Diseño de un Departamento de Auditoría Informática para una Institución del Sector Público.

Abstract

Este proyecto de título propone la creación de un Departamento de Auditoría Informática en una institución pública chilena, con el objetivo de fortalecer la seguridad de la información, el cumplimiento normativo y la gobernanza tecnológica. A lo largo de los seis capítulos del informe se desarrolla este planteamiento: en el Capítulo 1 se presenta la introducción y contexto general; el Capítulo 2 describe los antecedentes, incluyendo problemática, objetivos y bases teóricas; el Capítulo 3 analiza la situación actual de la organización (procesos de TI, deficiencias y riesgos); el Capítulo 4 detalla la propuesta de mejora basada en el ciclo PDCA (Plan-Do-Check-Act), con el diseño organizacional del nuevo departamento y su plan de implementación; el Capítulo 5 ofrece un análisis económico, comparando costos y beneficios de implantar el departamento; y el Capítulo 6 presenta las conclusiones finales. En particular, el análisis económico del Capítulo 5 estima tanto la inversión inicial como los costos operativos del departamento (por ejemplo, capacitación especializada, certificaciones ISO, salarios y herramientas), comparándolos con los costos potenciales de no contar con esta solución (como pérdidas por incidentes y sanciones regulatorias). Este contraste muestra que la inversión en el departamento se justifica plenamente: por un lado se reducen sustancialmente los riesgos económicos asociados a brechas de seguridad (cada incidente grave puede costar miles de millones de pesos, frente a un costo anual operativo del departamento en el orden de decenas de millones); por otro lado, se obtienen beneficios intangibles clave (mejor reputación institucional, cumplimiento continuo, mayor confianza pública) que, aunque difíciles de cuantificar, aportan un valor estratégico. En conjunto, el trabajo demuestra que la creación del Departamento de Auditoría Informática no solo es viable, sino que agregará un beneficio tangible y significativo a la institución en el largo plazo.

This final project consisted in the design of an IT Audit Department for a public sector organization, aiming to strengthen the institution’s information security and regulatory compliance. First, an exhaustive analysis of the current state of the organization’s IT security posture was conducted, identifying critical deficiencies, risks, and gaps in key technological processes. Root cause analysis (Ishikawa diagram) and risk criticality assessment methodologies were applied to understand the factors contributing to the detected problems and to prioritize their severity. The theoretical framework was reviewed, including international standards such as ISO/IEC 27001 and local regulations, to conceptually support the proposal. Based on this diagnosis, an integrated proposal was developed, covering the organizational structure, functions, policies, and procedures of the new department, as well as an initial plan for internal IT audits. The implementation proposal for the department is framed within a continuous improvement cycle PDCA (Plan-Do-Check-Act), projecting future actions. In the planning phase, the necessary tasks, resources, and timeline to establish the new unit were defined, including staff training and acquisition of specialized tools. In the execution phase (Do), the steps to launch the department and carry out the first pilot audits were detailed. Subsequently, metrics and indicators were established in the Check phase to evaluate the department’s performance (for example, reduction in security incidents and achievement of audit objectives). Finally, improvement and adjustment actions (Act) were considered, so that the department can adapt and evolve in the face of new challenges. A cost-benefit analysis was also performed: the financial projections indicate that the initial investment required to implement the department is offset by the expected benefits in terms of reduced risks and non-compliance. In summary, the creation of the proposed IT Audit Department is not only feasible but will provide significant value to the organization by improving its cybersecurity posture and ensuring the integrity of its technological processes in the long term.