Auditoría de tecnologías emergentes: Afrontar los desafíos de la nueva era

Con avances sin precedentes en tecnología de la información, los profesionales de auditoría necesitan evolucionar para hacer frente al desafío de auditar las tecnologías emergentes. Los auditores necesitan aprender y entender nuevas habilidades y adquirir conocimientos relativos al análisis predictivo, la automatización robótica de procesos (RPA), blockchain, machine learning e inteligencia artificial (IA). Las empresas están adoptando tecnologías emergentes a un ritmo rápido para crear sinergias y aprovechar las últimas tecnologías, y esperan que los auditores sean consultores tecnológicos con visión de futuro que puedan agregar valor a la organización durante los proyectos de TI. Los consejos de administración y los responsables de nivel C utilizan la auditoría como la herramienta principal para evaluar el riesgo estratégico, contando con que sus auditores posean las competencias y capacidades necesarias. Por lo tanto, los jefes de auditoría siempre se preocupan de actualizar las habilidades relacionadas con la tecnología de su grupo de trabajo de auditoría.

La guía del Comité de Organizaciones Patrocinadoras de la Orientación de la Comisión Treadway (COSO) explica que, aunque el uso de tecnologías modernas ha dado lugar a que grandes cantidades de información se procesen mediante procedimientos automatizados, los principios de control interno, como la segregación de deberes (SoD), mantenimiento de registros, revisiones independientes, etc., siguen siendo adecuados y relevantes.¹

Evaluación del riesgo de las tecnologías emergentes

La gerencia espera que los auditores proporcionen opiniones independientes durante el proceso de selección de tecnología, durante las pruebas piloto y la implementación del proyecto, y después de la implementación. El cambio de paradigma de las prácticas tradicionales de adquisición y gobernanza ha afectado a los perfiles de riesgo de varias entidades, y los auditores deben ajustar sus enfoques de auditoría y replantearse su evaluación del riesgo de terceros, la externalización, los controles de las aplicaciones, privacidad de datos y ciberseguridad.

Las tecnologías modernas—ya sea, por ejemplo, blockchain, AI, RPA o Internet de las cosas (IoT)—combinan módulos de software, bases de datos, interfaces de conectividad y dispositivos periféricos. El atributo que hace que cada tecnología sea diferente es la forma en que afecta al modelo de negocio. Se espera que los auditores comprendan el riesgo inherente a la tecnología objeto de examen. Los marcos COBIT^® y COSO se aplican por igual al evaluar las tecnologías emergentes. Dada la naturaleza disruptiva de las tecnologías emergentes, la metodología de evaluación puede cambiar mientras que los procesos de evaluación subyacentes siguen siendo los mismos.

La figura 1 demuestra cómo los auditores pueden aprovechar el Marco de Análisis de Tecnología Emergente (ETAC)² para identificar y evaluar el riesgo de las tecnologías emergentes.

Para superar a los competidores, las organizaciones compiten por adoptar tecnologías emergentes para aprovechar el valor de sus negocios. Esto a menudo resulta en descuidar el riesgo inherente a la evaluación, selección, implementación y operación de actividades comerciales. Tales prácticas pueden resultar en daños a la reputación, crecimiento adverso del mercado e incumplimiento de las regulaciones.

DADA LA NATURALEZA DISRUPTIVA DE LAS TECNOLOGÍAS EMERGENTES, LA METODOLOGÍA DE EVALUACIÓN PUEDE CAMBIAR MIENTRAS QUE LOS PROCESOS DE EVALUACIÓN SUBYACENTES SIGUEN SIENDO LOS MISMOS.

Computación en la nube

La computación en la nube hace bastante tiempo que está disponible y es una tecnología relativamente madura. Los costos de TI más bajos, un modelo operativo flexible y una disponibilidad mejorada son algunas de las ventajas clave de la computación en la nube. Un sistema empresarial en una plataforma de computación en la nube está disponible las 24 horas del día, con un tiempo de inactividad insignificante. Sin embargo, las nubes representan un riesgo potencial relacionado con el acceso físico, la privacidad de los datos, la partición o la segregación de recursos de servidores y redes con otros inquilinos, así como las leyes y regulaciones aplicables. Un ejemplo de la vida real proviene de Amazon Web Services: Los problemas técnicos dieron lugar a interrupciones de 36 horas para más de 70 clientes (superando con creces la promesa de marketing de Amazon de 4,4 horas al año).³

Al realizar auditorías de sistemas basados en la nube, los auditores deben consultar las prácticas recomendadas, como la “Guía de seguridad para áreas críticas enfocadas en Cloud Computing V4.0”⁴ Estas directrices se dividen en 14 dominios y están en línea con el modelo del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos para la computación en la nube y las normas de la Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) (figura 2). Las directrices analizan los modelos de la nube y los riesgos y controles relacionados, y son igualmente beneficiosos para los proveedores de servicios en la nube, sus clientes y otras partes interesadas relevantes.

La computación en la nube abre a las organizaciones a un nuevo riesgo, ya que la computación en la nube a menudo implica que un tercero proporcione los servicios en la nube. Los factores de riesgo, como los acuerdos/contratos de nivel de servicio, la privacidad y protección de la información y el cumplimiento de los requisitos legales y reglamentarios, son algunos, junto con los controles de seguridad en la nube, la administración del acceso, la comunicación y retención de información y el control de cambios. Al evaluar el riesgo asociado con la computación en la nube, los auditores deben conocer los modelos de servicios en la nube (por ejemplo, el software como servicio, la plataforma como servicio o la infraestructura como servicio) que se le proporcionan a la organización. Además, los auditores deben tener en cuenta el modelo de implementación (público, privado, híbrido, etc.). Hay menos control físico sobre los activos y una mayor dependencia de las auditorías externas para garantizar la protección de la información.

Inteligencia artificial

La inteligencia artificial (IA) se refiere a un sistema o una máquina que puede pensar y aprender. Los sistemas de IA utilizan análisis de datos y algoritmos inteligentes para tomar decisiones basadas en métodos predictivos. Se desarrollan algoritmos complejos para proponer decisiones basadas en un patrón o comportamiento aprendido a lo largo del tiempo. La IA tiene aplicaciones en muchas industrias; se está utilizando en la industria hotelera para la reserva de habitaciones y sistemas de centros de llamadas, en la industria de la aviación para la reserva de billetes y el mantenimiento predictivo, y en la logística de alimentos y bebidas.

Dada la naturaleza invisible de los algoritmos, las auditorías deben centrarse en el flujo lógico de los procesos. Una revisión de la IA debe determinar si se ha agregado sesgo involuntario a los algoritmos. Los auditores deben evaluar la eficacia de los algoritmos y si su resultado se revisa y aprueba adecuadamente. Debido a que la IA se basa en módulos de software, los auditores también deben considerar la ciberseguridad y buscar posibles errores y vulnerabilidades que pueden ser explotados para afectar la funcionalidad de la IA. Los auditores internos pueden utilizar el Marco de Auditoría de IA del Instituto de Auditores Internos.^{5, 6} Este marco de referencia se compone de dos partes y tiene tres componentes (estrategia de IA, gobernanza y factor humano) y proporciona orientación sobre cómo auditar la IA durante las diferentes etapas de su desarrollo e implementación.

Internet de las cosas

Imagine que un refrigerador pudiera hacer un pedido a una tienda de comestibles cada vez que el suministro de huevos caiga por debajo de un cierto número. Pronto, todo en los hogares estará conectado a Internet. Los componentes de máquinas industriales y las piezas en aviones y buques, podrán recopilar y analizar datos y enviar mensajes a las organizaciones de mantenimiento, informando de las averías esperadas. Forrester ha predicho que los ciberdelincuentes atacarán dispositivos IoT en busca de rescate.⁷ Esto significa que los atacantes dirigirán sus ataques tanto a los clientes como a sus dispositivos IoT para obtener un rescate.

Los componentes clave de IoT son la recopilación de datos, el análisis, la conectividad y las personas y los procesos.⁸ Este es el tipo de tecnología disruptiva que los auditores deben seguir intensamente porque IoT no solo cambia el modelo de negocio, sino que también afecta a los objetivos estratégicos de la organización. El perfil de riesgo de la entidad cambia con la exposición a nuevas leyes y regulaciones.

Debido a una fuerte dependencia de Internet, los auditores deben centrarse en el riesgo relacionado con la privacidad de los datos, la piratería, la interrupción de los servicios y la ciberseguridad. Los auditores pueden usar NISTIR 8228 (Consideraciones para administrar Internet de las cosas [IoT] Ciberseguridad y riesgos de privacidad) para la seguridad y privacidad de IoT.⁹ Estas directrices enumeran tres objetivos de alto nivel: proteger la seguridad de los dispositivos, proteger la seguridad de los datos y proteger la privacidad de las personas. Las directrices describen el riesgo relevante que debe mitigarse para alcanzar estos tres objetivos.

Blockchain

La primera implementación de blockchain fue Bitcoin. Desde entonces, blockchain ha sido adoptado por varias industrias para abordar varios desafíos empresariales. Blockchain se basa en un libro mayor de contabilidad, descentralizado y distribuido que se protege a través del cifrado. Cada transacción es validada por los participantes de la cadena de bloques, creando un bloque de información que se replica y distribuye a todos los participantes. Todos los bloques se secuencian de modo que cualquier modificación o eliminación de un bloque descalifique la información. A pesar de la resistencia de la industria financiera, los beneficios asociados con la tecnología blockchain están siendo reconocidos entre una variedad de otras industrias. Los usuarios de blockchain incluyen a De Beers, Accenture Insurance, MedicalChain, BitProperty, AidCoin, Ripple y Circle.

Blockchain es una tecnología emergente que carece de un estándar de auditoría uniforme. ISACA^® ha publicado recientemente un programa de auditoría para ayudar a identificar y desarrollar políticas, procedimientos y controles clave para mitigar el riesgo y agilizar los procesos relacionados con blockchain. El programa de auditoría se basa en seis categorías: pre-implementación, gobernanza, desarrollo, seguridad, transacciones y censo.¹⁰

Aunque la premisa de seguridad principal de blockchain se basa en la criptografía, hay factores de riesgo asociados con ella. Dado que la cadena de bloques interactúa con sistemas heredados y socios comerciales, las preocupaciones relacionadas con las interfaces de programación de aplicaciones (API) inseguras y la confidencialidad y privacidad de datos, no se pueden ignorar. Los débiles protocolos de desarrollo de aplicaciones blockchain son algo que los auditores no pueden pasar por alto. Del mismo modo, las leyes y regulaciones de privacidad de datos pueden ser problemáticas a medida que los datos se comunican a través de las fronteras geográficas. Los auditores deben ser capaces de determinar si los datos puestos en blockchain expondrán a la empresa a la responsabilidad por el incumplimiento de las leyes y regulaciones aplicables.

Automatización robótica de procesos

La eficiencia de los procesos, la experiencia del cliente y la eficacia del control siempre han estado en la agenda de la dirección empresarial. Como su nombre indica, RPA es la automatización de los procesos repetitivos realizados por los usuarios.

La automatización de procesos no se limita a una industria o a un proceso; abarca desde la industria manufacturera hasta la industria financiera y la industria farmacéutica. La fabricación robótica de automóviles existe desde hace un tiempo y es un ejemplo clásico de automatización de procesos, donde la salida de un proceso se convierte en la entrada del siguiente proceso. Sin embargo, RPA difiere porque no implica robots físicos como los utilizados en la fabricación de automóviles.

No todos los RPA necesitan la atención de un auditor. Depende del tipo de proceso que se esté automatizando y de la complejidad del propio proceso de automatización, junto con aspectos de cumplimiento normativo y continuidad del negocio que pueden elevar el nivel de riesgo de un proceso robótico.¹¹

En unos años, será la norma para los auditores añadir RPA a su ámbito de trabajo. Aunque RPA ofrece consistencia, es propenso a provocar una reacción instintiva cuando los procesos o sistemas dependientes están expuestos a un ciberataque. Por lo tanto, es de suma importancia para los auditores comprender los procesos de RPA, que incluyen la extracción de datos, la agregación, la sanitización y la destrucción. A menos que los auditores entiendan estos procesos, no estarán en condiciones de iniciar una auditoría. Del mismo modo, un proceso de seguridad completo podría exigir la revisión del código fuente. Para realizar pruebas sustantivas, los auditores deben tener una comprensión de las herramientas utilizadas para desarrollar y mantener la RPA. Esto será útil cuando los auditores revisen los registros, los controles de configuración, los controles de acceso con privilegios y similares. Los controles generales de TI son aplicables como siempre.

Conclusión

Las tecnologías emergentes ofrecen oportunidades a las organizaciones, pero también exponen a la empresa a nuevos riesgos. Se espera que los auditores identifiquen el equilibrio adecuado entre el costo y el beneficio de los controles internos para mitigar estos factores de riesgo. Esto incluye comprender cómo se integra la tecnología con el negocio, cómo se rige, qué actividades se automatizan y cómo se controlan, cuáles son los impactos empresariales como resultado de esta automatización y cómo se controlan y supervisan los impactos negativos. Aunque no se espera que los auditores sean expertos en todas las tecnologías, deben ser capaces de identificar el riesgo inherente a ellas. Esto incluye la comprensión de la arquitectura tecnológica, el marco de control interno integrado en la tecnología y su integración con el negocio.

Notas finales

¹ PricewaterhouseCoopers (PwC), “Re-Inventing Internal Controls in the Digital Age,” april de 2019, https://www.pwc.com/sg/en/publications/assets/reinventing-internal-controls-in-the-digital-age-201904.pdf
² Fremantle, P.; F. Leymann; S. Perera; J. Jenkins; “Emerging Technology Analysis Canvas,” octubre de 2018,, https://www.researchgate.net/publication/328172070_Emerging_Technology_Analysis_Canvas_ETAC
³ PricewaterhouseCoopers, “Internal Audit Takes on Emerging Technologies,” 2012, https://www.pwc.com/mt/en/publications/assets/emerging_technologies.pdf
⁴ Cloud Security Alliance, “Security Guidance for Critical Areas of Focus in Cloud Computing v 4.0,” 2017, https://downloads.cloudsecurityalliance.org/assets/research/security-guidance/security-guidance-v4-FINAL.pdf
⁵ The Institute of Internal Auditors, “The IIA’s Artificial Intelligence Auditing Framework: Practical Applications, AI Part II,” 2018, https://na.theiia.org/periodicals/Public%20Documents/GPI-Artificial-Intelligence-Part-II.pdf
⁶ The Institute of Internal Auditors, “The IIA’s Artificial Intelligence Auditing Framework: Practical Applications, AI Part III,” 2018, https://na.theiia.org/periodicals/Public%20Documents/GPI-Artificial-Intelligence-Part-III.pdf
⁷ Forrester, “Predictions 2020,” https://go.forrester.com/predictions
⁸ Protiviti, “The Internet of Things—What Is It and Why Should Internal Audit Care?” 2016, https://www.protiviti.com/sites/default/files/united_states/insights/internal-audit-and-the-internet-of-things-whitepaper-protiviti.pdf
⁹ Boeckl, K.; et al.; “Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks,” junio de 2019, https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
¹⁰ ISACA, Blockchain Preparation Audit Program, https://www.isaca.org/bookstore/audit-control-and-security-essentials/wapbap
¹¹ Deloitte, “Auditing the RPA Environment,” marzo de 2018, https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-auditing-the-rpa-environment-noexp.pdf

Muhammad Asif Qureshi, CISA, CIA, CISSP, PMP
Es un profesional de gobierno, riesgo y cumplimiento (GRC) con una amplia experiencia en auditoría de sistemas de información. Actualmente es gerente del GRC en el Consejo Económico de Tawazun, donde participó en el desarrollo del departamento de seguridad de la información desde cero y ha sido parte integral del equipo dedicado a la construcción de la arquitectura de seguridad de la información de la organización. Qureshi también participa en actividades de tutoría y coaching en escuelas y colegios y ha sido orador invitado en temas relacionados con la ciberseguridad para los estudiantes.