Auditando Big Data

Publicado el por Javier Klus

En principio es importan definir que entendemos por Big Data, según las Global Technology Audit Guide del IIA este término es usado para describir el crecimiento exponencial  y disponibilidad de datos creados por la personas, aplicaciones y aplicaciones inteligentes. 

Actualmente el gran crecimiento de datos tanto estructurados como no estructurados combinado con los avances tecnológicos en el almacenamiento de los mismos, la gran potencia de procesamiento y las herramientas analíticas, han permitido que esta realidad se convierta en una ventaja competitiva para aquellas empresas líderes que lo utilizan para incrementar sus oportunidades de negocios y definición de estrategias empresariales.

Sin embargo, así como es una ventaja competitiva también tenemos que ponderar los riesgos relacionados con el manejo de tanta cantidad de información, en muchos casos confidencial.

Como auditores internos de una organización que trabaja con grandes volúmenes de datos tenemos en principio que ser conscientes de los riesgos que esto acarrea, principalmente en lo relacionado con la recopilación de los datos, almacenamiento, análisis y por supuesto seguridad y privacidad de los mismos.

En una organización podemos tener datos estructurados que son aquellos que son almacenados en bases de datos que tienen una lógica de almacenamiento pero cada vez más podemos convivimos con datos no estructurados provenientes de las redes sociales y otras aplicaciones, estas dos fuentes de información también deben ser tenidas en consideración, ahora bien, si tuviéramos que definir un programa de trabajo a los fines de encarar el proceso de auditoría de Big Data y definir los riesgos claves, deberíamos tener en consideración las siguientes dimensiones:

  • Gobernance del programa de Big Data
  • Disponibilidad de la tecnología y performance
  • Seguridad y privacidad
  • Calidad de los datos, manejo y reporte

De estas 4 áreas, en este artículo nos centraremos en la número 3, para la cual si tuviéramos que definir una matriz de controles, podríamos pensar en la siguiente:

Objetivo de ControlDescripción
El manejo de la seguridad de la información es parte de la estrategia de Big Data1.  Un programa de ciberseguridad existe dentro de la organización a fin de combatir amenazas internas/ externas,2.  Aquellas aplicaciones capaces de eludir el sistema operativo, la red y los controles de aplicación se encuentran prohibidos y/o controlados apropiadamente,3.  El uso de aplicaciones de auditoría se encuentra acotado/segmentado  a fin de evitar el mal uso y/o destrucción de los log de datos.  Los Log de datos son revisados de forma periódica a fin de detectar actividades sospechosas,4.  Todos los servicios que están basados en la nube dentro de la organización se encuentran aprobados para el uso y almacenamientos de los datos de la organización,5.  El área de IT evalúa la seguridad de los proveedores de servicios relevantes,6.  Existe un proceso formalizado para el proceso de administración de “parches” de los sistemas asegurando que son actualizados con las últimas versión, las cuales fueron aprobadas de forma oportuna
El manejo de la seguridad de los datos es parte de la estrategia de Big Data1.  Sólo los usuarios del negocio autorizados tienen acceso a los datos y los reportes de los grandes sistemas de datos (Big Data),2.  Solo un acotado número de usuarios técnicos tiene acceso privilegiado a los grandes sistemas de datos, incluido los sistemas operativos, redes, bases de datos y aplicaciones,3.  Los accesos a los grandes sistemas de datos son revisados de forma periódica para asegurar que sean los apropiados,
El acceso de terceras partes debe ser manejado de forma apropiada1.  Los requisitos contractuales y regulatorios del proveedor son analizados y tratados antes de conceder el acceso a los datos y sistemas de información,
La privacidad de los datos debe ser parte de la estrategia de Big data1.  Los datos son inventariados y clasificados para asegurar que los datos críticos de la organización, incluida la información personal, estén debidamente protegidos,2.  Existe documentado, aprobado e implementado un proceso de respuesta a incidentes para asegurar que la brecha de datos son  manejadas apropiadamente,

De forma similar y con este enfoque deberemos establecer un programa de trabajo que contemple las otras dimensiones de riesgos claves definidos y establezca los objetivos de control que permita mitigar los mismos.

Una vez definida la matriz de controles que contemple las 4 dimensiones, podremos desarrollar el plan de pruebas que permitan verificar que estos controles son llevados a cabo, garantizando de esta forma el ambiente de control asociado con Big Data.

Categorías: IT

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Publicado por Javier Klus

Soy Máster en Administración de Empresas por la Universidad Politécnica de Madrid y Licenciado en Administración de Empresas (UADE). Durante más de 12 años me he desempeñado en uno de los principales estudio de Auditoría y Consultoría a nivel mundial, en donde ha tenido la oportunidad, dentro del Departamento de Advisory, de interactuar con una gran cantidad de empresas nacionales e internacionales analizando el funcionamiento operativo de las mismas y proponiendo oportunidades de mejora. Mi campo de acción también ha abarcado la realización de Auditorías Internas en numerosas empresas, siendo adicionalmente Auditor Interno Certificado (CIA). Fui profesor de la Universidad del Salvador en el postgrado de Auditoría de Sistemas, así como miembro del comité de publicaciones del Instituto Argentino de Auditores Internos. También soy Co-Director de la Diplomatura en Management de Centro de Servicios Compartidos en la UCEMA. He publicado trabajos relacionados con mis especialidades tanto en Argentina como en España. Adicionalemnte soy Conferencista internacional, habiendo dictado cursos y conferencias en Perú, Colombia y Argentina, entre otros países. En mis ratos libres disfruto de la lectura de libros de todo tipo y de mi familia. Mi próximo libro seguramente será sobre Auditoría Interna, en donde intentaré transmitir todos mis conocimientos en esa temática.