¿Auditoría o Consultoría?

Suele ser habitual confundir, mezclar, equivocar estos dos términos sino estás en el mundillo de alguna de las dos. Desde que obtuve la certificación CISA para realizar auditorías de sistemas de información me he dado cuenta que a veces los clientes quieren contratar un servicio cuando realmente quieren otro. Es decir, por ejemplo contratan una auditoría de red y realmente quieren que les digas cómo dimensionar la red para incorporar nuevos servicios o contratan un curso de formación y realmente quieren que analices su arquitectura de red y le propongas puntos de mejora. Por tanto, voy a intentar definir estos dos conceptos para que quede claro cuando utilizar uno u otro:

Auditoría: Contrataremos una auditoría para que nos analicen nuestro sistema, ya sea un sistema de gestión para revisar procesos y procedimientos, analizar la red para detectar cuellos de botella, consumos de ancho de banda o flujos de conexión, o revisar la seguridad de nuestra TI para que nos digan lo bien o mal que lo estamos haciendo contrastando los resultados con las mejores prácticas del sector. Es decir, contrataremos un auditoría siempre para mirar hacia atrás en el tiempo, qué pasó y por qué.

Consultoría: Contrataremos una consultoría para obtener recomendaciones para implantar un nuevo sistema, ya sea para implantar nuevos procesos y procedimientos, instalar un nuevo sistema de seguridad perimetral o interconectar varias sedes para acceder a recursos internos. Es decir, una consultora nos puede ayudar a elegir la tecnología que mejor se adapte a nuestra organización, les contaremos qué problema queremos resolver y ellos buscarán una solución. Siempre contrataremos una consultoría para mirar hacia adelante en el tiempo, qué problema queremos resolver y cómo lo podemos hacer.

Además de auditorías y consultorías también tenemos análisis forenses y planes de formación que no debemos confundir. Es decir, un analista forense utilizará los registros de auditoría para dar un veredicto de qué pasó, mientras que la formación se utiliza para aprender nuevos conceptos y técnicas, y no debemos confundirlo con una consultoría donde queremos explicar cómo tenemos montado nuestra plataforma para que nos den recomendaciones de mejora.

En definitiva, conceptos que una vez que los tenemos claros es fácil saber qué tipo de servicio necesitamos y qué podemos esperar de cada uno de ellos.

Como siempre, cualquier aclaración o comentario será bienvenido.

Un saludo amigos.