Si a una época de disrupción digital como la actual le sumamos el impacto que está teniendo la crisis tanto a nivel macroeconómico como en el tejido empresarial, se entiende a la perfección la necesidad de llevar a cabo una auditoría tecnológica que evalúe el estado del patrimonio de una compañía relacionado con las TICs. Su objetivo fundamental es claro, como revelan distintos informes como este del Institute of Internal Auditors: analizar si se está aprovechando y en qué grado el potencial tecnológico en función de las metas empresariales que se hayan marcado, detectando sobre todo las fortalezas que existen (por ejemplo, en temas de obsolescencia) para identificar en qué conviene realizar próximas inversiones para su mejora.
Una auditoría tecnológica no es algo superfluo ni que obstaculice la gestión diaria de una empresa, sino que tiene una importancia crítica dado que cada vez un mayor número de procesos son plenamente digitales. Tanto es así que informes, como el ‘2019 IT Audit Benchmarking Study’, identifican como los cinco principales retos para una empresa global la ciberseguridad y privacidad, la gestión y gobierno de los datos, los cambios en el área de infraestructuras y tecnologías, las competencias de los empleados y la gestión de los diferentes proveedores. Mientras, en relación a las implementaciones que mayores posibilidades de éxito ven los directivos para poner en marcha en sus organizaciones, se identifican como las tres primas la automatización de procesos, la Inteligencia Artificial y el machine/deep learning.
La tecnología como ROI
Da igual si hablamos de una pyme o de una empresa de gran envergadura, si se lleva a cabo el procedimiento correcto de recogida y análisis de datos, distintos estudios señalan abiertamente que las evidencias y hallazgos obtenidos permitirán validar los procesos internos que estamos llevando a cabo en los que la tecnología está implicada, permitiendo poder comparar los resultados tanto con nuestro plan de negocio como con lo que están haciendo nuestros competidores. En el caso de una startup, por ejemplo, una auditoría tecnológica es clave para estudiar si su modelo de negocio es realmente escalable (un punto muy importante para que muchos inversores se decidan finalmente a participar) y para definir un roadmap de producto, con métricas y argumentos, que apoye al business plan.
En definitiva, una auditoría tecnológica sirve, de acuerdo a firmas como BCG, para:
- Conocer qué equipos, programas o aplicaciones se han quedado obsoletos hasta el punto de que la inversión que se ha de realizar para adquirir otros nuevos para su sustitución compensa su coste económico.
- Establecer comparaciones con otras tecnologías que se están aplicando para los mismos procesos en, por ejemplo, empresas de la competencia o de industria auxiliar, y analizar empíricamente cuál es la mejor distribución para conseguir impulsar la competitividad.
- Apoyado en un adecuado ERP (Enterprise Resource Planning, o Sistema de Planificación de Recursos Empresariales) permite analizar de forma objetiva si toda la tecnología que está utilizando la empresa está gestionándose de modo eficiente. También evalúa si el software, hardware y demás equipamiento es compatible con la capacidad de innovación presente y futura de la compañía.
- Valorar económicamente la importancia de la tecnología en la organización, impulsando la posibilidad o de incrementar las habilidades del equipo humano que trabaja con ella o poder establecer sinergias complementarias con otras compañías, como, por ejemplo, startups, fintechs o empresas de ERP.
- Detectar malas prácticas tecnológicas en las instalaciones, tener una visión global de la arquitectura de red y permitir la creación de una matriz de prioridades en relación a cómo mejorar la eficiencia tecnológica (como formar a los empleados en determinados protocolos o definir escenarios de crisis ante un ciberataque y cómo reaccionar).
Qué incluye
Dependiendo de la situación particular de una empresa (capacidad económica, tiempo, expertise de su personal,…) se puede realizar internamente la auditoría tecnológica, comandada por el CTO (del inglés Chief Technology Officer o director de tecnología), el responsable financiero y el director general, o encargarla externamente, a una firma independiente que garantizará si cabe un análisis más objetivo. Así lo refleja, por ejemplo, este informe de la universidad australiana RMIT, que asegura que la adecuada combinación entre especialistas tecnológicos con otros expertos en gestión y dirección es lo que garantiza el éxito de una auditoría de estas características.
Eso sí, en cualquier caso debe tratarse de un equipo profesional experimentado para que pueda acometer tareas técnicas como el inventario del parque informático de la organización, evaluar los mapas de la arquitectura de red, realizar test de rendimiento de comunicaciones, o elaborar un informe fotográfico del cableado. De hecho, según KPMG, las conclusiones que salen de estos análisis y que han sido elaborados por especialistas tecnológicos, si cuentan con el apoyo del equipo directivo interno para su implementación en una auditoría general de la entidad “contribuyen decisivamente a mejorar en el futuro la eficiencia y efectividad de los procesos de la entidad”.
La evaluación que se realizará incluirá los sistemas de seguridad de la entidad (herramientas y protocolos para contrarrestar ciberamenazas, firewalls y antivirus contratados, protección de la intranet, uso de firma digital y de contraseñas así como de otros mecanismos de identificación, etc.), las tecnologías de comunicación (apps de videoconferencia telemática, utilización de chats y de mensajes internos, conectividad de los teléfonos móviles y ordenadores, etc.), gestión de los datos (por ejemplo, si se utilizan servidores propios o la Nube), software (uso de CRM, ERP u otros sistemas operativos) y hardware (estado general de la maquinaria, los equipos tecnológicos y toda la infraestructura tecnológica de la empresa).
Prevención y ciberseguridad: partes de la cultura empresarial
En 2019, de acuerdo a las cifras de DBK, el mercado de la ciberseguridad facturó en España más de 1.200 millones de euros, con un crecimiento interanual que superó el 7%. Sin embargo, esta mayor preocupación de las empresas por los delitos virtuales refleja también un dato llamativo: la mayor parte de las medidas proactivas de prevención se toman después de sufrir un ataque importante.
Puede interesarte: Coronavirus: La seguridad en internet, en el punto de mira de las empresas
De hecho, la mayor parte de las compañías, tanto grandes como pequeñas, desconocen que están descuidando entornos como la seguridad perimetral o no se preocupan en poner al día sus firewalls ni realizar backups periódicos, lo que, además de exponerles con más facilidad al ataque de los ciberdelincuentes, les puede acarrear consecuencias económicas y hasta penales a sus directivos si se demuestra que no se han cumplido con los protocolos establecidos por la ley en relación al compliance, tal y como afirman desde la World Compliance Association.
Por ello, cualquier estrategia de ciberseguridad debe de ir acompañada de un programa de compliance. Es aconsejable que las empresas dispongan de una serie de políticas, procedimientos y códigos de conducta por escrito, que sean transmitidos a sus empleados, y que cumplan con la regulación. Además de impulsar buenas prácticas y fomentar un ambiente en el que se promuevan valores como el compañerismo, la sinceridad y la profesionalidad entre los trabajadores, es necesario llevar a cabo auditorías internas para identificar posibles comportamientos por parte de los empleados que comprometan la seguridad de la empresa.
