Tecnologías emergentes y auditoría interna: retos y oportunidades

El aumento actual de la digitalización, en diversos sectores económicos, productivos y en toda clase de organizaciones, ha traído consigo un gran número de nuevas amenazas de riesgos; principalmente de ciberseguridad en tecnologías de la información (TIs).

El uso creciente tanto de dispositivos móviles e inteligentes, como de computación en la nube, también llamada “la nube”, ha disparado la cantidad de incidentes sobre el uso indebido de los datos de los clientes, dañando la reputación de las organizaciones.

Esta amenaza latente de violaciones de seguridad de TI, ha obligado a las organizaciones a recurrir a la auditoría interna como herramienta esencial para la gestión de los riesgos, aún desconocidos para muchos directivos y ejecutivos asociados a las TIs.

De acuerdo con un estudio reciente, sobre el “Estado de la Profesión de Auditoría Interna”, la privacidad y seguridad de los datos representan el principal desafío en seguridad para las organizaciones, frente a los nuevos riesgos de las TIs emergentes y de rápida evolución. 

Por otra parte, los avances e innovaciones en TI también son implementados como herramientas para facilitar el manejo de la información; toda vez que, permiten la optimización y automatización de procesos complejos, ofreciendo mejores resultados.

De este modo, las TIs abren un panorama de nuevas oportunidades en el campo de la auditoría interna para las organizaciones; tal es el caso del uso de los servicios en la nube, como veremos más adelante.

Ciberseguridad: un reto para la auditoría interna

Hoy en día, muchas organizaciones continúan implementando controles de seguridad de TI tradicionales, para evitar ataques en sus redes y entornos; sin embargo, estos controles no contemplan y, por tanto, no atienden la multicidad de canales de internet ni la complejidad de las relaciones con terceros.

En este sentido, las organizaciones deben comprender el valor de su información y el lugar donde se almacena; de la misma forma, que el riesgo real al que se encuentra expuesta por un posible ataque, así como, del impacto financiero que la pérdida o el robo de datos pudiera ocasionar.

En este aspecto, la auditoría interna puede plantearse preguntas durante su planeación, a modo de guía para garantizar que la organización cuenta con una gestión de riesgos eficiente y eficaz. Por ejemplo:

• ¿Existe un registro central de activos de información importantes?
• ¿Se ha calculado el riesgo de estos activos de información y se ha acordado un apetito de riesgo adecuado?
• ¿Se han mapeado los activos de información en las redes y sistemas de TI?
• ¿Qué controles de seguridad internos existen para segregar información importante y garantizar que solo aquellos que necesitan acceder a ella puedan hacerlo?
  
  

Puntos clave de la auditoría interna, en el uso de las TI

La auditoría interna debe considerar enfocarse en las siguientes áreas, para garantizar el control de riesgos asociados a las TIs:

• Acuerdos contractuales: ayudar a las organizaciones a obtener una comprensión clara sobre las responsabilidades del proveedor de servicios de TI; asimismo, determinar qué recursos tiene para actuar frente a violaciones o incidentes de seguridad y para el cumplimiento de las regulaciones aplicables.
  
  
• Controles de acceso: asegurarse que el proveedor ha implementado y aplicado controles administrativos para limitar el acceso de los empleados, socios o cadena de suministro a la información. 
  
  
• Certificación y auditorías de terceros: es importante verificar que los proveedores de servicios tienen algún tipo de revisión y evaluación de terceros sobre sus controles internos. Así como, comprobar que cuentan con las certificaciones correspondientes.
  
  
• Requisitos de cumplimiento: determinar si el proveedor cumple con las necesidades de cumplimiento, de acuerdo a las especificidades de cada organización. 

Un factor crítico es la ubicación geográfica de los servidores del proveedor; pues se deben conocer las leyes que afectan los datos según el país en el que puedan residir o en el que sean procesados.

• Disponibilidad, confiabilidad y resiliencia: establecer acuerdos y responsabilidades para que sea posible medir en disponibilidad y confiabilidad los niveles de servicio.
  
  
• Copia de seguridad y recuperación: asegurar que los requisitos de recuperación ante desastres estén claramente definidos y las responsabilidades se comprendan bien, pues es fundamental que, antes de contratar a un proveedor, se entiendan a profundidad sus capacidades al respecto.
  
  
• Borrado seguro de información: corroborar que los datos se eliminarán de forma segura una vez que ya no sean necesarios.
  
  

TI como herramienta en la auditoría interna

La implementación de TIs en la auditoría interna tiene un impacto que resulta de enorme beneficio para las empresas; las ventajas que proveen a las organizaciones se pueden englobar principalmente en tres principios: eficiencia, eficacia y reducción de riesgos.

Por un lado, ayudan a lograr un correcto control interno, lo que en términos de seguridad favorece para generar mayor confianza en el uso de las TIs en diversas áreas y procesos, favoreciendo así la eficiencia en la operativa general de las organizaciones. 

Por otro lado, herramientas como los servicios en la nube posibilitan agilizar y simplificar procesos complejos; permiten el manejo de grandes volúmenes de datos o información, reduciendo de esta forma los márgenes de error humano.

De igual manera, mediante el uso de TI es posible automatizar procesos clave de la auditoría interna, como lo son la evaluación, gestión y control de amenazas de riesgo e incumplimiento, ya sea en las instalaciones del usuario o en las de los proveedores estratégicos. 

De esta forma, la auditoría interna ejecutada mediante herramientas de TIs garantiza la reducción de riesgos por incumplimiento o amenazas; y permite el aprovechamiento de los servicios en la nube y otras TI, favoreciendo que se obtengan los beneficios esperados. 

Contar con un proceso óptimo de control interno, permite a las organizaciones mejorar su capacidad de reacción y prevención de riesgos, aún ante aquellos que todavía se desconocen. 

En ORCA contamos con una solución robusta para ayudarte a que tus procesos de auditorías internas deriven en acciones de control de riesgo efectivas. Para conocer más sobre el control de procesos críticos, descarga nuestra guía gratuita, y obtén información estratégica que te será de valor.