Es un gran cumplido, un poco intimidante si, haber sido invitado a seguir los pasos de Tommie Singleton y del fallecido Ed Gelbstein de contribuir en esta columna. Sólo espero coincidir en sus ideas aportando mis propias experiencias.
Hablando de ello, una de las solicitudes más comunes que recibo, como líder comunitario del Centro de Conocimiento de ISACA1, 2, 3, es sobre los programas de auditoría/aseguramiento o recursos de aseguramiento. Entonces, ¿cuáles son nuestras opciones y dónde deberíamos buscar?
Utilizar los programas de auditoría/aseguramiento ya existentes
ISACA, el Instituto de Auditores Internos (IIA) y otras organizaciones (figura 1) han desarrollado programas que abordan áreas comúnmente auditadas como la ciberseguridad, las aplicaciones usualmente usadas como SAP y los requerimientos de cumplimiento como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard) o PCI DSS en su sigla en inglés. Estos son excelentes recursos y pueden ahorrar mucho tiempo. Mi única advertencia es que no sirven para todo. Ellos deben ser considerados como un punto de partida y ser ajustados en base a los factores de riesgo y los criterios que son relevantes para la organización que se está auditando. Si esto no se hace puede resultar en un enfoque de lista de verificación que puede llevar al auditor a recomendar controles que no son aplicables a la empresa. Esto, a su vez, puede dañar la reputación con el auditado y, a la larga, con la alta dirección.
Construir tu propio programa
Durante tu carrera como auditor de SI será necesario que construyas tus propios programas de auditoría/aseguramiento. Estos programas podrían ser normalmente requeridos cuando el sujeto de auditoría sea una aplicación a la medida, o cuando la organización que está siendo auditada está implementando herramientas o procesos que están a la vanguardia. ¿Cómo abordarás esta tarea?
En marzo de 2016 ISACA publicó un excelente estudio titulado Auditoría de Sistemas de Información: Herramientas y Técnicas para la Creación de Programas de Auditoría.7 Este documento describe los cinco pasos para desarrollar tu propio programa de auditoría (figura 2). En esencia estos pasos son:
- Determine el objeto de auditoría—¿Qué estás auditando? Esto a menudo se establece como parte del plan general de auditoría.
- Defina el objetivo de la auditoría—¿Por qué está auditando esto? Una vez más, esto puede haber sido establecido como parte del plan general de auditoría.
- Establezca el alcance de la auditoría—¿Cuáles son los límites de la auditoría?
- Realice una planificación previa de la auditoría—¿Cuáles son los factores específicos de riesgo?
- Determine los procedimientos de auditoría y los pasos para la recopilación de datos—¿Cómo probará los controles que mitigan estos riesgos?
Un componente crucial del paso 5 es el desarrollo de criterios para evaluar las pruebas. Se define “criterios” como los estándares y puntos de referencia utilizados para medir y presentar los temas, y contra los cuales un auditor de SI evalúa el objeto de auditoria.8 Muchos de estos serán definidos por la entidad que está siendo auditada (por ejemplo, contratos, acuerdos de nivel de servicio, políticas, estándares); sin embargo, habrá instancias en que deberá ser aplicado otros criterios por ejemplo, cuando una organización no ha definido sus propias normas (figura 3).
Una de esas instancias podría ser cuando estás auditando una base de datos Oracle. Una organización que ha definido como estándar propio de base de datos a Oracle, audita entonces ese estándar. Sin embargo, si no existe un estándar una buena práctica es utilizar un estándar referente sí este es objetivo, completo, relevante, medible, comprensible, ampliamente reconocido, autorizado y comprendido por todos los lectores y usuarios del informe.9 Además, los profesionales de auditoría de SI y aseguramiento deben considerar la fuente de los criterios y centrarse en aquellos emitidos por los órganos competentes pertinentes, antes de aceptar criterios menos conocidos.23 Yo también revelaría los criterios utilizados y porqué—en este caso los auditores fueron requeridos a dar una opinión sobre la seguridad de una base de datos Oracle, aun cuando la Administración no tenía un estándar que definiera lo que significaba “seguro”. Una conclusión adicional de esa auditoría podría ser que la gerencia debería definir tal estándar. La selección de los criterios adecuados es vital para el éxito de la auditoría.
Colaborar
Vivimos en un mundo donde es muy viable administrar una empresa utilizando software de código abierto. Por consiguiente, yo planteo una pregunta simple: ¿Por qué no podemos, como comunidad de ISACA, desarrollar programas de auditoría/aseguramiento de código abierto?
La sección de Documentos y Publicaciones de Herramientas y Técnicas de auditoría24 permite a cada miembro aportar documentos y publicaciones creados por el usuario. Los miembros de ISACA podrían, por lo tanto (con la autorización de su empresa), cargar los programas completos de informe9. Además, los profesionales de auditoría de SI y aseguramiento deben considerar la fuente de los criterios y centrarse en aquellos emitidos por los auditoría/aseguramiento, dejándolos disponibles (en los términos y condiciones adecuados) para que otros miembros los adopten para evaluar el riesgo y definir el criterio en su propia empresa. Además, otros miembros podrían contribuir a mejorar estos documentos. Con el tiempo, nosotros, como comunidad, podríamos desarrollar muchos programas de auditoría/aseguramiento que están continuamente siendo mejorados y actualizados.
Conclusión
Un programa de auditoría/aseguramiento es definido por ISACA como un paso o un conjunto de pasos de procedimientos e instrucciones de auditoría, que deben ser ejecutados para completar y auditar.25 Muchos de estos pasos son comunes a la mayoría de las empresas, sin embargo, cada empresa tiene también su propia cultura, ética y comportamiento. Podemos utilizar y compartir programas de auditoría/aseguramiento existente, e incluso colaborar en la construcción de los mismos, si recordamos que tenemos la obligación de considerar el riesgo de nuestras propias organizaciones.
Nota del editor
Actualmente ISACA está estudiando varios métodos para la comunidad, impulsando modelos de intercambio y desarrollo de programas de auditoria.
Notas finales
1 ISACA Knowledge Center, Audit Tools and Techniques
2 ISACA Knowledge Center, Oracle Databases
3 ISACA Knowledge Center, SQL Server Databases
4 ISACA, Audit/Assurance Programs
5 Institute of Internal Auditors, Global Technology Audit Guides, https://na.theiia.org/standards-guidance/topics/Pages/Information-Technology.aspx
6 AuditNet, Audit Programs, www.auditnet.org/audit_programs
7 ISACA, Information Systems Auditing: Tools and Techniques: Creating Audit Programs, USA, 2016
8 ISACA, ITAF: Information Technology Assurance Framework, USA, 2014
9 Op cit, ITAF, p. 20
10 ISACA COBIT 5, USA, 2012
11 ISACA, White Papers, www.isaca.org/resources/insights-and-expertise/white-papers
12 ISACA, Cloud Computing Guidance
13 ISACA, Cyber Security Resources
14 Department of Defense, Security Technical Implementation Guides, USA, http://iase.disa.mil/stigs/Pages/index.aspx
15 Center for Internet Security Benchmarks and Controls, https://benchmarks.cisecurity.org/downloads/
16 International Organization for Standardization/International Electrotechnical Commission, ISO/IEC 27000 Family—Information Security Management Systems, https://www.iso.org/isoiec-27001-information-security.html
17 Cloud Security Alliance, https://cloudsecurityalliance.org/group/security-guidance/#_downloads
18 National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity, USA, https://www.nist.gov/cyberframework
19 Security and Privacy Controls for Federal Information Systems and Organizations, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
20 National Institute of Standards and Technology, NIST publications, https://www.nist.gov/publications
21 Payment Card Industry Data Security Standard, https://www.pcisecuritystandards.org/
22 Information Technology Infrastructure Library, https://www.itil.org.uk/all.htm
23 Op cit, ITAF, p. 20
24 Op cit, ISACA Knowledge Center
25 ISACA Glossary, www.isaca.org/resources/glossary
Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Es el gerente de auditoría de TI del grupo de An Post (la Oficina de Correos Irlandesa con sede en Dublín, Irlanda) y tiene 30 años de experiencia en todos los aspectos de los sistemas de información. Cooke ha cooperado en varios comités de ISACA, y es un miembro actual del Grupo de Trabajo de Desarrollo de Elementos para el Examen CGEIT de ISACA. Él es el líder de la comunidad de las Bases de Datos de Oracle y SQL Server, y de las Herramientas y Técnicas de Auditoría en el Centro de Conocimiento de ISACA. Cooke ayudó en las actualizaciones del Manual de Revisión de CISA para las prácticas de trabajo del 2016, y fue un experto en la materia para el Curso de Revisión en Línea de CISA de ISACA. Ha sido galardonado con el Premio Common Body of Knowledge John W. Lainhart IV 2017, por sus contribuciones al desarrollo y mejora de las publicaciones de ISACA y de los módulos de capacitación para la certificación. Cooke acepta comentarios o sugerencias de sus artículos por correo electrónico en Ian_J_Cook@hotmail.com, Twitter (@COOKEI), o en el tópico de Herramientas y Técnicas de Auditoría del Centro de Conocimientos de ISACA. Las opiniones expresadas en esta columna son suyas y no representan necesariamente las opiniones de An Post.