Tecnología de Información y Fraude

En esta semana Adobe ha anunciado que ha sido objeto de un importante ataque informático, en el que se han visto comprometidos los datos confidenciales y personales de millones de sus clientes. Los hackers han obtenido acceso a las ID de cliente de Adobe y contraseñas encriptadas de aproximadamente 2,9 millones de clientes de la compañía. Como resultado del ataque, se han visto expuestos los nombres de los clientes, números cifrados de tarjetas de débito y crédito, fechas de vencimiento y otra información relativa a los pedidos del cliente, informa ZD Net.

Situaciones como estas podrían poner los nervios de puntas a cada auditor interno de esta prestigiosa organización, por lo que deberíamos preguntarnos:

¿Estamos los auditores internos latinoamericanos listos para ayudar a nuestras organizaciones a hacer frente a situaciones como estas?

La actividad de auditoría interna debe evaluar si el gobierno de tecnología de la información de la organización apoya las estrategias y objetivos de la organización.

¿Qué es Gobierno de tecnología de la información?

Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.

Las Normas son claras los auditores internos deben tener conocimientos suficientes:

§  De los riesgos y controles clave en tecnología de la información y de las técnicas de auditoría interna disponibles basadas en tecnología que le permitan  desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información.

§  Para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.

El auditor interno debe ejercer el debido cuidado profesional al considerar:

1.    El alcance necesario para alcanzar los objetivos del trabajo;

2.    La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;

3.    La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;

4.    La probabilidad de errores materiales, fraude o incumplimientos; y

5.    El coste de aseguramiento en relación con los beneficios potenciales.

Por lo que es necesario el preocuparnos por adquirir conocimientos sobre tecnología de la información el Instituto de Auditores Internos Global (IIA) ha emitido varias Guías de Auditoría de Tecnología Global (GTAG por sus siglas en inglés); las Guías de Auditoría de Tecnología son un componente fuertemente recomendado para su aplicación, dentro del Marco para la Práctica Profesional de la Auditoría Interna (IPPF por sus siglas en inglés). Identifican diversos niveles de conocimiento de TI necesarios en toda la organización para proporcionar un “enfoque sistemático y disciplinado que permita evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”. Las publicaciones GTAG destacan que los conocimientos sobre cómo se utilizan las TI, sus riesgos asociados y la capacidad de utilizar las TI como recursos son esenciales para que el auditor interno sea eficaz en todos los niveles.

Existen tres GTAG que debemos familiarizarnos para ayudarnos a enfrentar problemas como el ocurrido en Adobe, estas son:

Guía de Auditoría de Tecnología Global (GTAG) 3 - Auditoría continúa: implicancias para el aseguramiento, la supervisión y la evaluación de riesgos

Esta GTAG se centra en aspectos de la auditoría continua basados en la tecnología y explica:

§  Una reseña y los antecedentes de conceptos similares empleados a lo largo de los últimos 30 años.

§  Una definición de términos y técnicas relacionados: auditoría continua, evaluación continua de riesgos, evaluación continua de control, supervisión continua y aseguramiento.

§  El rol de la auditoría continua en relación con la supervisión continua.

§  Las áreas en las cuales, una auditoría continua, puede ser aplicada por la actividad de la auditoría interna.

§  Los desafíos y las oportunidades relacionados con la auditoría continúa.

§  Las implicancias para la auditoría interna, el DEA y la dirección.

§  Una herramienta de autoevaluación de auditoría continúa.

Guía de Auditoría de Tecnología Global (GTAG) 4 - Gestión de auditoría de tecnología de la información

Esta guía ha sido creada para asistir al Director Ejecutivo de Auditoría Interna

(DEA) en la planificación y gestión de la función de auditoría de TI con mayor eficacia y eficiencia, y contempla lo siguiente:

§  Definir la TI – ¿Qué áreas se deben tener en cuenta para incluir en el plan de auditoría de TI? El DEA debe poder medir el alcance de la auditoría de TI previsto contra las pautas presentadas aquí para asegurar que el alcance de los procedimientos de auditoría de TI es adecuado.

§  Evaluar los riesgos asociados a la TI – Está claro que la evolución de la TI conlleva nuevos riesgos para la organización. Esta guía asistirá a la dirección ejecutiva de auditoría interna a determinar la mejor manera de identificar y cuantificar los riesgos relacionados con la TI. Esto les ayudará a asegurarse de que los procedimientos y recursos de auditoría de TI se centren en las áreas que representan el mayor riesgo para la organización.

§  Definir el universo de auditoría de TI – Normalmente los recursos para la auditoría de TI son escasos, y los requerimientos de auditoría de TI son sustanciales. La sección para la definición del universo de auditoría puede ayudar al DEA a comprender cómo construir un plan de auditoría de TI que logre un equilibrio entre las necesidades de auditoría de TI y las limitaciones de los recursos.

§  Ejecutar la auditoría de TI – La proliferación y complejidad de la TI provoca la necesidad de elaborar nuevos procedimientos de auditoría de TI.

Guía de Auditoría de Tecnología Global (GTAG) 6: Gestión y auditoría de puntos vulnerables de tecnología de la información

Esta guía fue desarrollada para ayudar a los directores ejecutivos de auditoría (DEA, en inglés) a formular las preguntas correctas al personal de seguridad de TI, cuando evalúan la eficacia de sus procesos de gestión de puntos vulnerables. La guía recomienda prácticas de gestión específicas para asistir a la organización en el logro y sostenimiento de altos niveles de eficacia y eficiencia, a la vez que ilustra las diferencias entre los esfuerzos, de alto y bajo rendimiento, de gestión de puntos vulnerables.Después de leer esta guía, usted podrá realizar lo siguiente:

§  Tener conocimiento práctico de los procesos de gestión de puntos vulnerables.

§  Tener la habilidad de poder diferenciar entre organizaciones de alto y bajo rendimiento en cuanto a gestión de puntos vulnerables.

§  Familiarizarse con el avance típico de niveles de capacidad, desde un enfoque basado en la tecnología, a un enfoque basado en el riesgo y, por último, a un  enfoque basado en un proceso de TI.

§  Proporcionar una guía útil a la dirección de TI sobre mejores prácticas para la gestión de puntos vulnerables.

§  Poder vender sus recomendaciones más eficazmente al Director de TI (DTI), Director de Seguridad de la Información (CISO, en inglés), Presidente (CEO) y al Director Financiero (CFO, en inglés).

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!