Si a una època de disrupció digital com l’actual hi sumem l’impacte que està tenint la crisi tant en l’àmbit macroeconòmic com en el teixit empresarial, s’entén perfectament la necessitat de dur a terme una auditoria tecnològica que avaluï l’estat del patrimoni d’una companyia relacionat amb les TIC. El seu objectiu fonamental és clar, tal com revelen diversos informes com aquest de l’Institut d’Auditors Interns (IIA): analitzar si s’està aprofitant el potencial tecnològic i en quin grau, en funció de les metes empresarials que s’hagin marcat, detectant sobretot les debilitats que hi ha (per exemple, en temes d’obsolescència) per identificar en què convé fer properes inversions per millorar.
Una auditoria tecnològica no és una cosa supèrflua ni que obstaculitzi la gestió diària d’una empresa, sinó que té una importància crítica atès que cada vegada hi ha més processos plenament digitals. Tant és així que informes com el «2019 IT Audit Benchmarking Study» identifiquen que els cinc principals reptes per a una empresa global són la ciberseguretat i la privacitat, la gestió i el govern de les dades, els canvis en l’àrea de les infraestructures i les tecnologies, les competències dels empleats i la gestió dels diferents proveïdors. D’altra banda, de les implementacions que els directius creuen que tenen més possibilitats d’èxit de posar-se en marxa a les seves organitzacions, les tres primeres que s’identifiquen són l’automatització de processos, la intel·ligència artificial i l’aprenentatge automàtic (machine learning) i profund (deep learning).
La tecnologia com a rendibilitat de la inversió (ROI)
Tant si parlem d’una pime com d’una empresa de gran envergadura, si es porta a terme el procediment correcte de recollida i anàlisi de dades, diversos estudis assenyalen obertament que les evidències i troballes obtingudes permetran validar els processos interns que estem duent a terme en què hi ha tecnologia implicada, i això permet poder comparar els resultats tant amb el nostre pla de negoci com amb el que estan fent els nostres competidors. En el cas d’una startup, per exemple, una auditoria tecnològica és clau per a estudiar si el seu model de negoci és realment escalable (un punt molt important perquè molts inversors es decideixin finalment a participar-hi) i per definir un full de ruta de producte, amb mètriques i arguments, que doni suport al pla de negoci.
En definitiva, una auditoria tecnològica serveix, d’acord amb empreses com BCG, per a:
- Saber quins equips, programes o aplicacions han quedat obsolets fins al punt que la inversió que s’ha de fer per adquirir-ne de nous per substituir-los compensa el seu cost econòmic.
- Establir comparacions amb altres tecnologies que s’estan aplicant per als mateixos processos, per exemple en empreses de la competència o d’indústria auxiliar, i analitzar empíricament quina és la millor distribució per aconseguir impulsar la competitivitat.
- Amb el suport d’un sistema de planificació de recursos empresarials adequat (enterprise resource planning, ERP), l’auditoria permet analitzar objectivament si tota la tecnologia que utilitza l’empresa es gestiona de manera eficient. També avalua si el programari, maquinari i altre equipament és compatible amb la capacitat d’innovació present i futura de la companyia.
- Valorar econòmicament la importància de la tecnologia en l’organització, impulsant la possibilitat o d’incrementar les habilitats de l’equip humà que hi treballa o poder establir sinergies complementàries amb altres companyies, com, per exemple, startups, fintechs o empreses d’ERP.
- Detectar males pràctiques tecnològiques a les instal·lacions, tenir una visió global de l’arquitectura de xarxa i permetre la creació d’una matriu de prioritats en relació amb com millorar l’eficiència tecnològica (com formar els empleats en determinats protocols o definir escenaris de crisi davant d’un ciberatac i com reaccionar-hi).
Què inclou
En funció de la situació particular d’una empresa (capacitat econòmica, temps, expertise del personal…) es pot fer internament l’auditoria tecnològica, comandada pel director de tecnologia (chief technology officer, CTO), el responsable financer i el director general, o encarregar-la externament a una empresa independent que garantirà, si escau, una anàlisi més objectiva. Així ho reflecteix, per exemple, aquest informe de la universitat australiana RMIT, que assegura que la combinació adequada entre especialistes tecnològics amb altres experts en gestió i direcció és el que garanteix l’èxit d’una auditoria d’aquestes característiques.
Això sí, en qualsevol cas ha de ser un equip professional experimentat perquè pugui emprendre tasques tècniques com fer l’inventari del parc informàtic de l’organització, avaluar els mapes de l’arquitectura de xarxa, fer el test de rendiment de comunicacions o elaborar un informe fotogràfic del cablatge. De fet, segons KPMG, les conclusions que surten d’aquestes anàlisis i que han elaborat especialistes tecnològics, si compten amb el suport de l’equip directiu intern per implementar-les en una auditoria general de l’entitat, «contribueixen decisivament a millorar en el futur l’eficiència i l’efectivitat dels processos de l’entitat».
L’avaluació que es farà inclourà els sistemes de seguretat de l’entitat (eines i protocols per contrarestar ciberamenaces, tallafocs i antivirus contractats, protecció de la intranet, ús de la signatura digital i de contrasenyes, així com altres mecanismes d’identificació, etc.), les tecnologies de comunicació (apps de videoconferència telemàtica, utilització de xats i de missatges interns, connectivitat dels telèfons mòbils i ordinadors, etc.), gestió de les dades (per exemple, si s’utilitzen servidors propis o el núvol), programari (ús de CRM, ERP o altres sistemes operatius) i maquinari (estat general de la maquinària, dels equips tecnològics i tota la infraestructura tecnològica de l’empresa).
Prevenció i ciberseguretat: parts de la cultura empresarial
El 2019, d’acord amb les xifres de DBK, el mercat de la ciberseguretat va facturar a Espanya més de 1.200 milions d’euros, amb un creixement interanual que va superar el 7 %. No obstant això, aquesta preocupació creixent de les empreses pels delictes virtuals també reflecteix una dada que crida l’atenció: la major part de les mesures proactives de prevenció es prenen després de patir un atac important.
Et pot interessar: Coronavirus: la seguretat a Internet, al punt de mira de les empreses
De fet, la majoria d’empreses, grans o petites, desconeixen que estan descuidant entorns com la seguretat perimetral o no es preocupen de posar al dia els seus tallafocs ni de fer còpies de seguretat diàries, la qual cosa, a més d’exposar-les amb més facilitat a l’atac dels ciberdelinqüents, pot comportar conseqüències econòmiques i fins i tot penals per als seus directius, si es demostra que no s’han complert els protocols establerts per la llei en relació amb el compliment normatiu (compliance), tal com afirmen des de la World Compliance Association.
Per això, qualsevol estratègia de ciberseguretat ha d’anar acompanyada d’un programa de compliment normatiu. És aconsellable que les empreses disposin d’una sèrie de polítiques, procediments i codis de conducta per escrit, que es transmetin als seus empleats i que compleixin la regulació. A més d’impulsar bones pràctiques i fomentar un ambient en el qual es promoguin valors com la companyonia, la sinceritat i la professionalitat entre els treballadors, cal dur a terme auditories internes per identificar possibles comportaments per part dels empleats que comprometin la seguretat de la empresa.
