En
esta semana Adobe ha anunciado que ha sido objeto de un importante ataque
informático, en el que se han visto comprometidos los datos confidenciales y
personales de millones de sus clientes. Los hackers han obtenido acceso a las
ID de cliente de Adobe y contraseñas encriptadas de aproximadamente 2,9
millones de clientes de la compañía. Como resultado del ataque, se han
visto expuestos los nombres de los clientes, números cifrados de
tarjetas de débito y crédito, fechas de vencimiento y otra información relativa
a los pedidos del cliente, informa ZD Net.
Situaciones
como estas podrían poner los nervios de puntas a cada auditor interno de esta
prestigiosa organización, por lo que deberíamos preguntarnos:
¿Estamos
los auditores internos latinoamericanos listos para ayudar a nuestras
organizaciones a hacer frente a situaciones como estas?
La
actividad de auditoría interna debe evaluar si el gobierno de tecnología de la
información de la organización apoya las estrategias y objetivos de la
organización.
¿Qué
es Gobierno de tecnología de la información?
Consiste
en el liderazgo, las estructuras de la organización y los procesos que aseguran
que la tecnología de la información de la empresa soporta las estrategias y
objetivos de la organización.
Las
Normas son claras los auditores internos deben tener conocimientos suficientes:
-De
los riesgos y controles clave en tecnología de la información y de las técnicas
de auditoría interna disponibles basadas en tecnología que le
permitan desempeñar el trabajo asignado.
Sin embargo, no se
espera que todos los auditores internos tengan la experiencia de aquel auditor
interno cuya responsabilidad fundamental es la auditoría de tecnología de la
información.
-Para
evaluar el riesgo de fraude y la forma en que se gestiona por parte de
la organización, pero no es de esperar que tengan conocimientos similares a los
de aquellas personas cuya responsabilidad principal es la detección e
investigación del fraude.
El
auditor interno debe ejercer el debido cuidado profesional al considerar:
1.El
alcance necesario para alcanzar los objetivos del trabajo;
2.La
relativa complejidad, materialidad o significatividad de asuntos a los cuales
se aplican procedimientos de aseguramiento;
3.La
adecuación y eficacia de los procesos de gobierno, gestión de riesgos y
control;
4.La
probabilidad de errores materiales, fraude o incumplimientos; y
5.El
coste de aseguramiento en relación con los beneficios potenciales.
Por
lo que es necesario el preocuparnos por adquirir conocimientos sobre tecnología
de la información el Instituto de Auditores Internos Global (IIA) ha emitido
varias Guías de Auditoría de Tecnología Global (GTAG por sus siglas en inglés);
las Guías de Auditoría de Tecnología son un componente fuertemente recomendado
para su aplicación, dentro del Marco para la Práctica Profesional de la
Auditoría Interna (IPPF por sus siglas en inglés). Identifican diversos niveles
de conocimiento de TI necesarios en toda la organización para proporcionar un
“enfoque sistemático y disciplinado que permita evaluar y mejorar la eficacia
de los procesos de gestión de riesgos, control y gobierno”. Las publicaciones
GTAG destacan que los conocimientos sobre cómo se utilizan las TI, sus riesgos
asociados y la capacidad de utilizar las TI como recursos son esenciales para
que el auditor interno sea eficaz en todos los niveles.
Existen
tres GTAG que debemos familiarizarnos para ayudarnos a enfrentar problemas como
el ocurrido en Adobe, estas son:
Guía
de Auditoría de Tecnología Global (GTAG) 3 - Auditoría continúa: implicancias
para el aseguramiento, la supervisión y la evaluación de riesgos
Esta
GTAG se centra en aspectos de la auditoría continua basados en la tecnología y
explica:
-Una
reseña y los antecedentes de conceptos similares empleados a lo largo de los
últimos 30 años.
-Una
definición de términos y técnicas relacionados: auditoría continua, evaluación
continua de riesgos, evaluación continua de control, supervisión continua y
aseguramiento.
-El
rol de la auditoría continua en relación con la supervisión continua.
-Las
áreas en las cuales, una auditoría continua, puede ser aplicada por la
actividad de la auditoría interna.
-Los
desafíos y las oportunidades relacionados con la auditoría continúa.
-Las
implicancias para la auditoría interna, el DEA y la dirección.
-Una
herramienta de autoevaluación de auditoría continúa.
Guía
de Auditoría de Tecnología Global (GTAG) 4 - Gestión de auditoría de tecnología
de la información
Esta
guía ha sido creada para asistir al Director Ejecutivo de Auditoría Interna
(DEA)
en la planificación y gestión de la función de auditoría de TI con mayor
eficacia y eficiencia, y contempla lo siguiente:
-Definir
la TI – ¿Qué áreas se deben tener en cuenta para incluir en el plan de
auditoría de TI? El DEA debe poder medir el alcance de la auditoría de TI
previsto contra las pautas presentadas aquí para asegurar que el alcance de los
procedimientos de auditoría de TI es adecuado.
-Evaluar
los riesgos asociados a la TI – Está claro que la evolución de la TI
conlleva nuevos riesgos para la organización. Esta guía asistirá a la dirección
ejecutiva de auditoría interna a determinar la mejor manera de identificar y
cuantificar los riesgos relacionados con la TI. Esto les ayudará a asegurarse
de que los procedimientos y recursos de auditoría de TI se centren en las áreas
que representan el mayor riesgo para la organización.
-Definir
el universo de auditoría de TI – Normalmente los recursos para la
auditoría de TI son escasos, y los requerimientos de auditoría de TI son
sustanciales. La sección para la definición del universo de auditoría puede
ayudar al DEA a comprender cómo construir un plan de auditoría de TI que logre
un equilibrio entre las necesidades de auditoría de TI y las limitaciones de
los recursos.
-Ejecutar
la auditoría de TI – La proliferación y complejidad de la TI provoca
la necesidad de elaborar nuevos procedimientos de auditoría de TI.
Guía
de Auditoría de Tecnología Global (GTAG) 6: Gestión y auditoría de puntos
vulnerables de tecnología de la información
Esta
guía fue desarrollada para ayudar a los directores ejecutivos de auditoría
(DEA, en inglés) a formular las preguntas correctas al personal de seguridad de
TI, cuando evalúan la eficacia de sus procesos de gestión de puntos
vulnerables. La guía recomienda prácticas de gestión específicas para asistir a
la organización en el logro y sostenimiento de altos niveles de eficacia y
eficiencia, a la vez que ilustra las diferencias entre los esfuerzos, de alto y
bajo rendimiento, de gestión de puntos vulnerables.Después de leer esta guía,
usted podrá realizar lo siguiente:
-Tener
conocimiento práctico de los procesos de gestión de puntos vulnerables.
-Tener
la habilidad de poder diferenciar entre organizaciones de alto y bajo
rendimiento en cuanto a gestión de puntos vulnerables.
-Familiarizarse
con el avance típico de niveles de capacidad, desde un enfoque basado en la
tecnología, a un enfoque basado en el riesgo y, por último, a
un enfoque basado en un proceso de TI.
-Proporcionar
una guía útil a la dirección de TI sobre mejores prácticas para la gestión de
puntos vulnerables.
-Poder
vender sus recomendaciones más eficazmente al Director de TI (DTI), Director de
Seguridad de la Información (CISO, en inglés), Presidente (CEO) y al Director
Financiero (CFO, en inglés).
Por: Nahunfrett reconocido conferencista especializado en temas sobre auditoría.
La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de ningún individuo o entidad en particular. No tiene motivos económicos y no se puede entender como una asesoría al tema expuesto por el autor.
La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de ningún individuo o entidad en particular. No tiene motivos económicos y no se puede entender como una asesoría al tema expuesto por el autor.
0 comentarios:
Publicar un comentario