Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Fallas en la capacitación
Los temas de tecnología están en constante evolución, por esta razón los auditores deben estar de
manera permanente dispuestos a aprender y desaprender. Por su parte, la administración de las
organizaciones debe entender que no capacitar al personal no es una medida de reducción de
costos, es algo que los perjudica.
3. Fallas en la documentació
En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las políticas y
procedimientos para el uso de los recursos tecnológicos o la misma no es clara, está
desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a seguir o
actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente, muchas
organizaciones no efectúan la respectiva capacitación ni actualizan los documentos y manuales
cuando hay cambios en la infraestructura tecnológica.
Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también hay una
serie de recomendaciones que son habituales y cuya implementación puede ser útil para mitigar
los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan:
7. Probar el plan de continuidad del sistema regularmente
Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y que su
organización pueda continuar operando después de una interrupción del negocio. La organización
debe considerar la disponibilidad de personal crítico, el equipo necesario para reanudar las
operaciones, los métodos necesarios para restaurar los datos y el tiempo que lleva restaurar los
servicios. La prueba debe realizarse al menos anualmente. Tanto el plan de continuidad del
negocio como el de recuperación ante desastres deben actualizarse para reflejar las lecciones
aprendidas del evento de prueba.
No hay que olvidar que tanto en los hallazgos identificados como en las recomendaciones está
presente el factor humano. Las personas deben saber las implicaciones y riesgos de realizar ciertas
actividades. De ahí la importancia de concientizar y capacitar. La auditoría puede prestar un buen
concurso en este tema.