Por: Ratan Singh, tomado del blog de ISACA.org
Los auditores de SI se encargan de evaluar y garantizar la integridad, seguridad, disponibilidad y cumplimiento de los sistemas de información. Sus responsabilidades incluyen la revisión de los controles de acceso, la gobernanza de TI, la protección de datos, los protocolos de respaldo y el cumplimiento de normativas internacionales y locales como el RGPD, el Marco de Referencia de Seguridad (RMF) del NIST entre otros.
A medida que estos sistemas se vuelven más complejos, los métodos manuales tradicionales de auditoría tienen dificultades para mantener el ritmo. La IA permite a los auditores analizar grandes conjuntos de datos, detectar patrones y automatizar tareas rutinarias, lo que les permite centrarse en la recopilación de datos y centrarse en el análisis de riesgos y las recomendaciones estratégicas.
Cómo la IA mejora las auditorías de SI
1. Análisis inteligente de registros y anomalías. Auditar manualmente los registros del sistema y de la red no solo requiere mucho tiempo, sino que a menudo resulta ineficaz para identificar anomalías sutiles. Las herramientas de IA pueden procesar registros a gran escala mediante algoritmos de aprendizaje automático para detectar patrones inusuales, como intentos de inicio de sesión no autorizados, transferencias de datos inusuales o actividad irregular del usuario.
Ejemplo: durante una auditoría de SI de un sistema de pago digital, un motor de IA puede identificar múltiples intentos fallidos de inicio de sesión desde una dirección IP que luego accedieron a datos financieros confidenciales.
2. Planificación de auditorías basada en riesgos. La IA puede evaluar datos históricos de auditoría, panoramas de amenazas actuales y tendencias operativas para priorizar dinámicamente las áreas de alto riesgo. Esto facilita una planificación de auditorías más inteligente y una asignación óptima de recursos.
Ejemplo: mapeo de riesgos impulsado por IA para resaltar vulnerabilidades en el sistema de gestión de identidad de una infraestructura en la nube, lo que impulsa pruebas específicas y controles preventivos.
3. Pruebas de control continuas. En lugar de revisiones periódicas, la IA permite la monitorización y prueba en tiempo real de los controles internos. Los bots automatizados pueden verificar continuamente los derechos de acceso de los usuarios, los cambios en la configuración del sistema o las infracciones de segregación de funciones.
Ejemplo: en una gran empresa, las herramientas de IA pueden monitorear continuamente los controles de acceso basados en roles y marcar los casos en los que los ex empleados conservaron el acceso después de la terminación, lo que permite una remediación inmediata.
4. Procesamiento del Lenguaje Natural para el Cumplimiento de Políticas. Las capacidades de procesamiento del lenguaje natural de la IA permiten revisar y comparar las políticas, los procedimientos y los documentos de cumplimiento organizacionales con los requisitos regulatorios aplicables.
Ejemplo: Un motor de IA cruzó referencias de políticas de seguridad de TI internas con mandatos de privacidad de datos, identificando áreas donde se necesitaban actualizaciones para seguir cumpliendo con las leyes de protección de datos en constante evolución.
5. Inteligencia de amenazas mejorada. Las plataformas de inteligencia de amenazas basadas en IA analizan el comportamiento interno del sistema junto con fuentes externas, como bases de datos de vulnerabilidades e informes de incidentes. Esta visión integral facilita la toma de mejores decisiones de auditoría.
Alineación y gobernanza del marco
El uso de IA en la auditoría de SI debe estar alineado con marcos de referencia reconocidos globalmente para mantener la integridad de la auditoría. Marcos como COBIT y el RMF del NIST enfatizan la importancia de la alineación estratégica, la gobernanza de riesgos y la monitorización continua. Estos principios son fundamentales para implementar la IA de forma responsable.
Los auditores deben garantizar que las herramientas de IA cumplan con estos estándares mediante la validación de la precisión del modelo, el mantenimiento de la documentación adecuada y la integración de registros de auditoría para las decisiones basadas en IA.