Auditoría Básica de SI: Auditando la Gestión de Riesgos IS/IT Parte 2

Parte 1 de este articulo describió las similitudes, diferencias y posibles traslapo entre los auditores internos de SI/TI y las funciones de riesgo SI/TI administradas por el director de información (CIO). También sugería un universo de auditoría para la gestión de riesgo de SI/TI e introdujo el caso para la colaboración entre auditoría interna y la gestión de riesgo empresarial (ERM). Figura 1 de la parte 1 se incluye aquí como un recordatorio.

La discusión que sigue refleja la perspectiva de los auditores de SI/TI. Cada tema puede ser sub dividido en muchas más secciones, pero la intención de esta columna no es de proveer un manual detallado (seria un libro muy grande), solo una visión de conjunto.

Controles de Riesgo

La norma internacional ISO 31000: 2009, Gestión de Riesgo—Principios y guias,¹ define un control como “cualquier medida o acción que modifica el riesgo. Controles incluyen cualquier política, procedimiento, practica, proceso, tecnología, técnica, método o dispositivo que modifica o administra el riesgo”.

Una auditoria de la gestión de riesgo de SI/TI puede cubrir políticas y procedimientos como:

• Supervisión del Riesgo—Comités de auditoría y consejos de administración son los responsables por la supervisión del riesgo y deben considerar que individuos, equipos o comités tienen la experiencia necesaria para supervisar un riesgo particular. El auditor debe buscar la evidencia de que esto se ha hecho o que se está haciendo y hacer observaciones según proceda. Si el comité de auditoría y el directorio no están involucrados en la supervisión del riesgo SI/TI, una recomendación debiese reflejar este hecho.
• Inteligencia del Riesgo—Muchos ejecutivos pueden pensar que la gestión de riesgo requiere conocimientos técnicos especiales. “El libro Risk Intelligence: Learning to Manage What We Don’t Know”² (Inteligencia del Riesgo: Aprendiendo a Administrar lo que No Conocemos) no está de acuerdo y explica como cuatro reglas simples pueden mejorar el análisis de riesgo:
  1. Reconocer que riesgo se pueden aprender y reducir su incertidumbre descubriendo más acerca de ellos.
  2. Identificar el riesgo del cual puede aprender más rápidamente, principalmente riesgo de proyecto.
  3. Tomar proyectos riesgosos uno a la vez, Aprenda sobre el riesgo correspondiente a cada uno antes de pasar al siguiente.
  4. Construya redes de socios de negocios, proveedores y clientes quienes pueden en forma colectiva administrar nuevas empresas de riesgo jugando roles distintos.
  En el caso especifico de riesgo SI/TI, Inteligencia del Riesgo también debe incluir riesgo operacional estableciendo enlaces con los equipos de respuesta de emergencias informáticas (CERT) y seguimiento de los reportes de los medios de comunicación sobre amenazas actuales, ej., botnets, malware, ataques de negación de servicios (DoS) y espionaje industria (u otros), Este tipo de información no significa que la organización ya no sea un objetivo, sino que hace que la organización sea un “objetivo informado”. Como de costumbre, el auditor debe buscan evidencias de que las actividades apropiadas se están haciendo, en qué medida y que tan bien.
• Prevención del Riesgo—Al igual que la lógica nos indica que no debemos construir una casa en zona de inundaciones, existen muchos riesgos SI/TI que pueden ser prevenidos a través de principios bien establecidos tal como la necesidad de conocer, privilegios mínimos y segregación de funciones (SoD). Estos principios no necesitan más discusión aquí excepto para decir que existen oportunidades de reforzar los controles alrededor de estos, pero es muy probable que esto se haga en una auditoria SI/TI en vez de una auditoría de gestión de riesgo SI/TI.
• Reducción del Riesgo—También referido a mitigación del riesgo, reducción del riesgo es un conjunto de actividades emprendidas para reducir el impacto (financiero, operacional, reputacional, etc.) de un evento. Aunque este es un tema muy amplio para explorar en detalle en este articulo, el auditor debe buscar evidencia de que se ha abordado, por ejemplo, asignando la propiedad al riesgo al igual que a las medidas tomadas para reducirlo, idealmente incorporado en un registro del riesgo.
• Declaración del Riesgo—A diferencia de la detección del riesgo en una auditoría financiera donde el auditor concluye que no existen errores materiales cuando, en realidad, existen algunos, en el contexto de la gestión de riesgo SI/TI, esto refleja la capacidad para detectar que un tercero no autorizado está tratando de penetrar la red o sistema (o ya lo ha hecho con éxito) con el propósito de afectar su disponibilidad, confidencialidad o integridad.
  
  Muchos proveedores se especializan en el campo de la seguridad de la información y la gestión de eventos (SIEM). El auditor debiese explorar en qué medida estos productos son relevantes para la organización y, si lo son, si estos han sido comprados o existen planes para comprarlos.
• Planes de Contingencia—EL CIO debe poseer y actualizar los planes de respuesta a incidentes y de recuperación de desastres, los cuales deben ser actualizados y probados constantemente dado al rápido cambio en la arquitectura tecnológica, Los planes deben ser estar estrechamente ligados con los planes de continuidad de los negocios de la organización.

Sistema de Gestión del Riesgo

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway control interno (COSO) – Marco integrador³ publicado el 14 de mayo del 2013, pone un mayor énfasis en la importancia de SI/TI e incluye otras mejoras dentro de estos principios.

En mayo del 2014 ISACA publico un white paper⁴ destacando las áreas de alineación y diferencias en el contenido de los marcos de referencia de COSO y COBIT y presentando su naturaleza complementaria y compatible de su orientación.

Si el marco de referencia de COSO ha sido adoptado para el ERM, el auditor debe validar que la gestión del riesgo SI/TI este alineada adecuadamente con él para asegurar una integración entre ellos.

Extension De La Integracion De La Gestion De Riesgo Si/Ti En Erm

Dado el corto tiempo desde la publicación en el 2013 del marco de referencia de COSO y COBIT 5, la transición hacia un ambiente más integrado puede esperarse que tome algún tiempo mientras que Organizaciones ERM, auditoría interna, CIO y el Oficial de Seguridad de la Información (CISO) aprendan y empiecen a aplicar los cambios.

Dado que diferentes disciplinas (ej. finanzas) pueden utilizar diferentes normas y hasta diferentes definiciones y métricas de impacto y riesgo, una falta de integración puede crear brechas en entender, evaluaciones incompatibles y dificultades en integrar los resultados. El auditor debe examinar la extensión de la integración y efectuar observaciones apropiadas; y si es necesario, el auditor tal vez desee recomendar el tener una única fuente integrada y priorizada fuente de información del riesgo para todo el negocio.

Monitoreo del Riesgo

El monitoreo del riesgo puede ser activo y reactivo.

• Activo—Esto debiese incluir inteligencia del riesgo, como ya se ha discutido, y la inspección (o auto evaluación), auditorias de SI/TI y cualquier acciones correctivas que se hayan identificado.
• Reactivo—Esto consiste en acciones después del evento para entender que paso y como, con el objetivo de aprender sobre las vulnerabilidades en las personas, procesos y tecnología que lo ocasionaron y extraer lecciones de los incidentes con la esperanza de prevenir un evento repetido.
  
  Estas acciones incluyen análisis e investigación y, mientras que el resultado pueda ocasionar molestias, es mejor conocer. Un pequeño ejemplo publicitado fue la forma en que el malware Stuxnet fue introducido en la planta de enriquecimiento de uranio de alta seguridad en Natanz, Irán, y, a continuación en los equipos computacionales que no estaban conectados a cualquier red externa. En verdad, el proceso involucro personas y una unidad de memoria flash USB – un enfoque que fue considerado improbable de que no pueda haber sido un escenario de riesgo (discutido en parte 3 de esta serie de artículos) seriamente considerado.

Comunicación del Riesgo

Apetito del riesgo es una consideración básica en el enfoque ERM.

Puede ser definido como “el valor y tipo de riesgo que una organización está dispuesta a tomar para cumplir con los objetivos estratégicos”.⁵ Cada organización necesita definirlo para diferentes riesgos, relacionarlo al sector de la organización de actividad y cultura, y expresarlo en unidades apropiadas (financiero por impacto, en minutos (o horas) para la disponibilidad de los sistemas, etc.). Mientras que el apetito del riesgo significa diferentes cosas para diferentes personas, existe un consenso que una declaración del apetito de riesgo relevante debidamente comunicado puede ayudar a las organizaciones a alcanzar sus objetivos y sostener sus operaciones. Esto es difícil hacer, pero sin eso, no es posible administrar el riesgo en cualquier forma significativa.

El auditor debe examinar las declaraciones del apetito del riesgo relacionados con SI/TI por la completad y aplicabilidad y verificar el grado de contribución y acuerdo de la alta gerencia.

Definiciones

De acuerdo a la ISO 31000, riesgo es el “efecto de la incertidumbre en los objetivos”, y un efecto es una desviación positiva o negativa de lo que se espera. La palabra clave aquí es “incertidumbre” ya que las cosas son más probables no ocurran según el plan.

Muchas profesiones y actividades tienen su propio conjunto de definiciones de riesgo, y esto puede dar lugar a malentendidos, si no confusión. Por ejemplo, un dialogo en riesgo entre un cirujano medico y un banquero de inversión, aunque poco probable, debe ser una ilustración fácil de la incomprensión mutua.

El auditor debe explorar la medida en que la definición de riesgo utilizada por profesionales de SI/TI es entendido por el equipo ERM y otras funciones del negocio.

Conclusiones Preliminares

Este artículo no debe ser visto como el final de la historia, solo su inicio. Según el rol de gestión del riesgo aumente en la importancia del negocio existirán muchas mas áreas para la función de auditoría interna de considerar, tal como el riesgo asociado con datos que están siendo desechado/destruido, el uso de encriptación, puntos únicos de fallo, proveedores externos y proveedores. Parte 3 de este artículo discutirá la planificación de escenarios de riesgo.

Notas

¹ International Organization for Standardization, ISO 31000:2009, Risk management—Principles and guidelines, www.iso.org/iso/home/standards/iso31000.html
² Apgar, David; Risk Intelligence: Learning to Manage What We Don’t Know, Harvard Business School Press, USA, 2006
³ Committee of Sponsoring Organizations of the Treadway Commission, Internal Control—Integrated Framework, 2013, www.coso.org
⁴ ISACA, Relating the COSO Internal Control—Integrated Framework and COBIT, USA, 2014
⁵ Rittenberg, L.; F. Martens; “Understanding and Communicating Risk Appetite,” COSO, 2012, www.coso.org