Dentro del ejercicio de revisión que se lleva a cabo dentro de un proceso de auditoría, recientemente ha cobrado mayor importancia los controles que se llevan a cabo sobre la infraestructura tecnológica, y que es la encargada de manejar la información relacionada con asuntos financieros de la empresa, así como salvaguardar los activos y los datos. El avance tecnológico ha supuesto al mismo tiempo grandes ventajas relacionadas con la eficacia en el manejo y almacenamiento de la información, pero también desventajas relacionadas precisamente con la manera en la que se almacena, y las herramientas cada vez más sofisticadas y complejas, lo que supone nuevas habilidades en el manejo. La responsabilidad del auditor va a ser la de responder ante estas nuevas necesidades, evaluar y probar los controles internos que se tienen sobre el manejo de la tecnología en la empresa para evitar fraudes o errores.
De acuerdo con McCafferty (2017), la auditoría centrada en las TI es un ejercicio que aún hoy día es subestimado y dentro de las empresas prevalecen más las medidas de control a través de la auditoría externa, que las medidas que puede ofrecer la auditoría interna. El manejo de la seguridad de la información es un elemento que se debe tener en cuenta en los controles que se llevan a cabo por la administración de la empresa. Es muy importante entonces reconocer la necesidad de proteger la información que puede verse comprometida de manera técnica. Sin embargo, persiste el desconocimiento sobre el tema de la ciberseguridad y en general el manejo de la tecnología de la información. Es por esto por lo que se debe llamar la atención sobre la educación que tiene o recibe la empresa para el manejo de la tecnología, y que involucra tanto a la gerencia, los ejecutivos y todos los trabajadores, debido a la sistematización de procesos que se presencia en la actualidad en muchas empresas.
El trabajo del auditor debe encaminarse hacia la evaluación de los controles que se tienen frente a la infraestructura tecnológica y trabajar a partir de varios componentes que le permitan abarcar la problemática de manera oportuna; algunos de estos pueden ser: política de la seguridad, organización de los sistemas de seguridad y almacenamiento y las medidas de respuesta que se tienen frente a los diferentes incidentes que se pueden presentar. La evaluación de estos componentes debe ser parte de la planeación y los objetivos de cada tarea de auditoría y por tal motivo los auditores deben ser capaces de asumir los nuevos retos que trae la administración de riesgos empresariales.
Más aún, se debe tener en cuenta la actitud de resistencia que muchas empresas tienen frente al manejo de la tecnología en sus procesos operacionales. Como se mencionó anteriormente, se subestima aún el trabajo de auditoría sobre la seguridad de la nube y las redes sociales, exponiendo gravemente la información y los activos de la empresa. Para Swanson (2018), se deben considerar una serie de situaciones de riesgo frente a la infraestructura tecnológica, los más comunes son: problemas de confidencialidad y protección de marca, asociados al manejo de las redes sociales. El poder de las redes sociales frente al manejo de imagen de una empresa es en la actualidad un elemento que se debe tratar con sumo cuidado. En general, se trata de darle un manejo adecuado a lo que proyecta la empresa en la sociedad y la información que puede resultar de ella y que puede ser divulgada por internet a través de un artículo, imagen o vídeo. La marca de la empresa puede verse en riesgo incluso si se trata de información falsa debido a la velocidad de la divulgación y la manera en la que se comparten datos en internet.
En ese sentido, esta primera reflexión va hacia el cuidado de la imagen de la empresa, sin que esto suponga un manejo superficial de la misma; es decir que las empresas deben ser por convicción proactivas y brindar productos y servicios de excelente calidad, así como tener un buen acercamiento con sus clientes. Se debe cuidar la reputación de la empresa incluso por motivos de competencia desleal y por lo tanto es necesario contemplar medidas de mitigación ante situaciones que se puedan presentar a través de las redes sociales. El auditor puede contribuir en esta tarea a través de esquemas de revisión a través de comités especializados ya sea de cuidado de la marca como de manejo de las redes sociales.
Otra situación de riesgo es la seguridad y pérdida de datos causada por los dispositivos móviles. Al igual que en la situación anterior, los dispositivos móviles también pueden representar riesgo para el manejo de la infraestructura tecnológica de la empresa, más si se tiene en cuenta el creciente uso de dispositivos móviles por los usuarios. Estos dispositivos cuentan con muchas herramientas que permiten que el usuario tenga acceso a aplicaciones de entretenimiento o que le permiten llevar un control de su trabajo. Es una realidad que se confía gran parte de la información privada de los usuarios, pero también lo es los constantes intentos de violación de datos que se hace contra este tipo de dispositivo; esto no escapa de la situación de una empresa. De hecho, la sistematización de procesos para una mayor agilidad en el servicio de las organizaciones ha llevado a que el manejo de datos corporativos pase por alto la inseguridad que esto supone. Aunque los celulares suponen una mayor productividad y flexibilidad para los empleados y las empresas, no se deben olvidar los riesgos que suponen.
Los dispositivos móviles pueden sufrir de ataques a la seguridad física, por ejemplo, cuando se produce un robo del dispositivo, uso de dispositivos móviles que no son confiables o que pueden ser fácilmente hackeados, uso de redes poco confiables, aplicaciones desconocidas que pueden invadir al usuario, interacción con otros sistemas, manejo de datos personales y empresariales que pueden llegar a confundirse. Por estos motivos, debe existir una serie de medidas que aboguen por la enseñanza de buenos hábitos para la protección de información tanto empresarial como personal. Las personas deben entender el carácter privado del móvil y conservar la información de manera cuidadosa. Muchas empresas pueden llevar a cabo controles sobre los estándares de seguridad sobre los dispositivos móviles que se alineen con los objetivos de la empresa.
Finalmente, también se debe tener en cuenta la gestión de datos y otros problemas relacionados con el manejo de la información y el almacenamiento en la nube. En ese sentido es válido resaltar los beneficios que trae el manejo de la información a través de la nube, que entre otras cosas, se relaciona con la gestión de archivos, para que esto deje de ser un proceso que suponga un gran volumen de archivos físicos e incluso desperdicio del papel. Sin embargo, la nube informática no es un lugar 100% seguro pues, así como cualquier usuario puede acceder a ella con fines únicamente positivos, otras personas, con otro tipo de intenciones como el secuestro de datos, los hackers, también tienen un acceso relativamente fácil a esta. Se pueden presentar entonces situaciones como el acceso no autorizado o la filtración de información confidencial y situaciones de ataque de secuestro de datos lo que supone para la empresa grandes consecuencias. El deber del auditor aquí será el de evaluar la seguridad de la nube y asegurarse de la confiabilidad de los proveedores de servicios tecnológicos.
En general, los auditores deben ser cuidadosos frente a la evaluación de las medidas de protección de los datos y el manejo de la información. Este es un asunto que supone además nuevas actitudes y habilidades por parte del profesional, por lo que resulta un ejercicio integral que puede contribuir a la actualización constante de la auditoría. Hablar de tecnología debe suponer un estado de alerta y un ejercicio minucioso que se debe incluir en la auditoría.
Referencias
McCafferty, J. (2017). A Day in the Life of an IT Auditor. En línea, disponible en: https://misti.com/internal-audit-insights/a-day-in-the-life-of-an-it-auditor
Swanson, S. (2018). The IT Audit Checklist for Emerging Risks. En línea, disponible en: https://misti.com/internal-audit-insights/the-it-audit-checklist-for-emerging-risks