Professional Documents
Culture Documents
CCPM Auditoria Interna y La Vulnerabilidad de La Tecnologia de La Informacion
CCPM Auditoria Interna y La Vulnerabilidad de La Tecnologia de La Informacion
57
PRESENTACIÓN
En el presente documento se tratan puntos significativos que se identifican con la administración de los
riesgos en Tecnología de la Información (TI), así como el enfoque y alcance que Auditoría Interna debe dar
a su examen sobre los mecanismos de control respectivos, a fin de contribuir al logro de los objetivos de
una empresa en este segmento vital de su organización.
I. Introducción 3
Presidente
C.P.C. Adolfo Ramírez Fernández del Castillo
Vicepresidente
Mtro. y C.P. Gabriel Sánchez Curiel
Secretario
L.C.P.C. Fernando Pérez Mendoza
Integrantes
C.P. C. Agustín Francisco Albarrán Carranza
L.C.P. Miguel Ángel Castillo Bautista
C.P. Salvador Cruz Hernández
C.P. Gerardo Amando Díaz Valdez
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
L.C.P.C. Fernando Pérez Mendoza
C.P.C. Arturo Salvador Reyes Figueroa
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
C.P. Gabriel Espino García
C.P. Iván Rabell Ojeda
El constante desarrollo y crecimiento de la tecnología electrónica (TI) para procesar datos sobre
las operaciones de las empresas ha incrementado de manera incesante la vulnerabilidad de la
información. A través de una falta de identificación de riesgos adecuada y una debilidad en la
estructura del control interno, cualquier persona en la empresa o desde el exterior puede acceder
a los archivos electrónicos para utilizar ilegalmente datos significativos sobre la situación
financiera o la estrategia de las operaciones.
La reingeniería social, el uso indisciplinado del correo electrónico, la exposición de datos
críticos dentro de la nube, el ataque a los servidores conocido como hackeo, el robo de identidad,
los errores operativos accidentales o premeditados, los fenómenos naturales y las catástrofes
que dañan o destruyen los equipos de cómputo son amenazas cotidianas en la vida de las
empresas.
En este escenario de riesgos globalizados sobre la integridad de la información, el gobierno
corporativo, desde el consejo de administración, la dirección general y el grupo directivo al
completo de una empresa o institución debe asumir la responsabilidad de construir y actualizar
de manera oportuna los mecanismos de prevención, detección y remediación respecto a todas
las amenazas recurrentes y casuales que se identifican con la plataforma TI.
La auditoría interna no es ajena a dicha responsabilidad, por ello, en el presente documento
se tratan puntos significativos sobre la administración de los riesgos en TI, así como el enfoque
y alcance que Auditoría Interna debe dar a su examen sobre los mecanismos de control
respectivos, a fin de contribuir al logro de los objetivos de la empresa en este segmento vital de
su organización.
Los eslabones finales de la cadena TI, como equipos de escritorio, laptops, teléfonos inteligentes,
impresoras, cajeros automáticos o ATM y equipos en punto de venta son los primeros que
enfrentan y detectan amenazas y ataques a la información; por ello, son los primeros en alertae
sobre actos ilícitos hacia los equipos de seguridad que forman la red TI del área local o LAN, por
sus siglas en inglés.
Las pérdidas de datos valiosos pueden ocurrir por diversas causas: que el personal no cumpla
con las normas que limitan el uso de memorias USB o pendrives, los accesos no restringidos al
correo electrónico y las aplicaciones no controladas que funcionan en la nube. Por ello, aunque
los equipos del área local estén protegidos, deben contar con funciones básicas de seguridad
para bloquear el malware avanzado o código malicioso que en cualquier momento puede
infiltrarse en la empresa.
Los servicios en la nube crecen de manera incesante y las empresas los han adoptado para
lograr soluciones multilaterales a retos cotidianos, tales como las videoconferencias, el
almacenamiento de datos más rentable y la posibilidad de conectarse en tiempo real con terceros
localizados en cualquier punto del planeta. Sin embargo, la globalización de las relaciones de
negocios provocada por la nube ha incremento la vulnerabilidad de la información de manera
exponencial.
Dicha vulnerabilidad, propia de TI, incluye a la empresa en su conjunto y debe ser un tema de
máximo interés en la administración de riesgos por parte del gobierno corporativo. El resultado
de una intromisión o violación exitosa a la plataforma de cómputo puede afectar la continuidad
Existen varios mecanismos que, aunque son condiciones básicas, deben establecerse en las
empresas para prevenir, detectar y mitigar los riesgos informáticos, vale la pena recordar algunos
de ellos que por décadas han servido a dichos propósitos, destacando los siguientes:
Implantar los mecanismos descritos es indispensable para prevenir, detectar y remediar los
riesgos que cotidianamente enfrenta la plataforma de cómputo. Un punto a subrayar es la
realización de simulacros sorpresivos sobre la aplicación efectiva de ellos, evaluar las respuestas
esperadas de todo el personal involucrado, así como el seguimiento a la oportuna implantación
de los ajustes estructurales que sean necesarios. Esta es una parte crítica de la administración
de riesgos y, como la vida misma de la empresa, es un proceso que no tiene fin.
Ahora bien, como tercera línea de defensa, Auditoría Interna debe involucrarse en el logro de
los objetivos que la empresa se propone para reducir la vulnerabilidad a que está expuesta TI.
Por ello, el Plan Anual de Auditoría basado en riesgos debe destinar tiempo y recursos suficientes
para cumplir con las siguientes actividades sin afectar la imparcialidad de sus juicios y funciones:
1. Participar en las reuniones del Comité de Riesgos Informáticos que, como ya se dijo, trabaja
para prevenir, mitigar y remediar las amenazas existentes sobre la tecnología de la
información. En dichas reuniones, Auditoría Interna aporta su experiencia y conocimientos
sobre controles manuales e informáticos y reúne antecedentes muy útiles para eficientar sus
propios procedimientos y agregar valor a la empresa.
2. Cerciorarse de que se cumplan totalmente los mecanismos sobre los controles de operación,
los controles de salida de la información y los controles de mantenimiento ya descritos,
induciendo sin demora las acciones remediales que sean necesarias para mejorarlos. Caben
aquí las recomendaciones sobre la disciplina con que el personal lleva a cabo las actividades
a su cargo.
3. Con el previo conocimiento y aprobación del Comité de Auditoría, se deben llevar a cabo
pruebas sobre la eficacia de los mecanismos mencionados en el párrafo anterior; esto implica
retar a los controles; intentar accesos no autorizados a la información; forzar las reacciones
humanas y electrónicas con ataques directos a la integridad de los archivos; llevar a cabo
intentos de robo de discos ópticos; pretender ingresar sin autorización al Centro de Cómputo
o ingresar con materiales peligrosos que pueden dañar las instalaciones; solicitar a un
usuario que proporcione por escrito su clave de acceso al sistema, entre otras pruebas
similares o de mayor alcance.
Es importante destacar que Auditoría Interna debe dimensionar los riesgos y efectos
auténticos de las pruebas con que retará a los controles. En caso necesario, debe
involucrarse al Área de Sistemas para coordinar las reacciones de protección electrónica
cuyos efectos pudieran poner en riesgo la integridad de la información. Este punto debe
también comunicarse previamente a Dirección General y al Comité de Auditoría.
Para cumplir con las actividades descritas en los párrafos anteriores, es necesario que el área
de Auditoría Interna cuente con profesionales en TI cuya capacidad técnica baste para interactuar
con el personal de la empresa bajo cualquier circunstancia que surja tanto en la dinámica
cotidiana de las operaciones, como en escenarios de crisis dentro de la plataforma de cómputo.
Las actividades que llevan a cabo los gobiernos corporativos se han integrado totalmente a la
plataforma de cómputo. Las tecnologías de la información (TI) se han globalizado y, por ello, la
vulnerabilidad de los datos crece de manera incesante. La respuesta a las amenazas internas y
externas que enfrenta TI es la administración de los riesgos.
Administrar los riesgos informáticos es una responsabilidad institucional que abarca a todos
los niveles de la organización. Prevenir, detectar y reducir dichos riesgos implica un proceso
constante de actualización inmediata sobre las estructuras de control; la alternativa es perder
información, comprometer la integridad de los archivos y, eventualmente, la continuidad de las
operaciones y la vida misma de la empresa.
Parte significativa de la administración de los riesgos TI son los mecanismos para mantener
un gobierno que sustente los controles generales de cómputo, así como el control de las
operaciones, los controles sobre las salidas de información y los mecanismos para el
mantenimiento de los equipos de cómputo electrónico. Todos ellos aportan recursos útiles en el
combate a las amenazas sobre la información, pero su eficacia depende de la participación
disciplinada y sinergética de todo el personal de la empresa.
Como tercera línea de defensa, Auditoría Interna debe involucrarse en la administración de los
riesgos TI; participar en los comités que trabajan para reducir la vulnerabilidad de los sistemas;
aportar su experiencia en asuntos de control; sugerir ajustes a los mecanismos de prevención;
construir precedentes para incluirlos en su Plan de Auditoría basado en riesgos y, desde luego,
mejorar el enfoque de los procedimientos de auditoría.
Apuntalar la eficacia de los mecanismos para enfrentar la vulnerabilidad de TI implica la
realización de simulacros sorpresivos que, como tales, no deben constar en programas, fechas y
horarios conocidos. La repetición constante e inesperada de eventos simulados que amenazan
la información, debe ser parte de la cultura corporativa para la administración de los riesgos.
A fin de contribuir a lograr respuestas oportunas y eficaces frente a los riesgos TI, Auditoría
Interna debe llevar a cabo pruebas de ataques a la estructura de control en la plataforma y en el
Centro de Cómputo de la empresa. Dichos ataques deben ser previamente aprobados por el
Comité de Auditoría y, en su caso, deben coordinarse con el Área de Sistemas y ponerse en
conocimiento de la Dirección General, asegurando que no ponen en riesgo la continuidad de la
empresa y de su toma de decisiones entre las diferentes áreas y unidades de negocios de la
organización.