Auditoría de tecnologías de la información: hoja de ruta hacia la seguridad razonable

Esta semana el Master de Auditoría Pública de la UCLM analizó los Sistemas de Información en la Administración Pública. Estructura, Características, Componentes. Gobierno y Organización de las TIC y Auditoría Informática. Pudimos escuchar a uno de los mejores y más experimentados profesionales del sector, Mario Piattini Velthuis. Si a eso añadimos su brillante capacidad pedagógica, creo que hemos presenciado uno de los grandes momentos del programa.

Acompañamos al ponente, junto al coordinador Julio García, los profesores Magdalena Cordero (TCEu), Antonio Minguillón (Sindicatura Comunidad Valenciana) y yo mismo. Es lo bueno que tiene este tipo de formación oficial a distancia, que los profesores se conectan, distantes cientos o miles de kilómetros, como los alumnos para disfrutar de sus contenidos. Los debates son interesantísimos, y las cuestiones planteadas muy participativas y reales.

Piatini señaló que la auditoría informática se trata de una actividad que no está regulada, con numerosas especialidades, por lo que es imposible que un profesional pueda estar al día en todas ellas y hacen falta distintos enfoques y nuevas perspectivas. Animó a juristas y economistas a avanzar en esa dirección y preparar el examen para obtener la prestigiosa certificación CISA (Certified Information Systems Auditor) que es reconocida internacionalmente para profesionales que se dedican a la auditoría, revisión y control, así como la seguridad de los sistemas de información. Además señaló a los alumnos que existe un gran déficit de técnicos.

Centró buena parte de su intervención en las cuestiones relacionadas con la seguridad de la información, su creciente importancia y sobre cuál debe ser la visión del auditor.

En esta materia las Instituciones de Control Externo de todo el mundo acometen trabajos de fiscalización sobre muy diversos aspectos tecnológicos. Un ejemplo en nuestro país, sin ir más lejos, es la Sindicatura de Cuentas de la Comunidad Valenciana, que en lo que va de años ha publicado informes sobre la evaluación del Plan de Transformación Digital de la Generalitat 2016-2019, comentado en la última edición de la Jornada de Auditoría del Sector Público del Col.legi de Censors de Catalunya, y otros varios sobre la situación de la ciberseguridad en distintos organismos públicos de esa Comunidad Autónoma.

¿Auditas o crees que auditas?

Las clases de Piatini son entretenidas, muy prácticas y llenas de cuestiones para debatir con los asistentes. Al igual que el profesorado precedente, plantea docenas de encrucijadas que debe resolver un auditor de sistemas de información, como la siguiente:

Otro tema que ha centrado las clases de Piattini esta semana es el gobierno de las tecnologías de información (TI) que es necesario para que las organizaciones aprovechen al máximo las ventajas de esas herramientas, maximicen los beneficios y controlen los riesgos.

El gobierno tiene que responder a varias cuestiones: si estamos acometiendo las iniciativas de TI correctas (alineadas con la estrategia organizacional), si estamos haciendo las cosas de manera correcta (con las estructuras, comités, roles adecuados), si estamos ejecutando las iniciativas de forma eficiente (con procesos de gestión disciplinados para gestionar el cambio, dar soporte y prestar servicios) o si estamos obteniendo los beneficios deseados.

Revisamos también el marco de gobierno COBIT 2019 de la ISACA, que se focaliza en  la entrega de valor derivada de la transformación digital y la mitigación del riesgo de negocio que resulta de la propia transformación digital.

Debatimos también diferentes formas de gobierno de TI (centralizado, federal, descentralizado), los temas relacionados con la rendición de cuentas (accountability) y responsabilidades (responsability) sobre las TI en la organización; así como el papel del auditor interno en su gobierno y gestión.

Control por diseño

En el número 100 de la revista Presupuesto y Gasto Público, monográfico coordinado por Emma Ramos, se publica un interesante artículo (descargar aquí) de la profesora responsable de la asignatura  Magdalena Cordero, un texto de lectura obligatoria para todos nosotros. Recordó que la transformación digital del control debe ser posible de manera que sea ágil, rápida, simple y, por supuesto menos burocrática. Una buena opción es lo que denominó el control por diseño. Pensar en el control desde el principio.

Consiste en establecer un sistema para gestionar todos los procedimientos de implementación (en el caso que analiza, los fondos europeos), incluida la ejecución y los resultados, incorporando controles en el proceso informático para tener así un nivel adecuado de confianza en la fiabilidad de las cuentas y en la legalidad y regularidad de las transacciones subyacentes. Esto permite que puedan auditarse con actuaciones menos frecuentes, menos costosas y de diferente naturaleza (incluida una gran parte de la auditoría de sistemas de información). Trataremos más en profundidad este tema en otra entrada de la bitácora.

Seguridad razonable o ilusión de seguridad

Como todo avance, en tecnología existen muchos beneficios y riesgos. Para el Forum Economico Mundial los ciberataques suponen el mayor peligro de desastres para la sociedad moderna, después de la COVID. Hace unos días, la propia Universidad de Castilla La Mancha debió enviar una semana a todos sus empleados para casa, tras un ataque masivo. Recordemos el caso del Servicio Público de Empleo, con los beneficiarios esperando pacientemente en la calle ante los trámites manuales de sus empleados.

Ya tenemos mucho camino andado. Existen evidencias claras de tales iniciativas. Un ejemplo, cuando los tecnólogos del Estado estaban modernizando esa joya que es la plataforma de contratación del sector público, hicieron la prueba final de funcionamiento mediante un ejemplo quijotesco: el “Servicio de mantenimiento de la jaula de los leones feroces” por 3.500.000 de euros. Tras comprobar el proceso digital en todas las partes del expediente … ¡no pudieron borrarlo! Ni siquiera sus creadores informáticos (ponga aquel entrecomillado en el buscador web), lo que deja en bastante buen lugar la fiabilidad del sistema. Es una buena prueba de auditoría no poder alterar los registros. Ahí queda para la posteridad y sorpresa de investigadores ese primer apunte de la moderna licitación electrónica española.

Un momento de las explicaciones del catedrático Piattini

2 comentarios en “Auditoría de tecnologías de la información: hoja de ruta hacia la seguridad razonable

  1. Pingback: El triángulo del fraude se jubila – Fiscalizacion.es

  2. Pingback: Ciberseguridad. Los ricos también lloran. – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .