Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: CP Iván Rodríguez. Colaborador de Auditool 

La auditoría y las amenazas digitales[1]

Ahora, que parece que la pandemia va cediendo terreno, las organizaciones se están moviendo con cautela; es así como tienen una mayor preocupación por la ciberseguridad y han incrementado sus gastos por ese concepto. Por su parte, los reguladores en diferentes jurisdicciones también se han preocupado por el tema y han incrementado su supervisión. Todo esto se refleja en que la ciberseguridad fue uno de los riesgos mejor clasificados, según lo identificado por los miembros de la junta, la gerencia y los directores ejecutivos de auditoría (CAE) en el informe On Risk 2021 del IIA[2].

En este entorno, la auditoría en su función de supervisión debe ayudar a las organizaciones a gestionar las amenazas cibernéticas, lo cual se logra mediante la evaluación tanto de riesgos como de los controles respectivos. Este compromiso se ha constituido en un estímulo para que los auditores fortalezcan sus habilidades y conocimientos de ciberseguridad. Toda vez que hay una mayor preocupación en torno a la ciberseguridad, ha aumentado inevitablemente la demanda de auditores con experiencia adecuada. Sin embargo, teniendo en cuenta que la ciberseguridad es una preocupación relativamente reciente para la alta dirección de las organizaciones, el número de auditores a nivel superior con experiencia relevante es reducido. Los auditores con la experiencia y una buena comprensión de la ciberseguridad serán bastante apetecidos.

Los auditores deben tener diferentes habilidades y calificaciones, tales como las competencias blandas, la facilidad de planificar con anticipación las necesidades de recursos, las capacidades de análisis de datos y el pensamiento crítico en conjunto con la capacidad de desarrollar habilidades en las organizaciones. Lo anterior brinda a los auditores la capacidad de determinar cómo las amenazas cibernéticas podrían afectar a una organización. Por su parte, el uso del análisis de datos permite descubrir actividades inusuales, acceso inapropiado y fraude, y poseer una amplia comprensión de los controles generales de TI, los controles de seguridad de aplicaciones, redes e información, entre otros.

Es importante así mismo, que los auditores tengan una comprensión profunda de las amenazas relevantes, tales como malware, ransomware[3] o spyware, denegaciones de servicio, phishing y ataques de contraseñas. En ese sentido, los equipos de auditoría deben buscar experiencia específica y quizás incorporar personas con amplio conocimiento en tecnología, ciberseguridad e incluso experiencia en consultoría. También es conveniente que los miembros del equipo de auditoría busquen capacitación continua y el énfasis en certificaciones más técnicas relacionadas con la ciberseguridad. Una certificación evidencia un nivel básico de aptitud e indica que una persona está motivada para la superación personal y el autoaprendizaje. Los organismos profesionales y gremiales, así como instituciones de educación superior ofrecen capacitación específica sobre diferentes temas de TI y temas relativos.

Una opción interesante para las organizaciones consiste en el desarrollo de habilidades de manera interna, puesto que el auditor ya está familiarizado con la organización y con los procedimientos involucrados en la realización de los compromisos, además de resultar favorable en términos de costos. Ahora bien, si los recursos están al alcance del equipo o la firma de auditoría, de acuerdo con las normas profesionales, es conveniente recurrir a expertos externos, así como buscar colaboración con el departamento de seguridad de la información de la organización.

Un sano escepticismo, en combinación una curiosidad constante es la piedra angular de la auditoría, puesto que facilita hacer preguntas realmente acertadas. Dentro de las habilidades blandas, estas son algunas de las más importantes, para un auditor. Una persona con escepticismo y curiosidad puede aprender técnicas de auditoría, pero no es tan sencillo enseñar a un auditor sin curiosidad ni escepticismo estas últimas habilidades. El pensamiento crítico y otras habilidades blandas brindan a los auditores que se ocupan de un área técnica como la ciberseguridad, la capacidad de comunicarse fuera de su área y comprender cómo una amenaza cibernética podría afectar a la organización. Por tal razón, hace algún tiempo la competencia técnica era normalmente el rasgo más buscado por las empresas al contratar auditores pero ahora, se buscan profesionales con más énfasis en las habilidades de comunicación, por la necesidad que tiene el auditor de comunicarse, persuadir y asociarse.

Los auditores requieren tener conciencia cibernética, lo cual es fundamental hoy día para la ejecución de la estrategia de su trabajo, lo mismo que debe ocurrir en la estrategia de la alta dirección de las organizaciones para la conducción de sus negocios. En el entorno actual, las juntas directivas, la administración y otras partes interesadas deben estar alertas al riesgo cibernético y ver si la organización cuenta con las habilidades y la estrategia de recursos adecuadas para hacerle frente. Esto implica hacer las inversiones necesarias en los temas correspondientes.

Al conformar los equipos de auditoría, se debe tener en cuenta, además de las personas con conocimientos y habilidades en contabilidad y finanzas, incluir empleados con conocimientos en informática y ciberseguridad. Suele ocurrir que los estudiantes e incluso profesionales de áreas asociadas a tecnologías de la información desconocen las oportunidades de trabajo en el campo de la auditoría. Estas personas probablemente han tenido una exposición limitada a la auditoría y al no conocer la oportunidad de crecimiento, podrían considerar no entrar en ese campo. Por ello es importante acercarse e interactuar con dichos profesionales y estudiantes y lograr sinergias en beneficio tanto de las organizaciones como de los profesionales.

Un desafío para quienes conforman los equipos de auditoría es convencer a los candidatos de otras disciplinas de las oportunidades y el valor agregado que ofrece la profesión. Para los profesionales de TI no es solamente ofrecer trabajo en seguridad de la información; la auditoría ofrece el potencial de una mayor diversidad de experiencia y amplitud de oportunidades, obtenidas al trabajar con altos ejecutivos y miembros de la junta, así como la participación en diferentes proyectos. Si a esto se suma contar con buenas habilidades de comunicación, el tiempo dedicado a la auditoría puede ser una gran oportunidad de aprendizaje.

Como se aprecia, es vital para los auditores tener un enfoque interdisciplinario que facilite la evaluación de riesgos tecnológicos, así como el fortalecimiento de las habilidades blandas y la participación en organizaciones académicas y gremiales que permitan establecer contactos profesionales para atender las nuevas demandas y nuevos riesgos a los que se enfrentan las organizaciones en un ambiente de cambio permanente.  

 

[1] Articulo basado en  el texto Staffing for Success, disponible en https://iaonline.theiia.org/2021/Pages/Staffing-for-Success.aspx

[2] OnRisk 2021: A Guide to Understanding, Aligning, and Optimizing Risk. Disponible en: https://na.theiia.org/periodicals/OnRisk/Pages/default.aspx

[3] El término ransomware se refiere a un tipo de malware que luego de comprometer un equipo secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma, normalmente en criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras ransom (rescate) y software.

 

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando tiempo, creando y protegiendo valor en las organizaciones.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.