Por: CP Iván Rodríguez. Colaborador de Auditool.
En un trabajo normal de auditoría, una de las técnicas que emplean los auditores para obtener información relevante es efectuar preguntas específicas y de esta manera indagar sobre las prácticas y operaciones de una organización. En el caso de la seguridad de los datos, aunque la alta dirección y la auditoría tienen clara la importancia del tema, las preguntas y por tanto las respuestas se centran en el cumplimiento normativo para los datos que son regulados o que deben tener alguna protección especial toda vez que su seguridad es una prioridad y no se presta la debida atención a los datos no regulados y demás información.
Esta situación puede llevar al incumplimiento normativo puesto que no hay una evaluación completa e integral acerca de las medidas con que debe contar la organización para una apropiada gestión de los datos y la información, ni procedimientos de control apropiados. Es posible que las preguntas sean limitadas a temas de cumplimiento y en ese sentido, las respuestas también sean parciales. También ocurre que hay auditores que aceptan respuestas incompletas o inapropiadas tales como, “no sé”, “no lo conozco” o “posiblemente se haga”.
Parece contradictorio entonces que, aunque hay un entendimiento claro acerca de la importancia de la seguridad de los datos, no se preste la debida atención a las medidas necesarias para mitigar el riesgo al que está expuesta la información. Este hecho se evidencia en que en algunas organizaciones hay más empleados que son responsables de garantizar el cumplimiento normativo, que aquellos responsables de la seguridad de la información.
Los auditores, para enfrentar esta situación deben formular las preguntas pertinentes, entre las que se cuentan[1]:
- ¿Dónde se almacenan los datos?
- ¿Quién tiene acceso a los datos?
- ¿Se sabe cuándo, cómo y porque se accede a los datos?
- ¿El acceso a los datos se hace de manera adecuada?
- ¿Se han presentado alteraciones de los datos involuntariamente o a propósito?
Las preguntas no son complicadas y la organización debería poder responderlas fácilmente. Si la organización no puede atender debidamente o responde con insuficiencia o indiferencia, es una situación inaceptable. Si las organizaciones creen que la seguridad de los datos es una prioridad, deben ser capaces de responder apropiadamente las preguntas básicas sobre la seguridad de los datos.
Las respuestas en conjunto son un indicativo del perfil de riesgo de la organización. La gestión de datos, en cuanto sea posible, debe apoyarse en herramientas que faciliten la clasificación de datos y provean medidas y controles para la seguridad de la información. Del mismo modo, deben contar con una estrategia bien definida en el caso de una violación o pérdida significativa de datos, que debería ser de conocimiento de los empleados de nivel apropiado. Ahora bien, la dinámica entre las organizaciones y los auditores puede tener cambios significativos en beneficio de la seguridad de los datos. Los auditores, al indagar sobre las capacidades y recursos de las organizaciones, pueden plantear preguntas tales como las siguientes:
- ¿Cómo se monitorea y protege el acceso a la información confidencial?
- ¿Qué métodos se utilizan para detectar comportamientos inusuales o anómalos respecto de los datos almacenados?
- ¿Cómo se puede determinar si se ha realizado un cambio sustancial en un conjunto de datos determinado?
- ¿Qué procesos se han implementado para tratar con datos no utilizados?
En cuanto las preguntas sean más elaboradas por parte de la auditoría, se obtienen mejores respuestas por parte de la organización y sobre esa base, se pueden mejorar los procesos de seguridad de datos y brechas en las estrategias. En armonía con lo anterior, los auditores deben verificar si las organizaciones han adoptado (o van a adoptar) medidas como las siguientes para garantizar que sus datos estén protegidos y seguros:
- Verificar si hay supervisión del acceso a todos los datos, no solo a los confidenciales o regulados.
- Confirmar si están definidos los accesos de todos los usuarios a los programas y aplicativos y no solo para los usuarios con privilegios.
- Indagar por las medidas de control en las diferentes ubicaciones donde se almacenan datos, incluidos los sistemas e información en la nube.
- Confirmar si se ha dado oportuno cumplimiento al tiempo de almacenamiento, para cumplir con la normatividad aplicable, así como para proporcionar una respuesta aceptable a eventuales incidentes.
- Indagar si la organización cuenta con medidas de respaldo o ayuda, en caso de incidentes de seguridad de datos.
De manera adicional a las preguntas especificas en relación con el tema de seguridad de datos, hay otros cuestionamientos que los auditores deben hacer (o tener en cuenta en sus evaluaciones), sobre temas de mejora continua, gestión de riesgos y mejoramiento y supervisión, que contribuyen al fortalecimiento del control interno, entre los que se cuentan los siguientes:
- ¿Cómo se fomenta una cultura de mejora continua al interior de la organización?
- ¿Existen para que los empleados propongan mejoras en los procesos?
- ¿Cómo se gestiona la resistencia al cambio cuando se implementan nuevas prácticas?
- ¿Qué papel juega la alta dirección en promover y apoyar iniciativas de mejora continua?
- ¿Cómo se evalúa el impacto de las mejoras implementadas en los resultados de la organización?
- ¿Con qué frecuencia se revisan los resultados de las mejoras implementadas para determinar si han sido efectivas?
- ¿Qué indicadores clave de rendimiento (KPI) utilizan para medir el éxito de los procesos de mejora continua?
- ¿Cómo ajustan las estrategias si las mejoras no generan los resultados esperados?
Mejorar las preguntas en una auditoría requiere que los auditores formulen preguntas abiertas que inviten a una discusión detallada, y que además se enfoquen en áreas críticas para la organización, como la ciberseguridad, control interno y gestión de riesgos. Hay que tener presente que la ciberseguridad está en constante evolución; los atacantes siempre están refinando sus técnicas, lo que significa que las organizaciones deben incorporar mejores herramientas para mantener su seguridad y en ese escenario es fundamental la participación del auditor, con su conocimiento y experiencia en la búsqueda del logro de los objetivos empresariales.
[1] Basado en: Auditors are Asking Better Questions—Organizations Should Have Better Answers
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.