Stephen Doyle, CISA, CGEIT, PMIIA
Es director, auditor interno en el Departamento de Agricultura y Recursos del Agua en Canberra, Australia. Es responsable del desarrollo y entrega del programa de trabajo de auditoría interna y reporta al comité de auditoría. Es la conexión entre el Departamento y otros proveedores de auditoría y aseguramiento, incluyendo la Oficina Nacional de Auditoría Australiana. Doyle tiene muchos años de experiencia en auditoría interna y roles de consultoría desde que se unió a Ernst & Young como un auditor de Sistemas de Información (SI) en 1991, incluyendo la entrega de consejos técnicos y de negocio tanto para agencias gubernamentales como organizaciones privadas. La experiencia en auditoría interna y auditorías relacionadas a sistemas de información de Doyle, sus cualificaciones y su contexto proveen un fuerte soporte al momento de realizar consultoría en las áreas de administración de riesgo organizacional y control, gobierno corporativo, administración de la información y seguridad, y administración de la continuidad del negocio. También es un presentador y educador experimentado.
¿Cuál es el mayor desafío de seguridad que será enfrentado en 2018?
El riesgo asociado con los accesos de terceros (third-party) a los sistemas y la información.
¿Cuáles son tus tres metas para 2018?
¿Cuál es tu blog favorito?
Disfruto de los blogs en la ZDNet y, en particular, “By The Way” de Eileen Yu.
¿Qué está sobre tu escritorio en este momento?
Chocolate! Gracias a la influencia de mi equipo de trabajo.
¿Cuál es tu consejo número uno para otros profesionales de auditoría de SI?
Sean curiosos. Un auditor necesita ser inquisitivo para tener éxito. Tal como lo dijo Albert Einstein, “No tengo un talento especial. Tan solo soy apasionadamente curioso”.
¿Cuál es tu beneficio favorito de tu membresía de ISACA?
La oportunidad de ser voluntario tanto en el nivel local como internacional y trabajar con gente quienes han tenido una gran variedad de aventuras.
¿Qué haces cuando no estás en el trabajo?
Soy el principal cuidador de mi esposa y pasamos tiempo con nuestras dos hijas, sus esposos y nuestros nietos. Escuchar música es nuestro pasatiempo favorito y somos asistentes regulares de conciertos. Soy un ciclista entusiasta. Mi mayor logro fue hacer ciclismo desde Everett, Washington a Williamsburg, Virginia en Estados Unidos de América –una travesía de 5,500 kilómetros (3,400 millas) completadas en 26 días.
¿Cómo piensas que el rol de auditor de Sistemas de Información (SI) está cambiando o ha cambiado?
El rol ha cambiado de ser primariamente un rol técnicamente enfocado a uno que es predominantemente enfocado en el negocio. El auditor de SI debe entender el entorno de negocio y sus funciones, así como la tecnología que los soporta, para entender y evaluar verdaderamente el riesgo. Las recomendaciones para realizar mejoras para controlar los procesos deben ser prácticas y eficaces en relación con el costo.
Para lograr esto, el profesional de auditoría de SI debe apreciar el contexto de negocio y sus prioridades.
Una tendencia hacia el uso de servicios externalizados de proveedores ha también influenciado la naturaleza del rol. El uso de servicios externalizados de TI, por ejemplo, comúnmente necesita el establecimiento de acuerdos de auditoría y aseguramiento en los que todas las partes estén conformes.
Dependiendo de las provisiones contractuales, el profesional de auditoría de SI podría confiar en proveedores independientes de aseguramiento para tomar trabajo que previamente pudo haber sido tomado internamente.
Existe una creciente demanda por auditores internos para proveer consejos oportunos en temas de gobierno, riesgo y control, especialmente para nuevos desarrollos e implementaciones.
Los auditores de SI comúnmente se encuentran ellos mismos actuando como consejeros para juntas de proyectos y grupos de trabajo técnicos para sistemas aplicativos que estén siendo desarrollados o adquiridos.
¿Cuáles habilidades de liderazgo sientes que son críticas para que un profesional sea exitoso en el campo de la auditoría de SI?
La habilidad más importante de liderazgo en el campo de la auditoría de SI es la comunicación, desde clarificar las tareas hasta transmitir la dirección estratégica.
En la mayoría de las actividades que emprenden, los auditores no solo necesitan entender y articular su evaluación del riesgo organizacional, sino que también hablar con claridad sobre objetivos de control y opciones.
Otras habilidades críticas son la motivación, la habilidad de forjar la confianza y la creatividad. Un líder necesita ser positivo y motivado para alentar un ambiente de trabajo efectivo y placentero.
Dado que los auditores identifican y reportan debilidades y riesgos en los procesos, la confianza es importante para infundir la confiabilidad de que los problemas sensibles serán manejados apropiadamente. La creatividad es necesaria para mantener operaciones de auditoría efectivas con los recursos disponibles y entregar consejo respecto de escenarios de riesgo de tecnología emergentes.
¿Cuál es la mejor manera para que alguien desarrolle esas habilidades?
Una amplia base de experiencias tanto de vida como profesionales es un buen comienzo. Al elegir un trabajo, busca un rol que tenga oportunidades de actividades variables y desafiantes. Asume un rol de voluntario. Mientras que existen muchas oportunidades para ser voluntario con ISACA®, también hay oportunidades para apoyar a la comunidad y asociaciones de caridad en roles que pueden proveer desafíos completamente diferentes que los normales del trabajo.
Usca y ten contacto regular con gente quien puede proveerte su apoyo como mentor o guía. Siempre es benéfico tener retroalimentación sobre conductas que pueden estar en tu punto ciego. Y finalmente, darse el tiempo para el extraño momento de la reflexión silenciosa.
¿Qué consejo tienes para los profesionales en auditoría de SI en relación con la generación de su plan de carrera y con miras al futuro de la Seguridad de la Información?
Existen muchos caminos en la carrera profesional como auditor de SI en seguridad de la información y puede ser útil pensar acerca de las diferentes áreas de especialidad y decidir sobre aquellas que sean de mayor interés.
Desde luego que se requiere desarrollar un conocimiento constante y competencias en este campo. No tengas miedo a experimentar con las elecciones de carrera profesional o de cambiar de dirección a medida que uno progresa y madura. Sé flexible al cambio y mantente fiel a tus valores.
¿Cómo es qué las certificaciones que has obtenido te han ayudado a avanzar o potenciar tu carrera profesional? ¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?
Yo conseguí mi certificación CISA tempranamente en mi carrera de auditoría y la encontré invaluable en consolidar mi conocimiento y habilidades. Esto me introdujo a lo que algunos describen como el “arte negro” de la auditoría de SI.
Mientras que mis certificaciones me han permitido demostrar fácilmente mis competencias y profesionalismo, éstas revelan su real valor sólo cuando se ponen en el contexto más amplio de la asociación profesional, ISACA. Algunas veces me pregunto cómo podría haber sido mi carrera profesional sin el acceso que, hoy tenido, a las bases de soporte y conocimiento, redes de contacto y oportunidades de voluntariado, desarrollo profesional, investigaciones y publicaciones de ISACA.
¿Cómo visualizas que los roles de auditoría de SI, gobierno y cumplimiento cambien en el largo plazo?
Yo predeciría cambios en las prácticas y las estructuras organizacionales, la experiencia de los auditores y el uso de herramientas producirán un rol más amplio para los profesionales de auditoría de SI, gobierno y cumplimiento. Incrementar el uso de las tecnologías de la información resultará en la reducción tareas rutinarias tales como las asociadas con los análisis de datos, pruebas de cumplimiento y monitoreo. Los gerentes ejecutivos tendrán la expectativa de que exista el aseguramiento de que sus organizaciones están desempeñándose bien y que sus objetivos están siendo alcanzados. Los roles de los profesionales de auditoría de SI, gobierno y cumplimiento cambiarán en consecuencia.
Existirá un incremento en la atención del alineamiento de los procesos que soportan los resultados organizacionales.
La administración del riesgo y actividades de control tradicionales serán complementados con un análisis de cambios de conducta, complejidad y eficiencia de procesos, costos y resultados. Existirá una mejor integración de la administración del riesgo, cumplimiento, gobierno y funciones de auditoría para soportar esto.
Las organizaciones esperarán que estos roles provean más análisis predictivo de los procesos y los riesgos más que el tradicional análisis posterior a que los eventos pasen. A los profesionales se les pedirá que apliquen sus conocimientos y reflexiones y que contribuyan como un consultor estratégico independiente.
¿Cuál ha sido el mayor desafío de tu lugar de trabajo o de carrera profesional y cómo lo enfrentaste?
Mi mayor desafío fue entender el uso de los sistemas empresariales a través de las agencias gubernamentales en nombre del Ministerio de Finanzas de Singapur con una mirada a recomendar estrategias de servicios compartidos. La tarea involucró entrevistar a 13 Gerentes de Tecnología (CIO por sus siglas en inglés) durante tres días.
Pude usar un equipo con base local como soporte para agendar reuniones y para ayudarme a que se entendiera, en algunas ocasiones, mi fuerte acento inglés. La planificación y revisión fueron críticas para emprender el trabajo. Antes de cada reunión, recopilamos una serie de preguntas para asegurarnos que pudiéramos capturar la información básica requerida.
Dado que cada ambiente operativo era bastante diferente, fue necesario explorar el uso de sistemas y los costos asociados de cada agencia, y entender sus procesos de negocio y el riesgo de su interrupción. Fue importante tener un informe detallado después de cada reunión para revisar nuestras tácticas y prepararnos para la siguiente ronda.