Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno
REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

Search - Content

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

En principio es importan definir que entendemos por Big Data, según las Global Technology Audit Guide del IIA este término es usado para describir el crecimiento exponencial  y disponibilidad de datos creados por la personas, aplicaciones y aplicaciones inteligentes. 

Actualmente el gran crecimiento de datos tanto estructurados como no estructurados combinado con los avances tecnológicos en el almacenamiento de los mismos, la gran potencia de procesamiento y las herramientas analíticas, han permitido que esta realidad se convierta en una ventaja competitiva para aquellas empresas líderes que lo utilizan para incrementar sus oportunidades de negocios y definición de estrategias empresariales.

Sin embargo, así como es una ventaja competitiva también tenemos que ponderar los riesgos relacionados con el manejo de tanta cantidad de información, en muchos casos confidencial.

Como auditores internos de una organización que trabaja con grandes volúmenes de datos tenemos en principio que ser conscientes de los riesgos que esto acarrea, principalmente en lo relacionado con la recopilación de los datos, almacenamiento, análisis y por supuesto seguridad y privacidad de los mismos.

En una organización podemos tener datos estructurados que son aquellos que son almacenados en bases de datos que tienen una lógica de almacenamiento pero cada vez más podemos convivimos con datos no estructurados provenientes de las redes sociales y otras aplicaciones, estas dos fuentes de información también deben ser tenidas en consideración, ahora bien, si tuviéramos que definir un programa de trabajo a los fines de encarar el proceso de auditoría de Big Data y definir los riesgos claves, deberíamos tener en consideración las siguientes dimensiones:

  • Gobernance del programa de Big Data
  • Disponibilidad de la tecnología y performance
  • Seguridad y privacidad
  • Calidad de los datos, manejo y reporte

De estas 4 áreas, en este artículo nos centraremos en la número 3, para la cual si tuviéramos que definir una matriz de controles, podríamos pensar en la siguiente:

Objetivo de Control

Descripción

El manejo de la seguridad de la información es parte de la estrategia de Big Data

1.  Un programa de ciberseguridad existe dentro de la organización a fin de combatir amenazas internas/ externas,

2.  Aquellas aplicaciones capaces de eludir el sistema operativo, la red y los controles de aplicación se encuentran prohibidos y/o controlados apropiadamente,

3.  El uso de aplicaciones de auditoría se encuentra acotado/segmentado  a fin de evitar el mal uso y/o destrucción de los log de datos.  Los Log de datos son revisados de forma periódica a fin de detectar actividades sospechosas,

4.  Todos los servicios que están basados en la nube dentro de la organización se encuentran aprobados para el uso y almacenamientos de los datos de la organización,

5.  El área de IT evalúa la seguridad de los proveedores de servicios relevantes,

6.  Existe un proceso formalizado para el proceso de administración de “parches” de los sistemas asegurando que son actualizados con las últimas versión, las cuales fueron aprobadas de forma oportuna

El manejo de la seguridad de los datos es parte de la estrategia de Big Data

1.  Sólo los usuarios del negocio autorizados tienen acceso a los datos y los reportes de los grandes sistemas de datos (Big Data),

2.  Solo un acotado número de usuarios técnicos tiene acceso privilegiado a los grandes sistemas de datos, incluido los sistemas operativos, redes, bases de datos y aplicaciones,

3.  Los accesos a los grandes sistemas de datos son revisados de forma periódica para asegurar que sean los apropiados,

El acceso de terceras partes debe ser manejado de forma apropiada

1.  Los requisitos contractuales y regulatorios del proveedor son analizados y tratados antes de conceder el acceso a los datos y sistemas de información,

La privacidad de los datos debe ser parte de la estrategia de Big data

1.  Los datos son inventariados y clasificados para asegurar que los datos críticos de la organización, incluida la información personal, estén debidamente protegidos,

2.  Existe documentado, aprobado e implementado un proceso de respuesta a incidentes para asegurar que la brecha de datos son  manejadas apropiadamente,

 

De forma similar y con este enfoque deberemos establecer un programa de trabajo que contemple las otras dimensiones de riesgos claves definidos y establezca los objetivos de control que permita mitigar los mismos.

Una vez definida la matriz de controles que contemple las 4 dimensiones, podremos desarrollar el plan de pruebas que permitan verificar que estos controles son llevados a cabo, garantizando de esta forma el ambiente de control asociado con Big Data.

 

 Javier Fernando Klus

Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa). Colaborador de Auditool

Buenos Aires, Argentina


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de los que pasa en el mundo de la Auditoría y el Control Interno. 

lateralG3.2