← xefi.com
Zona cliente Buscar

Buscar

Zona cliente

Lo que hay que saber para auditar su sistema de información

El sistema de información (SI) de su empresa actúa como un sistema nervioso. Es a través de él que transitan todas las informaciones clave de su organización. Es también él quien facilita la recopilación de datos clave y mantiene una buena comunicación y colaboración entre todos los servicios. Un SI mal calibrado o mal dimensionado puede tener graves consecuencias en la salud de su empresa. Y cuando es atacado, es aún peor. Por eso es importante obtener una auditoría de su parque informático.

Primera etapa: comprender su SI

Un sistema de información es un conjunto de recursos que son a la vez humanos, materiales e inmateriales:

  • Recursos humanos: son los agentes y técnicos que se ocupan de la gestión de su SI. Pueden gestionar el mantenimiento de sus servidores, responder a las preguntas de sus equipos, pedir, comprar y configurar el material, gestionar los contratos con proveedores, etc.
  • Recursos materiales: son todos los ordenadores, tabletas y teléfonos que la empresa pone a disposición de sus equipos y el conjunto de equipamientos informáticos, pudiendo integrar los servidores locales en las instalaciones, los accesorios, discos duros, videoproyectores, módem, router wifi, etc.
  • Recursos inmateriales: son los programas, datos, herramientas y procesos que rigen el funcionamiento de su organización. El perímetro es amplio, ya que comprende tanto los sistemas operativos fijos y móviles, como los programas de nómina, de marketing, el CRM, el ERP, la gestión de la producción, etc.

Comprender de qué se compone su SI, cómo funciona y cuáles son las consecuencias de un disfuncionamiento en el resto de los recursos es indispensable para realizar una auditoría completa. Así, en caso de incidentes (ataques, errores, problemas técnicos…), será más fácil aislar las zonas afectadas de las zonas sanas.

Segunda etapa: definir los objetivos de negocio

Todos los SI no son idénticos. Deben estar dimensionados para responder a las necesidades del negocio de la empresa. Esto puede ser una cuestión de número de usuarios, de sedes o de campus, de productos o de ofertas diferentes, etc. Así, el SI de una PYME industrial será muy diferente del de una cadena de prêt-à-porter, por ejemplo. Definir los objetivos de negocio puede ser, por ejemplo, una gestión en tiempo real de los stocks de productos para una estrategia omnicanal, o bien una prioridad otorgada a la experiencia del cliente con la convergencia de las interacciones con prospectos y clientes en todas las herramientas pre y posventa. El SI debe también adaptarse al plan de negocio de la empresa y a sus objetivos estratégicos en términos de crecimiento o desaceleración en un mercado en particular, por ejemplo. Debe ser pensado como un “business partner” que tiene la capacidad de disminuir los costes, optimizarlos y anticipar las necesidades futuras.

Tercera etapa: elegir el proveedor adecuado

Auditar un sistema de información es un trabajo que necesita a menudo una mirada externa. Para elegir el proveedor adecuado, es importante que este comprenda su actividad, le haga las preguntas correctas y disponga de una metodología clara que debe basarse en varios puntos clave:

  • Entrevistas para comprender al cliente (diferentes directores), su necesidad y sus riesgos.
  • Un marco técnico para definir el perímetro de la auditoría, el cronograma de realización y definir las responsabilidades (RACI).
  • La ejecución con expertos que intervienen, implementan las herramientas y realizan las tareas conforme al cronograma.
  • Los entregables con un informe de auditoría que contiene la lista de vulnerabilidades, los impactos y las recomendaciones, así como una presentación ante la dirección.

La auditoría de un sistema de información es una etapa importante que permite acompañar a su empresa en función de sus objetivos y de su estructura.