Auditoría de TI

Las tres líneas en ciberseguridad y auditoría

Detalles

 Por: CP Iván Rodríguez. Colaborador de Auditool.

Las tres líneas en ciberseguridad y auditoría

La gestión de riesgos se ha constituido como un aspecto fundamental de las empresas modernas y en la que participan diferentes personas y procesos. Una herramienta útil para tal efecto es la utilización del modelo de tres líneas (conocido anteriormente como las tres líneas de defensa[1]). Es un concepto utilizado en diferentes entornos, tales como los deportes, la salud, la ciberseguridad y la auditoría. Además, ayuda a las organizaciones a evitar confusiones, duplicación, ineficiencia y superposición en la gestión de riesgos.

Tres líneas en ciberseguridad

En el caso de la seguridad informática, permite proporcionar capas de protección redundantes a fin de ofrecer una mayor seguridad contra varias amenazas potenciales. Estas describen los tres niveles de protección que se deben implementar para proteger el sistema informático de posibles amenazas y ataques. Con todo, es posible que el modelo por sí solo no sea suficiente para proteger completamente a las organizaciones frente a los peligros en constante evolución.  Estas son las tres líneas:

  • Primera línea: incluye medidas de seguridad básicas, como el control de acceso, el uso de contraseñas seguras, la actualización de software, la descarga de software desde fuentes confiables y el escaneo de virus.
  • Segunda línea: corresponde a medidas adicionales, como la detección de intrusiones, la identificación de intrusiones, la respuesta a intrusiones y el monitoreo de redes y sistemas.
  • Tercera línea: cncluye medidas de recuperación de desastres y continuidad de negocios, como copias de seguridad y planificación de contingencias.

El objetivo de las tres líneas es asegurar que el sistema informático esté protegido en todas las etapas, desde la prevención hasta la recuperación de desastres. Por tanto, es importante implementar una combinación de medidas de seguridad en cada línea de defensa para proporcionar una protección completa contra posibles amenazas y ataques.

Al examinar los roles y objetivos de las tres líneas de defensa que cubren aseguramiento, gobernabilidad, riesgo, cumplimiento, seguridad de la información y ciberseguridad, puede haber actividades comunes o superpuestas. Una estructura de organización jerárquica puede reducir la posibilidad de tareas/actividades duplicadas entre funciones o equipos porque cada equipo es más consciente del rol y las actividades de los otros equipos dentro de la estructura jerárquica. Otra forma de optimizar los resultados y ahorrar recursos y costos para la organización es compartir insumos, procesamiento y resultados de diversas funciones y equipos comerciales (incluida la producción de organizaciones públicas u organizaciones sin fines de lucro de toda la industria y del país), que pueden utilizarse para optimizar las actividades de cada función.

Sin embargo, la función de aseguramiento solo puede ser entregada por partes independientes, como el equipo de auditoría y los proveedores externos. Los recursos internos serían menos costosos que los recursos externos, pero es posible que los primeros no tengan los recursos necesarios para llevar a cabo ciertas tareas. Para estos casos, se pueden requerir proveedores de servicios externos a pesar de los costos relativamente más altos involucrados para garantizar que se brinde la garantía requerida.

Tres líneas en auditoría

En el caso de la auditoría, hay que recordar que es un proceso importante que se lleva a cabo en empresas, organizaciones y gobiernos para verificar la integridad y eficiencia de sus sistemas financieros y de control interno. Para contribuir con la efectividad de la auditoría, es necesario contar con un sistema de tres líneas. Las mismas pueden describirse así:

  • La primera línea es el nivel más básico y está conformada por el propio personal de la organización, que tiene la responsabilidad de implementar y monitorear los controles internos. Estos controles incluyen políticas y procedimientos financieros, controles de seguridad y regulaciones legales. Los trabajadores son los responsables de asegurarse de que los procesos y controles internos sean efectivos, y que se cumplan los estándares de calidad y control de riesgos.
  • La segunda línea es el nivel intermedio y la conforman los supervisores y gerentes de la organización, en particular las áreas de gestión de riesgos y cumplimiento, quienes son responsables de supervisar y verificar la efectividad de la primera línea de defensa y asegurarse de que se cumplan las políticas y procedimientos internos. Está conformada por profesionales capacitados y experimentados. Además, esta área es responsable de revisar y evaluar los controles internos de la organización y de identificar posibles riesgos y debilidades en el sistema de control.
  • La tercera línea de defensa es el nivel más alto de la auditoría. Este agente es totalmente independiente y trabaja de forma objetiva para poder garantizar la eficacia en la gestión de riesgos en toda la organización. Se podría decir que la tercera línea vigila a las dos anteriores para defender el logro de objetivos que es llevada a cabo por una empresa independiente o por un equipo de auditores públicos. Este proceso se realiza con el objetivo de verificar la integridad y eficiencia del sistema financiero y de control interno de la organización, y de proporcionar un informe de auditoría imparcial y objetivo.

Ahora bien, si se observa el funcionamiento de las tres líneas en industrias fuertemente reguladas, tales como los servicios financieros o los productos farmacéuticos, se aprecia que están claramente formalizadas, lo cual no necesariamente ocurre en otras industrias. No obstante, independientemente de cuán maduro e integrado sea el modelo, hay una serie de desafíos que pueden limitar su efectividad:

  • Adopción sin infraestructura: a veces, la administración no tiene una fuerte conciencia o propiedad del riesgo y los controles. Puede haber un área de riesgo, pero a menudo su función es facilitar la identificación y el seguimiento de los riesgos sin conocimiento por parte de la auditoría. Dependiendo de la industria y el sector, los riesgos de cumplimiento normativo absorben a las áreas de riesgo, que no consideran otras actividades como salud y seguridad, no hay integración dentro de un programa de gestión de riesgos más amplio. En las empresas más pequeñas, dados los conjuntos similares de habilidades de riesgo y control, se considera que la auditoría y las áreas de riesgo cruzan los límites entre la segunda y la tercera línea, causando ineficiencias y duplicación.
  • Falta de comunicación entre las líneas: luego de establecer el modelo, si no hay una apropiada comunicación, se puede presentar falta de coordinación, duplicación de áreas de riesgo, lagunas y opiniones de aseguramiento desalineadas o contradictorias. Esto hace que la tercera línea a menudo se perciba como combativa, reaccionaria y retrospectiva en su enfoque, trayendo como consecuencia un modelo ineficaz, donde la junta pudiera estar recibiendo puntos de vista conflictivos e inconexos de sus riesgos clave.
  • Debilidad en el apoyo al modelo: a la creciente presión regulatoria (en ciertas jurisdicciones, los reguladores han impuesto más cargas a la alta dirección), así como al surgimiento de riesgos emergentes, es necesario que haya un debido apoyo por parte de la alta dirección y de la junta a las necesidades de las organizaciones. Si esto no ocurre, el modelo no funciona apropiadamente y se debilita.

Por ello las tres líneas, tanto en ciberseguridad como en auditoría y en virtud de su importancia en el proceso de evaluación y control financiero en una organización, deben ser implementadas de manera adecuada y coordinada para garantizar la integridad y eficiencia de los sistemas financieros y de control interno. Su combinación permite una evaluación exhaustiva y completa de los controles internos y de los diferentes riesgos. 

[1] En 2020 el Instituto de Auditores Internos Global revisó y actualizó el modelo de las tres líneas de defensa. Ahora es conocido como el modelo de las tres líneas.

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado