www.auditool.org
Últimas publicaciones
- NIA 320, La materialidad en la planeación y desarrollo de una auditoría. Aspectos Clave
- La Auditoría Interna y el Gobierno Corporativo.
- NIIF Para Auditores. Curso Virtual - 24 de Julio de 2013
- "AUDITORIA AMBIENTAL”, herramienta para preservar el medio ambiente.
- Cambios propuestos por la Comisión Europea respecto al Gobierno Corporativo
- Documento: Prácticas de Fraude en las Organizaciones
- Auditoría y el programa antilavado de dinero
- Buenas Prácticas en la Administración del Riesgo de Fraude en las Operaciones con Clientes
- Video 3 - Modelo COBIT - Estructura del Modelo COBIT 5
- Video 15: Auditoría de la Tecnología de la Información - Auditoría de la Seguridad
Últimos Cursos Virtuales
Los medidores del desempeño en la seguridad informática.
/ 0
Cada día se requiere de información actualizada y confiable que, a través de procedimientos de control y medidores del desempeño, detecten posibles desviaciones a la misma, para reducir los riesgos y medir la eficiencia, eficacia, los efectos del costo- beneficio de sus actividades.
El papel de los medidores del desempeño en la seguridad es crucial cuando existen sistemas de información complejos y con alta dependencia de los mismos.
Últimamente hemos sabido de casos donde se ha violado la privacidad y confidencialidad de las empresas por medios cibernéticos. Muchos de ellos se han debido a la exposición que se tiene al intercambio de la información a través del comercio electrónico, del uso del internet o el acceso a los sistemas de información a personas externas a las organizaciones. Sin embargo, estos factores, entre otros, a veces son inevitables por las actividades que deben desarrollar las empresas para permanecer como negocio en marcha. Sin duda, uno de los aspectos importantes es el contar con medidas de seguridad que mitiguen los riesgos antes mencionados.
Las medidas de seguridad que se tengan implantadas deben ser acordes con las necesidades y sistema de información de la empresa de que se trate, sin mencionar los aspectos tecnológicos que le rodean, como pueden ser las transacciones inalámbricas (Wireless), entre otras. Asimismo, deben estar en línea con las actividades preponderantes de las empresas, las cuales garanticen la permanencia de las mismas. De ahí se desprende que deben ser medibles, lo que implica contar con medidores del desempeño que coadyuven al logro y funcionamiento de la seguridad en los sistemas de información. Estos medidores deben ser capaces de detectar o prevenir una situación de riesgo y permitir de manera oportuna reaccionar a los responsables de la seguridad.
¿Pero que son los medidores del desempeño? Son mecanismos establecidos que permiten evaluar cualitativamente y cuantitativamente los programas, operaciones y actividades que se ejecutan en una organización para la consecución de sus objetivos, lo que enfocado a la seguridad mitigaría al máximo los riesgos a los cuales esta expuesta una entidad. El desarrollo de las medidas de seguridad debe permitir conocer a qué grado cubren el riesgo, la eficiencia y el costo-- beneficio de las mismas. En este tenor, se deben definir las metas y los objetivos perseguidos de acuerdo con las áreas a cubrir, así como que atribuciones son vulnerables (matriz de riesgo), para formular los indicadores y generar un modelo integral de desempeño, el cual debe ser dado a conocer a todos los participantes y áreas involucradas. Asimismo, es importante definir el mecanismo para administrar la información de los indicadores para su adecuado monitoreo.
Si partimos de la base de que toda entidad busca hacer negocio con un nivel óptimo de riesgo, es necesario que antes de desarrollar la matriz de riesgo se analice si todos los requerimientos del negocio y las necesidades de los usuarios están soportados por las funciones y procesos de Tecnología de Información (TI), ya que esto no puede estar en línea con los objetivos, las estrategias y los planes futuros de la organización, generando pérdidas por:
- Prácticas ineficientes, interfaces innecesarias y procesos duplicados.
- Inadecuado manejo de los riesgos de TI debido a una falta de entendimiento de dichos riesgos por la administración.
- Gastos innecesarios e inversiones que no soporten la estrategia y los planes del negocio.
En este sentido, los medidores del desempeño deben enfocarse a lo que se describe en los párrafos posteriores.
Activos de la información
Los activos de la información se refieren al riesgo a que está expuesta una entidad por la naturaleza de los datos y el valor que éstos tengan.
Las pérdidas pueden ser importantes, al grado de poner en duda la continuidad del negocio, ya que directamente se pueden infiltrar en la información financiera, como podría ser el caso del fraude o robo, o indirectamente, a través del impacto sobre la reputación de la organización, al modificar o referenciar hacia otros sitios cibernéticos la página ubicada en el sitio de internet (web site), o perder información sensible para el negocio o de propiedad intelectual (por ejemplo: formulas, maestro de clientes y proveedores, entre otros).
Dependencia de la tecnología de información
La dependencia de la tecnología de información reviste importancia, pues las actividades y procesos de una entidad podrían no llevarse a cabo, si es que los sistemas no se encuentran disponibles, ya que existen diversidad de controles automatizados que no lograrían ser eficientes, como los relativos al servicio a clientes, lo cual generaría la no satisfacción de los mismos. En este tipo de riesgo, el impacto podría ser mayor al no tener acceso al proceso de la información para la toma de decisiones.
Para este medidor se deben considerar aspectos como el número y tamaño de los sistemas automatizados para controlar los procesos, el ambiente de uso de papel (paperless),la sofisticación de los sistemas y el tiempo de supervivencia sin el uso del TI; así como indicadores de la utilización de los equipos, capacidad de los servidores, uso de correo electrónico, etcétera.
Por otro lado, también se debe evaluar la naturaleza y el grado de dependencia sobre el personal (incluido el especializado) que integra el departamento de sistemas, ya que esto puede representar pérdida de conocimiento y de las habilidades de ciertos individuos que lo conforman, o el mantener el personal con habilidades inadecuadas.
Los medidores del desempeño deberán ir dirigidos hacia la evaluación de las habilidades relevantes que son necesarias para las necesidades actuales y futuras, hacia los niveles de entrenamiento, el número necesario de personal y sobre su desempeño, así como la rotación del mismo(por ejemplo: planes de cambio de personal, estabilidad, etcétera).
Estos aspectos también deben ser considerados cuando la dependencia es con terceras partes, ya que puede darse el caso de que no exista un adecuado entendimiento por parte de la compañía contratada de la operación del negocio, mermando el desempeño del mismo, y esto represente costos excesivos sobre la conveniencia de manejarlo internamente en la organización. Los mediadores deben de estar enfocados al nivel del servicio, lo que incluye el soporte, el centro de ayuda y la administración de los sistemas.
Seguridad de los sistemas
La falta de seguridad en los sistemas de información provoca perdidas importantes en las organizaciones, lo cual se representa por la inconsistencia o falta de integridad en los procesos de información. Lo anterior causa la inversión en trabajos para remediar y /o rectificar los problemas de los procesos, y la posibilidad del uso de la información que no sea confiable en la toma de decisiones.
Uno de los indicadores importantes del desempeño es el monitoreo de la frecuencia de errores y problemas en los procesos actuales, lo cual indicaría el nivel de seguridad de los sistemas en este aspecto. Esto es, si los operadores requieren realizar un reproceso al finalizar el día, o sí soporte técnico lleva a cabo correcciones a los sistemas en línea. Adicionalmente, si los usuarios pueden manipular la información y la existencia de problemas de conciliación de cuentas (entre mayor general y auxiliares).
Cambios en TI
Los procesos relativos a cambios en los sistemas están expuestos por el simple hecho de intercambiar lo que existe pro algo nuevo. Los medidores deben concentrase en entender cómo se pueden manejar las situaciones de ineficiencia o de arranque, cuando los cambios no trabajan de acuerdo con las necesidades del negocio, así como en la existencia de errores y pérdida de seguridad en las aplicaciones implantadas debido al mantenimiento continuo y cambios menores, y lo más grave, cuando los cambios no fueron totalmente comprendidos por los usuarios finales.
Sin duda, no se deben descuidar los aspectos reguladores, como los del ámbito fiscal.
Medidores del desempeño
En general, algunos ejemplos de medidores del desempeño, serian como sigue:
Reducción de incidencias de un periodo a otro.
- Caída de los servidores
- Quejas de usuarios
- Cambios mínimos a los sistemas
- Uso de software ilegal
- Nivel de servicio
- Accesos inapropiados
Número de pruebas a desarrollar para determinado propósito.
- Plan de contingencias
- Cambios de plataformas
- Uso de software legal
- Políticas de seguridad
- Manuales de procedimiento
- Auditorias internas y externas
- Pruebas de penetración externas (wireless)
Reducción de costos.
- Proyecto de inversión
- Uso de licencias
- Mantenimiento
- Outsourcing
- Mantener costos competitivos en relación con un tercero
Plataformas, sistemas, aplicaciones y desarrollos.
- Uso de los servidores
- Capacidad de los servidores
- Cumplimiento con regulaciones
- Respaldos de la información
- Plan de recuperación en caso de desastre
Recursos Humanos
- Entrenamiento
- Plan de cambio de ciertos puestos
- Evaluaciones de actuación
Sin embargo, los indicadores del desempeño deben desarrollarse a la medida de las operaciones de la entidad que se trate, ya que éstos se alinearán a las estrategias y los objetivos que persigue y estos le proporcionarán la información que permita evaluar el alcance de los mismos. Lo anterior se logrará al medir la eficacia, los efectos y el costo- beneficio de sus actividades, que para este caso en particular, seria sobre la seguridad y exposición de los riesgos que le acechan, que con ello, serviría de base para tomar las medidas correctivas necesarias.
Finalmente, es importante mencionar que los errores humanos más que los desperfectos tecnológicos son el origen de las violaciones a la seguridad. El cambio que deben hacer las organizaciones es el de fomentar una cultura de seguridad, conociendo sus efectos e impactos, lo que les permitirá conocer los riesgos en las actividades que se desarrollan para poder así manejarlas de manera segura.
Desafortunadamente, en muchos casos , no se invierte en este tipo de programas y a la larga los costos por reactivar las operaciones o por robo de información, representan impactos importantes en la situación financiera de una entidad. La cultura debe cambiar para no ver estas erogaciones como gastos sino como inversiones cuyo retorno, desde mi punto de vista, es inmediato pues evitan exposiciones de riesgo a las entidades.
La era de la comunicación electrónica ha llegado y evoluciona a pasos agigantados. E –commerce era un futuro lejano que ya se materializó, por lo que el auge de la seguridad ha tomado gran importancia en el quehacer de los negocios. El que no esté preparado perecerá, ya que se encontrara vulnerable a las guerras cibernéticas de los hackers, a través de accesos no autorizados, virus, fraude o robo, con la intención de desaparecerlo del mercado.
C.P.C. Edgar de la Rosa Cabello-Socio de KPMG, Miembro de la Academia Mexicana de Auditoría Integral y al Desempeño, A.C.
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx