Acabo de leer un interesante artículo en la revista de ISACA que habla de algunos inconvenientes a los que se enfrenta un Auditor de Seguridad de la Información en su trabajo diario. Vamos, el día a día de un CISA.

El artículo en cuestión se puede consultar aquí (en inglés).

Cuántas veces hemos estado en una entidad y la gente ha pensado: «Ahí viene ese a criticar nuestro trabajo«. No es que te lo digan abiertamente, pero se lo puedes leer en la cara, mientras recorres los pasillos, muchas veces acompañado por el jefe/jefa.

Si ésta es la percepción (en algunos casos) de los auditados, es que algo estamos haciendo mal o, por lo menos, no del todo bien.

Cómo arreglarlo

El artículo (cuyas indicaciones comparto plenamente) plantea 5 distintos pasos para que los Auditores de Seguridad expliquemos mejor nuestro trabajo y cómo éste puede tener bebeficios no sólo para la institución, si no también para los usuarios de la información.

Paso 1: informa con antelación a la entidad sometida a auditoría los motivos de la auditoría (Compliance LOPD, PCI DSS, etc.) y qué personas (y con qué calificaciones profesionales) van a realizarla. A veces, el servicio ha sido contratado por la gente del departamento IT, otras, por la gente del departamento jurídico. Si es así, a veces, el mismo jefe no sabe qué estás haciendo en su empresa. Es necesario, por lo tanto, informar a los niveles más altos sobre la labor que vas a realizar.

Paso 2: define claramente el alcance de la auditoría. ¿Estarán todas los departamentos afectados por la auditoría? Me ha pasado ver cara de extrañeza cuando me presento en algunos departamentos donde me dicen «Aquí no tenemos nada que auditar«. Si no le explicas el alcance de la auditoría, difícilmente sabrán qué vas a hacer y el porqué. No está de más, en esta fase, avisar sobre qué documentos necesitas para realizar tu labor. No olvides que la gente está atareada con lo suyo y no siempre tienen toda la documentación necesaria a mano.

Paso 3: habla con la gente. No te fíes sólo de la documentación presentada. Muchas veces, tomar un café en un ambiente más distendido te permite conocer mejor la empresa, su cultura, valores y percepción del riesgo.

Paso 4: presenta tus conclusiones preliminares y recoge las opiniones de los responsables de departamento. Ya sé que es muy importante respetar los plazos de entrega (de paso, así facturas y cobras antes…). Pero no te precipites en presentar el trabajo final; a veces, unas aclaraciones por parte de la empresa pueden modificar los hallazgos de la auditoría y te permiten centrarte en los aspectos más relevantes en el ámbito de la seguridad.

Paso 5: no abandones al cliente a su suerte. Es muy importante hacer un seguimiento en el tiempo de la auditoría para comprobar si se han puesto en marcha medidas para disminuir los riesgos detectados y si estas medidas son efectivas. Da por seguro que el cliente agradecerá que estés siempre ahí, proponiendo soluciones a los problemas detectados.

Conclusiones

Si sigues estos pasos, es muy posible que la próxima vez que te vean por los pasillos leerás en la cara de la gente el mensaje: «Ahí viene ese que nos echa una mano«. El mejor cumplido que puede recibir un Auditor de Seguridad.

Envíanos un email y estaremos encatados de echar una mano.