Introducción
En un mundo en constante
movimiento, altamente Volátil, Incierto, Complejo y Ambiguo (VICA)[1],
la función de auditoría en las empresas enfrenta un desafío mayor en su
ejercicio de evaluación y asesoría al primer nivel de las organizaciones, como
quiera que ya no son tan conocidos los escenarios para auditar y los métodos de
verificación y evaluación, no cuentan con la flexibilidad para enfrentar dichos
escenarios.
Si bien los discursos
metodológicos y fundamentos de la auditoría generalmente aceptadas, son
referentes importantes que aseguran el proceso mismo de verificación, no así
las condiciones y detalles que se advierten en el contexto mismo del trabajo de
campo, donde las tecnologías emergentes, las tendencias en las redes sociales y
las novedades propias de los ciber ataques, hacen que el auditor enfrente
situaciones que posiblemente no pudieron ser identificadas con las herramientas
actuales[2].
Los auditores, particularmente de
tecnología de información, se enfrentan en la actualidad a escenarios novedosos
que le exigen una comprensión superior a la que tienen a la fecha, habida
cuenta que ya su dominio de evaluación no se encuentra identificado de manera
física y tangible, sino que representa una apuesta de servicios tercerizados,
que está más allá de su alcance y por lo tanto, deberá establecer una nueva
forma de analizarlos.
Así las cosas, los auditores de
tecnología de información pasaron de tener en sus papeles de trabajo[3]
temáticas como redes, comunicaciones, servidores, archivos, bases de datos,
cintas, controles de acceso, a revisar un nuevo escenario denominado ecosistema
tecnológico o digital (ver más información en http://insecurityit.blogspot.de/2012/09/pronosticos-de-seguridad-de-la.html) , donde lo que fluyen son servicios e información, como
fundamento mismo de su operación. Un mundo digital creado por el hombre donde
se construyen realidades superiores, donde la imaginación y la estrategia plantean
los límites y posibilidades.
Un auditor de tecnología de
información (TI) en un ecosistema digital[4]
debe desarrollar habilidades y práctica diferentes para poder encarar el reto
de poder “auditar” un contexto como este, donde la dinámica es la norma, las
probabilidades son inciertas y las posibilidades son todas. Así las cosas, el
profesional de auditoría deber lidiar con la incertidumbre que supone este
entorno y enfrentar las diversas conexiones presentes y emergentes de este
ecosistema para tratar de entender la esencia del mismo.
En razón con lo anterior, el
auditor de TI consciente de su saber disciplinar y las contradicciones del
contexto que ahora enfrenta, debe orientar su práctica metodológica hacia lo
sistémico, a la búsqueda de respuestas en la dinámica de las relaciones, más
que en la estática de sus componentes. Esto es, motivar un cambio de
pensamiento especializado, a uno transdisciplinar[5]
que consulta otras disciplinas y métodos para comprender mejor lo que el
ecosistema le presenta.
Por tanto, este breve documento
busca revisar la condición actual del auditor de TI, sus prácticas y métodos de
trabajo frente al ecosistema digital y
los retos emergentes que debe asumir y anticipar para continuar generando valor
a la alta gerencia.
Evolución de la práctica de auditoría de TI
La dinámica propia del trabajo de
auditoría en general demanda un proceso de planeación (que consulta inclusive
ejercicio anteriores), la contextualización con el área auditada (poner en
conocimiento de área evaluada el alcance y los apoyos requeridos), los fundamentos
de la evaluación (estándares y buenas prácticas que se van a tener en cuenta), la
ejecución (la recolección y análisis de documentos, la aplicación de las
pruebas), resultados (el detalle de los hallazgos identificados) y el reporte
(conclusiones documentadas del ejercicio realizado). En este ejercicio, el
registro controlado de todos los soportes y hallazgos es la fuente misma de la
precisión y credibilidad de las conclusiones de dicho trabajo.
En este derrotero metodológico,
el auditor de TI, explora los diferentes componentes del sistema de información
o tecnología objeto de la revisión para producir sus resultados. Es claro, que
deberá establecer el mapa relacional del sistema en evaluación con los
objetivos del negocio y los otros procesos de las empresas, para no perder la
vista general de los impactos que tiene el sistema bajo análisis para la
empresa. Este tipo de ejercicios, exige de los auditores la especialidad de
tecnología de información y sobre manera el entendimiento de la dinámica
interna de la organización.
En escenarios conocidos, donde la
operación de la empresa ocurre en un lugar cierto y preciso, las prácticas
vigentes de auditoría revelan resultados relevantes, que permiten dar cuenta la
de la razonabilidad de la seguridad y el control que los sistemas de
información tienen para mantener una operación confiable y ajustada a las
buenas prácticas y estándares en la materia. La listas de chequeo, los
cuestionarios de control, las pruebas de auditoría con cruces de datos, las simulaciones de máquinas
y servicios, así como algunas técnicas de valoración de seguridad de la
información sobre aspectos claves de los sistemas información, hacen parte de
la batería de recursos que los auditores disponen para hacer su labor[6].
Mientras la operación de
tecnología de información estuvo inmersa dentro de los procesos de adquisición
de hardware, software, aplicaciones y servicios de apoyo, las prácticas de
auditoría tradicionales, basadas en estándares referentes, particularmente de
riesgos, estuvieron atentas a dar respuesta a las necesidad de los grupos
interés, para ilustrar el nivel de confiabilidad que dicha infraestructura
tenía y cómo avanzar para mitigar la exposición a los riesgos identificados[7].
La conectividad con internet, los
servicios web, la exposición de web-services, las aplicaciones java, los marcos
de desarrollo de aplicaciones en la web y servicios de pagos en línea,
cambiaron la forma como sus prácticas debían dar una nueva lectura a sus
conclusiones. Un mundo más interactivo y menos estático[8],
hizo que los auditores comenzaran a pasar de un método relativamente conocido,
a uno donde la especialidad técnica comenzaba a desbordar las respuestas para
sus grupos de interés.
En este escenario los marcos
metodológicos hicieron giros estratégico importantes, donde ahora la web era la
vista más elaborada de la práctica, sin descuidar los asideros conceptuales que
se mantenían sin cambios relevantes. Esto motivó una actualización de los
auditores tradiciones de TI, para incorporar nuevos conocimientos sobre la
dinámica de internet, sus posibilidades y nuevos riesgos.
Durante más de una década, los
auditores de TI avanzaron con los desarrollos tecnológicos, como custodios de
sus prácticas de seguridad y control, motivando cambios relevante e importantes
en el gobierno de las tecnologías de información, que ha impactado
positivamente el ejercicio de aquellos que tienen la responsabilidad de
apalancar el modelo de generación de valor de las empresas con tecnología, cargo
generalmente denominado a nivel internacional como Chief Information Officer o
Chief Technology Officer[9].
Hoy, las cosas vuelven a cambiar
y la exigencia se hace mayor, por tanto las prácticas de los auditores de TI,
requieren una nueva revisión que le permita crear un nuevo momentun en el ejercicio de la auditoría, no para abandonar lo que
usa en la actualidad, sino para ajustarlo e incorporar nuevas propuestas para
enfrentar las nuevas amenazas y retos en un mundo hiperconectado, con
información instantánea, en la nube y móvil.
La auditoría de TI y el ecosistema digital
Gartner en su documento
denominado “The nexus of forces”[10]
publicado en 2012 anticipa el nuevo escenario que el mundo debe asumir,
conocer, usar y explotar para crear la nueva etapa de la sociedad global, donde
casi todas las cosas serán servicios, estarán conectadas y transmitiendo en
tiempo real. La realidad de la computación en la nube, la computación móvil,
los grandes datos y la analítica, y las redes sociales, establecen los nuevos
normales de operación y desarrollo tanto de las personas, como de las
organizaciones.
La vista convergente del mundo
hace camino en cada uno de los elementos que sintonizan a las organizaciones
con sus grupos de interés, elevando los niveles de transparencia y visibilidad
que permiten a los interesados, tener la información relevante, hacerse a un
criterio y opinar de manera abierta y sin reparos. Las redes sociales se han
convertido en un eslabón estratégico de las empresas, no sólo como “parlante abierto”
de su realidad, sino como ocasión de liderazgo organizacional abierto[11],
que demanda una completa inmersión en la dinámica social y tecnológica de la
sociedad local donde opera y la realidad global donde se enmarca.
El ecosistema digital, como
construcción conceptual, reviste una serie de componente muchos de ellos
operados por terceros, con especialidades y capacidades específicas, las cuales
se ofrecen en diferentes modelos y posibilidades, como quiera que es el cliente
el que define la manera como los recursos disponibles van a ser organizados y
usados, para crear entorno nuevos o propuestas alternas que generarán
experiencias diferentes en los usuarios finales[12].
Esta nueva realidad, que ahora
inicia en un teléfono inteligente en las manos de una persona en cualquier
parte del mundo y que es capaz de movilizar información y acciones con otros a
través de conexiones internacionales, que no requiere puntos únicos de ingreso
o conexión, que conoce de aplicaciones y servicios especializados, y que está dispuesto
a esta en línea todo el tiempo, muestra con claridad que los perímetros de
control se ha vuelto porosos, que el control de la descarga de aplicaciones se
ha vuelto efímera y el nivel de exposición y riesgos emergentes está a la orden
del día[13].
Las recomendaciones restrictivas
propias de las prácticas de auditoría en estos entornos dinámicos contradicen
los modelos de negocio que exigen las empresas de hoy. En este sentido, las
prácticas de seguridad y control, habituadas a entorno estáticos y conocidos,
comienza a ceder terreno para inaugurar una transición a nuevas prácticas donde
variables como tipo de información a la que requiere tener acceso, perfil de la
persona que solicita el acceso y lugar donde se encuentra la persona que
solicita el acceso[14],
comienzan a ser relevantes para establecer el nivel de protección que se
requiere.
Por tanto, los auditores de TI
deben tomar nota sobre esta nueva realidad y comenzar a retar sus propias
prácticas, que si bien seguirán basadas en las realidades de la exposición al
riesgo, si deberán consultar y entender la manera como el ecosistema digital
dicta las normas de interacción y establece los nuevos normales, los cuales
deberán ser insumo para plantear las renovadas exigencias de la auditoría ahora
en un escenario más dinámico y más volátil, motivando una práctica de seguridad
y control más moderna que custodie la dinámica de la información y el valor de
la empresa más ajustado a su realidad[15].
Retos emergentes para la auditoría de TI
Los auditores de TI en un
escenario como el que se ha comentado se encuentran en una encrucijada
gerencial y operacional. Por un lado, deberán seguir asistiendo a la alta
gerencia respecto de lo que ocurre en la dinámica de los proceso de TI, en sus
diferentes modalidades por demanda o incorporación propia, y por otro, ajustar
y reinventarse como función para estar a tono con las realidades que propone el
ecosistema digital donde la organización opera.
El ciber crimen, los ciber
ataques, el hacktivismo, los ataques dirigidos, el código malicioso
especializado, los ciber asesinos, los ciber mercenarios, el ciber espionaje y
hasta un posible ciber conflicto[16],
son amenazas concretas, reales y emergentes que ahora deben ser materia de
revisión y análisis desde las trincheras de la función de auditoría de TI. Sin
embargo, las capacidades actuales y las prácticas referentes poco son efectivas
a la hora de comprender y por tanto, de recomendar, frente a situaciones como
las enunciadas, como quiera que todas ellas, no responden directamente una
aplicación tradiciones de matrices riesgo-control, sino a análisis de
escenarios que den cuenta de situaciones de exposición que la organización, por
su naturaleza de negocio, debe comprender, estudiar, analizar y considerar.
Los estándares y prácticas de
riesgo-control, necesarias y útiles para motivar los análisis requeridos para
comprender los niveles de exposición de las empresas, hoy empiezan agotarse,
pues todas ellas fueron concebidas en escenarios y contextos menos dinámicos y
cambiantes como los que tenemos en la actualidad. Por tanto, renovar la
propuesta de gestión de riesgos, debe avanzar desde los riesgos conocidos,
pasando por los latentes y focales, para analizar y estudiar aquellos
emergentes que aún no aparecen en el radar[17].
En razón con lo anterior, los
ejercicios de probabilidad por impacto, claves para indicar los niveles de
exposición, deben migrar hacia frecuencia por severidad, entendiendo que el
riesgo no solamente está articulado con una probabilidad de ocurrencia, sino con
la cuantificación misma del evento, junto con su severidad como fuente de
fundamentación estadística que permita una vista más concreta, no solamente de
la exposición al riesgo, sino de nivel de exposición a la pérdida[18].
Por otro, lado dada alta conectividad,
flujo de información y servicios, así coma la invasión de las “cosas digitales”
o el internet de las cosas[19],
se requiere una forma diferente de establecer referentes de confiabilidad y
razonabilidad de controles, que permitan la evolución normal de los desarrollos
tecnológicos, así como de la confiabilidad de su operación. En este contexto,
el análisis de escenarios[20],
como técnica de construcción colectiva, donde participan todos aquellos
interesados en la situación relevante, se proyecta como una nueva forma de
acompañar a la alta gerencia para comprender la exposición al riesgo, la
caracterización de los atacantes, los impactos de las variables externas e
internas y las acciones que se deben tomar para enfrentar la situación y
disminuir los impactos para la organización.
La lectura del entorno desde los
desarrollos, plataformas y servicios del ecosistema digital, debe convertirse
ahora en el nuevo normal de la función de auditoría de TI, pues allí es donde
está ahora, la manera como las empresas se movilizan para crear condiciones
disruptivas que la posiciones en escenarios diferentes y competitivos. Así las
cosas, los auditores deberán sumergirse en las condiciones y elementos
estructurales de esta nueva realidad para comenzar a construir vistas livianas,
sencillas y efectivas de las prácticas de seguridad y control, para que el negocio
opere de manera confiable, sin sacrificar sus ideas disruptivas.
Reflexiones finales
Al igual que el responsable de la
seguridad de la información, el auditor de TI debe enfrentar el reto de
anticipar la inevitabilidad de la falla[21],
tratar de distinguirla en las relaciones de los componentes del ecosistema
digital para motivar las acciones necesarias para que no se materialice. Sin
embargo, sabiendo que este ejercicio no siempre dará los frutos esperados,
deberá canalizar sus esfuerzos para concluir sobre la nueva razonabilidad de
los controles que se tienen ahora en un mundo sin fronteras, ni linderos, donde
la movilidad, el flujo de información y servicios es la norma.
Si bien la función de auditoría
no puede desaparecer, por la natural dinámica empresarial donde un tercero de
cuenta de lo que ocurre en los procesos corporativos, la auditoría de TI, si
debe actualizar sus métodos y prácticas para agilizar la operación de la
empresa, de cara a la alta tercerización de las actividades empresariales y la
mayor dependencia de la estabilidad del ecosistema digital.
La autenticación, la
autorización, los registros de auditoría y el no repudio seguirán presentes
como controles generales en las empresas, pero condiciones como la adaptación,
la anticipación y la inteligencia se convertirán en los nuevos normales, para
hablar de la razonabilidad de los controles[22].
Estos últimos, deberán ser objeto de investigaciones y análisis en profundidad
para elaborar prácticas más concretas y estándares, que permitan con mayor
claridad establecer cuando una organización avanza y madura frente a su perfil
de riesgo-control ahora en un ecosistema digital.
La estabilidad del ecosistema digital
donde opera la empresa, estará dada por la resiliencia del mismo, palabra que
se ha venido utilizando en diferentes escenarios y que ahora debe hacer parte
del conjunto de herramientas y conceptos que el auditor de TI de ayudar a
desarrollar en las organizaciones, sabiendo que esta, le permite a la empresa
aumentar su resistencia a los ataques y condiciones adversas y aun así
continuar operando y mejorando su situación.
El auditor de TI moderno,
requiere un cambio de paradigma epistemológico[23],
una forma de conocer diferente, que le permita salir de su zona cómoda, anclada
en prácticas conocidas y referentes, y lanzarse a construir en el contexto del
ecosistema digital, nuevas formas de aumentar la confiabilidad de la operación
de las empresas, no solamente para conceptuar sobre la razonabilidad de los
controles, sino para visualizar aspectos novedosos del negocio y anticipar
propuestas que sintonicen las necesidad de los grupos de interés y las
exigencias de cumplimiento normativo que se tengan.
Por tanto, no es el auditor de TI
per se el que debe repensarse y reinventarse desde la vista del ecosistema
digital actual, sino toda su práctica y metodologías conexas, para que leyendo
la realidad desde los negocios actuales, pueda establecer consideraciones y
revisiones relevantes y pertinentes, que den cuenta del modelo de generación de
negocio de la empresa y al mismo tiempo aumentar la confianza de los
inversionistas y ejecutivos de primer nivel, sobre la forma como se hace
realidad la promesa de valor de una empresa ahora en un ecosistema digital,
volátil, incierto, complejo y ambiguo.
Referencias
[1] Johansen,
B. (2009) Leaders Make the Future: Ten
New Leadership Skills for an Uncertain World. San Francisco,
USA:Berrett-Koehler Publishers.
[2] Harrington,
L. y Piper, A. (2015) Driving success in changing world. 10 imperatives for internal audit. The IIA Research Foundation. Global Internal Audit Common Body of
Knowledge. Recuperado de:
https://na.theiia.org/iiarf/Pages/Common-Body-of-Knowledge-CBOK.aspx
[3] Quintanar,
E. (1983) Normas de auditoría generalmente aceptadas. Revista Española de Financiación y Contabilidad. Vol.12, No.42.
Septiembre-Diciembre. 667-680
[4] Cano,
J. (2015) Computación forense.
Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia:
Alfaomega.
[5] Huerta
J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales
integradas. Centro Universitario de Ciencias de la Salud. Universidad de
Guadalajara. Guadalajara, México:Editorial Universitaria.
[6]
Tamayo, A. (2001) Auditoría de sistemas.
Una visión práctica. Universidad Nacional de Colombia. Sede Manizales.
Manizales, Colombia: Centro de Publicaciones, Universidad Nacional de Colombia.
[7]
Piattini, M. y Del Peso, E. (2000) Auditoría
informática. Un enfoque práctico. Segunda edición. Madrid, España: Ra-ma
Editorial y publicaciones.
[8] Schmidt,
E. y Cohen, J. (2014) The new digital
age. Transforming nations, businesess, and our lives. New York, USA:
Vintage Books.
[9]
Fernández, C. y Piattini, M. (2012) Modelo
para el gobierno de las TIC basado en las normas ISO. AENOR (Asociación
Española de Normalización y Certificación). Madrid, España: AENOR.
[10]
Howard, C., Plummer, D. C., Genoves, Y., Mann, J., Willis, D. A. y Mitchel
Smith, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Disponible en: https://www.gartner.com/doc/2049315
[11] Li,
C. (2014) Liderazgo abierto. De qué modo
la tecnología social puede transformar su manera de lidera. Buenos Aires,
Argentina: Ediciones Gránica, S.A
[12]
Cano, 2015. p.181
[13] Kaplan,
J., Bailey, T., O’Halloran, D.,
Marcus, A. y Rezek, C. (2015) Beyond
cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA:
Wiley.
[14] Harkins,
M. (2013) Managing risk and information
security. Protect to enable. Apress Open.
[15] Charan,
R. (2015) The attacker’s advantage.
Turning uncertainty into breakthrough opportunities. Philadelphia, USA:
Perseus Books Group.
[16] Goodman,
M. (2015) Future crimes. Everything is
connected, Everyone is vulnerable and what we can do about it. New York,
USA: Doubleday.
[17] Cano,
J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para
visualizar la incertidumbre. Actas de la
XIII Reunión Española de Criptología y Seguridad de la Información.
Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
[18] Freund,
J. y Jones, J. (2015) Measuring and
managing information risk. A FAIR Approach. Kidlington, Oxford.
UK:Butterworth-Heinemann.
[19] Ullrich,
J. (2015) New cyberthreats: Defending against the digital invasion. Abril.
Recuperado de: http://searchsecurity.techtarget.com/feature/New-cyberthreats-Defending-against-the-digital-invasion
[20] Chermack,
T. (2011) Scenario planning in
organizations. How to create, use, and assess scenarios. San Francisco,
USA:Berrett-Koehler Publishers.
[21]
Cano, J. (2013) Inseguridad de la
información. Una visión estratégica. Bogotá, Colombia: Alfaomega
[22]
Ernst and Young (2014) Geta head of cybercrime. EY’s Global Information Security Survey.
Recuperado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
[23] García,
R. (2013) Sistemas complejos. Conceptos,
método y fundamentación epistemológica de la investigación interdisciplinaria.
Barcelona, España: Gedisa Editorial.
INFO DE INTERES
ResponderEliminar