Principios, programa y planificación de auditoría y gobierno de las TIC.

Principios, programa y planificación de auditoría y gobierno de las TIC.

1. Principios de auditoría.


En este apartado vamos a dar respuesta a las siguientes cuestiones.

  1. Detallar la razón fundamental de por qué la independencia constituye uno de los principios esenciales en auditoría y cómo influye de manera significativa en la integridad y validez del proceso auditor.
  2. Identificar tres contextos en los cuales pueda surgir un conflicto de independencia durante una auditoría empresarial, incluyendo al menos una situación que involucre una auditoría de primera parte llevada a cabo por una entidad externa. Se analizarán las causas subyacentes y se explicará de qué manera estas podrían impactar los resultados de la auditoría.

Solución a las cuestiones planteadas.


  1. Como bien sabemos, una auditoría se caracteriza por ser independiente y metódica. Así pues, la independencia es uno de los principios de auditoría porque es necesario garantizar por parte del auditor su imparcialidad y objetividad en las conclusiones finales de su trabajo, basándose exclusivamente en las evidencias aportadas por el cliente u obtenidas en pleno proceso de auditoría, así como que estas conclusiones no estén influenciadas por intereses externos. Cabe destacar que el auditor no tiene por qué no pertenecer a la organización que vaya a auditar, sino que debe ser independiente de la actividad que vaya a auditar. Es decir, que el auditor no debe tener conflicto de intereses, no debe estar influenciado por la actividad que vaya a llevar a cabo (que haya participado en la implantación de los sistemas a auditar, entre otros). En caso de que el auditor falte de cualquier manera posible al principio de independencia (conflicto de interés, entre otros) podría llegar a ser inhabilitado para el ejercicio y la auditoría quedar invalidada, ya que pondría en duda la confiabilidad de los resultados.
  1. En el caso de una empresa dedicada, por ejemplo, al desarrollo, comercialización y mantenimiento de aplicaciones de tipo bancario basadas en tecnologías web y criptográficas se pueden plantear varias situaciones que planteen un conflicto de independencia del auditor:
  1. Una situación en la que el auditor tenga un interés financiero en la empresa que está auditando, como una inversión significativa en sus acciones. En este caso, el auditor no puede ser considerado independiente, ya que tiene un interés personal en el éxito de la empresa y puede ser menos propenso a destacar problemas o irregularidades en su informe.
  2. Otra situación puede ser la contratación de un auditor interno que esté directamente supervisado por la administración de la empresa. En este caso, el auditor interno puede enfrentar presiones para minimizar los problemas o para no destacar áreas problemáticas que puedan reflejar negativamente en la administración.
  3. Un ejemplo de situación en la que un auditor externo podría tener un conflicto de independencia de una auditoría de primera parte es el siguiente:
    • Supongamos que la empresa contrata a un auditor externo para realizar una auditoría de seguridad en sus aplicaciones bancarias. La empresa depende en gran medida de la seguridad de sus aplicaciones bancarias para mantener su reputación y la confianza de sus clientes. Sin embargo, el auditor externo también presta servicios de seguridad cibernética a otros clientes en la misma industria, como bancos y otras empresas de tecnología financiera que compiten directamente con la empresa. En esta situación, el auditor externo podría tener un conflicto de intereses, ya que su trabajo para la empresa de tecnología financiera podría afectar negativamente a sus otros clientes. Además, el auditor externo podría tener una relación estrecha con la empresa, como una relación financiera o personal, que podría influir en su capacidad para realizar una auditoría independiente y objetiva.

En cualquiera de estas situaciones, la falta de independencia puede tener un impacto significativo en la validez de la auditoría. Los resultados de la auditoría pueden ser menos confiables si el auditor no puede proporcionar una evaluación objetiva y equilibrada. Esto puede poner en riesgo la confianza de los accionistas y los reguladores, entre otros; y por tanto los resultados de la auditoría quedarían en entredicho o invalidados por falta de rigor profesional.


2. Programa de auditoría.


En este momento, delinearemos los aspectos mínimos que debe abarcar un Programa de Auditoría, explicando su relevancia en función del propósito de establecer un marco organizativo para la Función de Auditoría dentro de una empresa. Utilizando el escenario previo de la compañía, propondremos una estructura de personal para el Área de Revisión Interna, la cual llevaría a cabo la Función de Auditoría. Detallaremos los roles necesarios junto con sus características y funciones dentro del equipo. Por último, reflexionaremos sobre los posibles desafíos en términos de dimensionamiento y disponibilidad de recursos que podría enfrentar la organización, ofreciendo opciones para abordarlos.


Solución a las cuestiones planteadas.


Un programa de auditoría es esencial para asegurar que la función de auditoría de una organización se organice y se lleve a cabo de manera efectiva y eficiente. El objeto de disponer de un programa de auditoría es asegurar que la función de auditoría de la organización se lleve a cabo de manera efectiva y eficiente. Un programa de auditoría bien diseñado y ejecutado puede ayudar a la organización a identificar áreas de mejora y a garantizar el cumplimiento de las normas y regulaciones aplicables. Además, puede proporcionar una evaluación independiente de los sistemas de control interno de la organización y ayudar a identificar y mitigar riesgos.

El Programa de Auditoría debería incluir los siguientes aspectos:

  1. Objetivos y alcance de la auditoría: Debe definirse claramente qué aspectos se auditarán, qué se evaluará, cuáles son los objetivos específicos y cuál es el alcance de la auditoría.
  2. Planificación de la auditoría: Debe establecerse un plan de auditoría que incluya el calendario de auditoría, los recursos necesarios, la identificación de riesgos, los requisitos legales, los plazos y los resultados esperados.
  3. Procedimientos, criterios y técnicas de auditoría: Debe detallarse el conjunto de procedimientos, criterios y técnicas de auditoría que se utilizarán para alcanzar los objetivos de la auditoría. Los procedimientos para operar todos los aspectos del programa deben ser claros y detallados, para que los auditores sepan exactamente qué hacer en cada etapa del proceso de auditoría. Los criterios de auditoría deben establecerse para garantizar que los resultados de la auditoría sean comparables y consistentes.
  4. Gestión de los equipos de auditores: Debe detallarse el perfil del equipo auditor para garantizar que puedan llevar a cabo el ejercicio de auditoría exitosamente. Algunos de estos aspectos son: experiencia profesional, certificaciones del sector, entre otros.
  5. Gestión de los aspectos logísticos y presupuestarios: La gestión de los aspectos logísticos y presupuestarios es esencial para garantizar que el programa de auditoría tenga los recursos necesarios para funcionar de manera efectiva. Se debe gestionar de manera adecuada el presupuesto y los recursos para asegurar que se cubran todas las áreas relevantes de la organización.

El Área de Revisión Interna debe estar compuesta por un equipo de profesionales con conocimientos especializados en las áreas de seguridad, tecnología y finanzas. La estructura mínima del equipo podría incluir los siguientes roles:

  1. Director de Auditoría Interna o Auditor Jefe: Es el responsable de liderar la función de auditoría interna y supervisar el equipo de auditores. Debe tener habilidades de liderazgo y una visión estratégica para desarrollar el programa de auditoría. Será conveniente que tenga certificados profesionales de la industria del sector que garanticen un experiencia previa en este tipo de trabajos (CISSP, PMP, entre otros).
  2. Auditor Senior: Es el encargado de planificar y ejecutar las auditorías de mayor complejidad. Debe tener experiencia de mínimo 5 años en auditoría y conocimientos especializados en seguridad informática y tecnologías web y criptográficas. Puede tener bajo su supervisión a un auditor junior, quien deberá tener conocimientos básicos en auditoría y seguridad informática. Ambos deberán tener certificados profesionales de la industria del sector (ISO 27001, otros).
  3. Experto técnico en Seguridad Informática: Es el responsable de evaluar y mejorar la seguridad de las aplicaciones bancarias desarrolladas por la empresa. Debe tener conocimientos avanzados en seguridad informática y criptografía, y experiencia en trabajos similares. Deberá tener certificados profesionales de la industria del sector (CEH, OSCP, entre otros).
  4. Experto técnico en Tecnologías Web: Es el encargado de evaluar y mejorar la seguridad y calidad de las aplicaciones web desarrolladas por la empresa. Debe tener conocimientos avanzados en tecnologías web y desarrollo de software, y experiencia en trabajos similares. Deberá tener certificados profesionales de la industria del sector (OSWE, otros).
  5. Experto análisis y gestión de riesgos: Es el encargado de evaluar el riesgo al que están expuestos los activos de la organización, de tal manera que pueda desarrollar un plan de acción para la gestión de los mismos. Debe tener conocimientos avanzados en la metodología que marca Magerit v.3.0, y experiencia en trabajos similares (ENS, ISO27001, otros).

Los integrantes del equipo auditor deberán tener firmados los acuerdos de confidencialidad (NDA) correspondientes y el compromiso por escrito de cumplir los principios de auditoría conforme a la independencia (imparcialidad, objetividad), confiabilidad, y conducta ética profesional.

En cuanto a los problemas de dimensionamiento y disponibilidad de recursos que se le plantearían a la organización, se podrían presentar desafíos en cuanto a la contratación y retención de personal altamente capacitado, y la disponibilidad de presupuesto para la implementación del programa de auditoría.

Para resolver estos problemas, la empresa podría considerar la externalización de algunos servicios de auditoría, la contratación de auditores independientes o la formación de alianzas con otras organizaciones para compartir recursos y conocimientos. Además, se podría considerar la inversión en capacitación y desarrollo profesional del personal de auditoría interna para mantenerlos actualizados y comprometidos con los objetivos de la organización.


3. Planificación de auditoría y gobierno de las TIC.


En esta instancia, asumiremos el papel de responsable de seguridad en la empresa previamente descrita. Dado que la compañía cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) que suponemos certificado, es esencial tener una función de auditoría y mejorar continuamente el SGSI. Esta mejora continua se basa, entre otras cosas, en los resultados de auditorías internas (realizadas por personal interno o externo, pero consideradas auditorías de primera parte). Por ende, es imperativo que la organización planifique las auditorías que llevará a cabo a lo largo del año y durante el período de validez de tres años del certificado del SGSI.

Esta consideración requiere desarrollar una planificación anual de auditoría, especificando si las acciones de auditoría son puntuales, recurrentes anualmente o con una periodicidad mayor (considerando el marco temporal de los tres años de validez del certificado del SGSI). Para cada acción de auditoría, será necesario describir el alcance correspondiente.


Solución a las cuestiones planteadas.


Como responsable de ciberseguridad, la planificación de auditoría solicitada podría ser la siguiente:

  1. Auditoría interna: se realizará una auditoría interna durante el primer año, de un año de duración, con el objetivo de evaluar la conformidad del SGSI con los requisitos de la norma ISO 27001 y los procedimientos internos de la organización. Será llevada a cabo por el equipo auditor interno del área de revisión. El alcance de la auditoría podría ser el siguiente:
    1. Análisis y gestión de riesgos: esto permite a la organización identificar y evaluar los riesgos a los que se enfrenta y tomar medidas proactivas para mitigarlos o reducirlos, identificando así oportunidades para mejorar su rendimiento y aumentar la eficiencia de sus operaciones. Se pondrá especial atención en aquellos activos catalogados como esenciales y de personal, siguiente la metodología que marca Magerit v3.0.
    2. Revisión de registros de acceso: se podrían revisar los registros de acceso a los sistemas y aplicaciones para comprobar si se están cumpliendo las políticas de acceso y si hay usuarios no autorizados o actividades sospechosas.
    3. Test de hacking ético y pruebas de estrés: se podrían realizar pruebas de intrusión o simulaciones de ataques para evaluar la eficacia de los controles de seguridad y la capacidad de detección y respuesta a incidentes. Esto iría especialmente dirigido al repositorio de documentación controlado que tiene la organización para almacenar toda la información relacionada con el SGSI, así como su operativa. Las pruebas de estrés irán dirigidas a asegurar la disponibilidad de los sistemas, sometiéndolos a condiciones de uso extremas.
    4. Entrevistas con el personal: se podrían realizar entrevistas con el personal para evaluar su conocimiento y comprensión de las políticas y procedimientos de seguridad, así como su implicación en la implementación del SGSI.
    5. Pruebas de continuidad del negocio: se podrían realizar pruebas de continuidad del negocio para evaluar la capacidad de la organización para mantener la operativa en caso de incidentes o desastres.
  2. Auditoría externa: se realizará una auditoría externa el segundo año, de una duración de un año, por parte de un organismo certificador acreditado con el objetivo de evaluar la conformidad del SGSI con los requisitos de la norma ISO 27001 y emitir un informe de certificación. El alcance de la auditoría será determinado por el organismo certificador y deberá incluir como mínimo los puntos tratados en la auditoría interna para verificar que todo está correcto. Los integrantes del equipo auditor deberán estar en posesión de la correspondiente Habilitación Personal de Seguridad (HPS) para garantizar el correcto manejo de la información confidencial de la organización.
  3. Auditoría de seguimiento: se realizará una auditoría de seguimiento después de seis meses de la finalización de la auditoría externa (para dar tiempo a corregir las deficiencias encontradas), durante el tercer año, antes de acabar el período de validez de la certificación SGSI. Será llevada a cabo por un equipo auditor interno, para evaluar la implementación de las acciones correctivas derivadas de la auditoría anterior. Deberá incluir la revisión de los cambios realizados en los sistemas y aplicaciones para evaluar si se están siguiendo los procedimientos de gestión de cambios y si se están evaluando los riesgos asociados.
  4. Auditoría de recertificación: al final del periodo de validez de la certificación del SGSI, a los 3 años, para renovar la certificación.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.

English

No puedes copiar el contenido