Antonio Minguillon Roy, Directordel Gabinete Técnico de la Sindicatura de Cuentas de la Comunidad Valenciana -y de su Unidad de Auditoría de Sistemas de Información (UASI)- inició su intervención en el V Congreso de Control Público señalando de forma sucinta algunas características del entorno de trabajo que hoy en día se encuentra el auditor público al llevar a cabo sus tareas fiscalizadoras.
Todo el sector público se encuentra inmerso en procesos más o menos intensos, pero en todo caso ineludibles de Transformación digital. Destacó las tres características esenciales que desde el punto de vista del auditor tiene un proceso de transformación digital:
a) la reingeniería de procesos, que los simplifica desde el punto de vista funcional pero hace que estén íntimamente ligados y soportados por la tecnología, a diferencia de procesos analógicos tradicionales que únicamente se han informatizado y que se encuentran en una etapa intermedia de la administración electrónica;
b) la complejidad tecnológica, ya que los procesos de transformación digital implican el uso de tecnologías avanzadas cada vez más complejas; y
c) la hiperconexión de sistemas, vivimos en un mundo cada vez más conectado y los entornos de administración electrónica avanzada son básicamente entornos en los que todo está conectado con todo a través de internet lo que a su vez provoca en las entidades públicas fiscalizadas el aumento exponencial de susuperficie de exposición frente a las ciberamenzas y la necesidad de adoptar medidas de ciberseguridad para hacerles frente.
Sintetizó gráficamente esta situación de aumento de los riesgos de auditoría derivados el uso de la tecnología en el clásico gráfico que preside esta entrada:
Esta situación provoca que los auditores públicos también deban adaptarse en diversas facetas (metodológicamente, tecnológicamente, perfiles profesionales especializados, …) salvo que asuman una creciente brecha de riesgos de auditoría derivados del uso de la tecnología.
A continuación Minguillón explicó también sucintamente como la Sindicatura de Cuentas de la Comunidad Valenciana se ha adaptado para reducir esa brecha de riesgos, fundamentalmente con la creación hace ya 16 años de la Unidad de Auditoría de Sistemas de Información (UASI), que entre otras tareas ha realizado en este periodo un gran número de auditorías de ciberseguridad, utilizando la metodología descrita en las guías de auditoría de los OCEX.
Expuso los resultados de varias auditorías de ciberseguridad de entidades locales, con el benchmarking utilizado que permite comparar la situación de la ciberseguridad entre distintas entidades y a lo largo del tiempo, analizar las áreas de mayor riesgo, destacando dos lecciones aprendidas:
1. la situación de la ciberseguridad en los ayuntamientos es mala y están en riesgo frente a las ciberamenazas.
2. la gobernanza de la ciberseguridad es el elemento crítico para disponer de unas adecuadas ciberdefensas
Es decir, en estos entornos complejos las entidades públicas deben adoptar medidas de gobernanza sobre las TI y medidas específicas de ciberseguridad adecuadamente estructuradas y enmarcadas en la gobernanza corporativa del cuadro adjunto:
Replica a Tecnología, riesgos y la regla de dos – Fiscalizacion.es Cancelar la respuesta