAF desarrollado por la organización internacional de auditoría de sistemas de información ISACA (ahora, este método es parte de su metodología estructurada de gestión de TI organizacional, edición COBIT 2019). De acuerdo con este método, el proyecto de auditoría incluye pasos como la gestión de riesgos, el plan de auditoría, la auditoría en sí misma, la recomendación y la preparación de informes.
Para una auditoría exitosa, lo principal es que todas las partes interesadas tengan el mismo entendimiento de los objetivos
Antes de recopilar información directamente, generalmente desarrollan métodos de recopilación y procesamiento de información, lo que le permite limitar al personal de la empresa auditada de molestias innecesarias y completar formularios innecesarios. Antes de iniciar la auditoría técnica del sistema, es necesario llegar a un acuerdo previo sobre las áreas de aplicación y datos que pueden verse afectadas por el procedimiento de la auditoría.
Registre todas las acciones: análisis del progreso del proyecto
Al analizar las funciones del sistema de información, los requisitos iniciales establecidos en los términos de referencia o registrados en el backlog del sistema de gestión del desarrollo se comparan con las funciones realizadas. Debe considerar todos los cambios ya hechos: quién hizo los cambios, quién está totalmente de acuerdo con ellos y cómo afectan el tiempo y el presupuesto del proyecto. Por lo general, este tipo de auditoría se requiere cuando el proyecto no logra los resultados esperados en una fecha específica o antes de un evento importante. En este caso, no es importante crear un paradigma de sistema, ya sea una cascada o un enfoque flexible, es principalmente para cumplir con los requisitos del cliente.
Razones de la «interrupción»
El motivo del cambio no incluido en el plan del cliente puede ser no sólo la influencia de cada responsable, sino también del propio equipo del proyecto. Cuando se trata de un gran proyecto, varios equipos de desarrollo pueden participar inmediatamente en el trabajo. Si el arquitecto no tiene control sobre la implementación y el gerente no coordina la interacción entre los equipos, pueden ocurrir eventos: la inoperabilidad del sistema durante las pruebas de penetración es inesperada para muchas personas, o en ausencia de un cronograma previamente acordado. En estas circunstancias, la prueba de esfuerzo puede evitar la depuración del nuevo bloque de funciones, etc. Se debe prestar especial atención a las siguientes situaciones: no se han formulado sistemas para asegurar la continuidad, procedimientos de respaldo y procedimientos de operatividad de recuperación, y se debe haber puesto en funcionamiento la base de datos de operaciones.
Coste de infraestructura
La elección del modelo de costos operativos de SI depende de los beneficios de la capitalización empresarial y de las perspectivas de desarrollo del sistema. A veces es mejor colocar el sistema solo en el propio equipo del cliente, por ejemplo, en el circuito protegido del sistema de información. O por el contrario, en el lado del proveedor, las empresas de corretaje que realizan transacciones de divisas prefieren colocarlas en el sitio más cercano (porque la ubicación geográfica depende de la cantidad de nodos de red intermedios), porque los milisegundos pueden ser críticos para usar la red de manera efectiva de robots comerciales, lo que supone un claro retraso en el tráfico.