21/09/2003 Sistemas bajo control Varios colectivos luchan por capitalizar la auditoría informática, un oficio en auge Virus informáticos como Blaster o Sobig desataron el pánico entre particulares, empresas e instituciones en verano. La repetición de esos sobresaltos puede evitarse con la acción de los auditores informáticos, especialistas en detectar las debilidades de los sistemas. El problema es que en España el oficio carece de regulación y diversos colectivos se disputan un pastel goloso y con mucho futuro. El 11-S de 2001 cambiaron muchas cosas en el mundo. Una de ellas fue la concienciación de las empresas sobre la necesidad de disponer de planes de contingencia fiables que les permitan salvar sus bases de datos informáticos en caso de catástrofe. Desde entonces, la profesión de auditor informático ha experimentado un auge sin precedentes en todo el mundo. Su misión consiste en escudriñar a fondo los sistemas electrónicos de tratamiento de la información de una entidad, evaluar su salud y emitir un informe sobre sus puntos críticos. En España, esta situación se ve reforzada por la entrada en vigor de normas como la Ley de Protección de Datos, que obliga a las empresas que manejan información sensible a realizar auditorías, básicamente de tipo informático, cada dos años. O como la nueva regulación sobre el buen gobierno corporativo, que exige la existencia de un control interno sobre los sistemas de información. Por citar un ejemplo, una firma como Deloitte & Touche cuenta en España con 100 personas dedicadas en exclusiva a la auditoría informática. Sus planes son que el número crezca en los próximos años. Estamos ante un oficio floreciente, al que acuden profesionales de origen universitario diferente, principalmente ingenieros informáticos, pero también auditores de cuentas, ingenieros de telecomunicaciones, abogados, matemáticos, físicos y economistas. La profesión no está regulada. El sistema de acceso a este empleo, por la vía de los hechos consumados, consiste en obtener la certificación CISA (siglas en inglés de Auditor Certificado de Sistemas de Información), un título reconocido internacionalmente para el que cada día surgen más cursos de preparación, master y posgrados. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 Formación intensiva 'El primer paso para ser CISA es pasar un examen que se hace una vez al año, simultáneamente, en las más de 100 sedes de ISACA [la organización que concede este certificado] en el mundo; posteriormente se debe acreditar cinco años de experiencia en el área y, a continuación, cumplir un plan de formación continuo en la materia, acreditando 120 horas de formación cada tres años', explica Francisco Llabrés, responsable de Auditoría del Centro de Tecnología de la Información (CTI) de la Universidad de las Islas Baleares y secretario de la sección de Barcelona de ISACA. Esta organización tiene también sedes en Madrid y Barcelona. Dado que son las consultoras y auditoras las que fundamentalmente se encargan de proveer de auditores informáticos, ellas se encargan de formar a estos profesionales para que obtengan este título y acrediten experiencia previa. Juan Miguel Ramos, socio-director del departamento de Servicios de Riesgo Empresarial de Deloitte & Touche, aclara que su firma se nutre básicamente de ingenieros informáticos y de telecomunicaciones, aunque también hay bastantes matemáticos y, en menor medida, físicos y economistas. Las claves, en su opinión, 'están en dar mucha formación, muy intensa al principio, pero continuada siempre para estar al día, y en hacer hincapié en la enseñanza de contabilidad, ya que los ingenieros es en lo que más flojean y se precisa que, a su experiencia informática, unan esos conocimientos contables y una mentalidad de control, que CISA proporciona muy bien'. ¿Es bueno que los auditores informáticos tengan un origen tan variado? Según Emilio del Moral, secretario de la Asociación de Doctores, Licenciados e Ingenieros en Informática de España (ALI), la respuesta es negativa: 'Estas auditorías sólo deberían hacerlas las personas que han sido formadas técnicamente para notificar y aconsejar con conocimiento de causa sobre el estado de los sistemas informáticos, es decir, los ingenieros e ingenieros técnicos en informática', colectivo que, según ALI, ya suma unas 30.000 personas en nuestro país. Diferente es la óptica de los auditores, oficio que cada día se orienta más hacia la auditoría informática, ya que las empresas tienden al empleo masivo de bases de datos en soportes digitales, reconoce Alberto Marco, responsable de tecnologías de la información del Instituto de Auditores-Censores Jurados de Cuentas de España. En su opinión, lo ideal es que estos nuevos profesionales 'tengan el doblete, es decir, sean auditores financieros por carrera y auditores informáticos por especialización'. Internamente este instituto ha creado la figura del Auditor Informático Profesional (AIP), con el que distinguen a los auditores financieros que obtienen el título CISA, una forma de animar su reciclaje hacia la informática. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2