¿Cómo puede la auditoría interna ayudar a gestionar el riesgo en informática?

¿Qué es un riesgo en informática?

Al buscar una definición común de riesgo en informática, hay muchos aspectos que hay que tener en cuenta. Para simplificar el debate, dividamos este concepto en los siguientes componentes.

Informática: Tecnología de la información, la unidad de negocio responsable de implementar y gestionar las aplicaciones, bases de datos, sistemas operativos e infraestructura que utilizan a diario los empleados, clientes, proveedores y otras partes interesadas de la empresa. Independientemente de dónde trabajes, la mayoría, si no todos, los procesos empresariales aprovechan la tecnología de alguna manera, forma o modo.

Riesgo: La Organización Internacional de Normalización (ISO) define el riesgo como «el efecto de la incertidumbre sobre los objetivos». Uno de los principales objetivos de la función de informática es proporcionar servicios y soluciones tecnológicas para que nuestras organizaciones recopilen y mantengan la información utilizada para la toma de decisiones. Por lo tanto, en un contexto en informática, el riesgo puede agruparse generalmente utilizando el acrónimo CID (confidencialidad, integridad y disponibilidad) para describir la probabilidad y el impacto que un riesgo en informática concreto tiene sobre este objetivo fundamental. Como auditores internos, esperamos que la dirección diseñe e implemente controles internos sobre el riesgo en informática. Los controles en informática comunes incluyen contraseñas (confidencialidad), cambio de programas (integridad) y replicación de datos (disponibilidad).

Ahora que hemos definido qué es el riesgo en informática, el siguiente diagrama ayudará a simplificar aún más los tipos generales de riesgo en informática. Procede del Risk IT Framework, 2^nd edición, de ISACA. La fila inferior identifica cómo se agrupan los riesgos en informática en cuatro categorías. El diagrama también aclara cómo se integra el riesgo en informática en los pilares comunes del riesgo a nivel empresarial y el amplio impacto que suelen tener los procesos en informática en los objetivos de la organización. En mi opinión, esto nos recuerda que la gestión de riesgos en informática desempeña un papel fundamental en la gestión global de riesgos y que la tecnología sigue siendo un componente fundamental del funcionamiento de una organización.

¿Cuáles son algunos ejemplos de riesgos en informática?

Continuemos desglosando las cuatro categorías de riesgos en informática que se muestran en la figura de ISACA anterior. Es importante recordar que, en el caso de los riesgos en informática, la declaración de riesgos puede ser general o muy detallada. La siguiente lista no es en absoluto exhaustiva, pero proporcionaré ejemplos para cada una de las cuatro categorías y le invito a que revise algunas de sus propias matrices de riesgos y controles para ver qué se le ocurre.

• Riesgo de habilitación del beneficio/valor de la informática: si la solución tecnológica propuesta no aporta valor, la organización podría perder dinero en la inversión. A menudo veo este tipo de riesgo en informática alineado con el proceso empresarial del ciclo de vida del desarrollo de software, normalmente antes de que se desarrolle o adquiera la solución. Los riesgos en informática más comunes podrían incluir la falta de diligencia debida en la selección de un proveedor de software o, si la solución se desarrolla internamente, no abordar claramente el problema empresarial fundamental que se supone que debe resolver.
• Riesgo en la ejecución de proyectos de programas en informática: las soluciones tecnológicas suelen ser inversiones complicadas y que requieren mucho tiempo, y si no se entregan de forma eficaz, pueden provocar excesos de tiempo y financieros. Al igual que el riesgo de habilitación del beneficio/valor de la informática, a menudo veo que el riesgo de entrega de proyectos de programas en informática está alineado con el proceso empresarial del ciclo de vida del desarrollo de software. Los riesgos en informática comunes pueden incluir la falta de gobierno sobre el desarrollo o la implementación de los activos en informática.
• Riesgos relacionados con las operaciones en informática y la prestación de servicios en informática: como antiguo auditor en informática, pasé muchos años evaluando «qué podía salir mal» en los procesos empresariales de informática, como el acceso lógico, los cambios en los programas y las operaciones en informática. Entre los riesgos en informática más comunes se incluyen el acceso no autorizado a los recursos tecnológicos, la gestión inadecuada de los cambios realizados en los sistemas existentes y la falta de copias de seguridad de la información en caso de interrupción del servicio.
• Riesgo de ciberseguridad y seguridad de la información: ISACA incluye la ciberseguridad y la seguridad de la información en el ámbito de las tecnologías de la información. Según el informe técnico ISACA’s “Getting Started with Risk Management” de ISACA white paper, “la ciberseguridad está relacionada con la informática, ya que la tecnología suele ser el vector a través del cual se materializa el riesgo cibernético”. En este ámbito se incluyen cuestiones más específicas, como las violaciones de la seguridad, la pérdida o corrupción de datos y el malware. El ámbito de los riesgos cibernéticos y de seguridad de la información suele ser noticia, ya que, si algo va mal en una organización, lo más probable es que se deba a un fallo en este ámbito.

Vuelva a mirar el gráfico anterior y vea qué otros riesgos pueden deducir de este análisis. ¿Qué patrones observa? ¿Estos patrones se ajustan más a riesgos conocidos y documentados formalmente, o más bien a riesgos emergentes, como la IA?

¿Cuáles son las estrategias típicas para gestionar el riesgo en informática?

La buena noticia es que, independientemente de si se trata de riesgos en informática existentes o emergentes, las estrategias disponibles han sido probadas y comprobadas. La dirección puede optar por evitar, mitigar, transferir o aceptar los riesgos en informática.

Además, un programa sólido de gestión de riesgos funciona mejor cuando las tres líneas de defensa trabajan juntas. El riesgo en informática no es una excepción, ya que la gestión de informática (primera línea), el aseguramiento de la información, la seguridad empresarial o la gestión de riesgos empresariales (segunda línea) y la auditoría interna (tercera línea) pueden trabajar juntas para proporcionar un ciclo continuo de retroalimentación sobre la gestión de riesgos. Algunos ejemplos que ayudan a gestionar el riesgo en informática son:

• Formación y concienciación de los empleados: Las tres líneas de defensa pueden participar en esta actividad. Por ejemplo, las pruebas periódicas de phishing por correo electrónico pueden proporcionar a la gestión de informática una visión rápida y comentarios sobre dónde pueden existir lagunas a la hora de identificar los correos electrónicos reales frente a los falsos.
• Evaluaciones rutinarias de riesgos en informática: Dependiendo de la estructura de su organización, las funciones de gestión de primera línea suelen ser la mejor opción para detectar e identificar los riesgos en informática, dada su función de gestionar las operaciones diarias. Si su organización cuenta con una función de gestión de riesgos de segunda línea, como el aseguramiento de la información o la seguridad empresarial, esos recursos pueden ayudar a diseñar procesos y sistemas de gestión de riesgos en informática en los que se identifiquen y prioricen los riesgos, y se puedan probar los controles para obtener información en tiempo real. En la tercera línea, la auditoría interna puede proporcionar aseguramiento para determinar si los procesos de riesgo y los procesos de control en informática están diseñados y funcionan de manera eficaz.

¿Qué es una evaluación de riesgos en informática?

Según el Risk IT Framework, 2^nd edición, una evaluación de riesgos en informática es un proceso sistemático para identificar, evaluar, analizar, valorar, responder e informar sobre los riesgos. Este marco me parece útil porque los riesgos en informática pueden ser complicados, ambiguos y difíciles de calificar. Además, en la Función de Auditoría Interna, puede ser perjudicial intentar clasificar los riesgos en informática sin disponer de un método formal para catalogarlos y colaborar con sus socios comerciales para comprender la esencia de los riesgos en informática. El marco les proporciona un proceso estructurado y repetible que pueden utilizar para revisar, perfeccionar y, potencialmente, reordenar las medidas de respuesta a los riesgos, teniendo en cuenta el rápido avance de la tecnología para gestionar sus organizaciones.

¿Qué debe incluir una evaluación de riesgos en informática?

Al desglosar los componentes anteriores de una evaluación de riesgos en informática, es conveniente tener en cuenta que, dados los pasos continuos y repetibles, este marco puede aplicarse a los riesgos en informática existentes y emergentes.

• Identificación y evaluación de riesgos: Inicie y reanude el proceso identificando los riesgos tecnológicos potenciales que podrían afectar a la organización. Los riesgos en informática suelen ser un objetivo móvil, por lo que el seguimiento de esta información en un repositorio centralizado, como TeamMate+, puede ayudar a las partes interesadas a identificar, colaborar y evaluar los riesgos en tiempo real.
• Análisis de riesgos y evaluación del impacto en el negocio: evalúe la probabilidad y el impacto potencial de cada riesgo en informática identificado. Esto ayudará a priorizar los riesgos en función de su gravedad y sus posibles consecuencias. Por ejemplo, supongamos que su organización está considerando el uso de un LLM, como ChatGPT, para dar soporte a la función de atención al cliente. El riesgo en informática es que el LLM proporcione información incorrecta y engañosa, lo que provocaría la insatisfacción de los clientes con el servicio. Si el LLM es nuevo y no ha sido probado por la dirección, la probabilidad de que proporcione información incorrecta y engañosa podría clasificarse razonablemente como «alta» y el impacto en el servicio al cliente como «alto». Por lo tanto, la organización tendría que priorizar este riesgo y considerar la posibilidad de probar y poner a prueba la funcionalidad de manera adecuada para reducir ambos factores dentro de la tolerancia al riesgo de la organización.
• Respuesta al riesgo: utilizando las estrategias descritas anteriormente, la organización puede optar por evitar, mitigar, transferir o aceptar el riesgo. En el ejemplo anterior de ChatGPT para el servicio de atención al cliente, la organización podría optar por evitar el riesgo de utilizar ChatGPT. La ventaja de hacerlo sería no tener que dedicar tiempo y recursos a controlar y supervisar el uso de ChatGPT, pero el inconveniente es que la dirección renunciaría al ahorro de tiempo estimado del 50 % en la respuesta a las consultas de los clientes.
• Informes y comunicación de riesgos: este es el paso clave de todo el proceso y probablemente el que requiere más trabajo para lograr el equilibrio adecuado de información suficiente para tomar decisiones oportunas. Cuando se proporciona demasiada información, las partes interesadas pueden desconectarse. Si no se presenta suficiente información, las partes interesadas corren el riesgo de verse sorprendidas por acontecimientos desafortunados.

¿Cómo puede la auditoría interna ayudar a gestionar el riesgo en informática?

Si bien la dirección es responsable del riesgo en informática, la auditoría interna puede aportar ideas a lo largo de todo el ciclo de vida de la auditoría.

Comencemos con algunas estrategias que puede adoptar de inmediato:

• ¡Infórmese! Yo estoy suscrito a los boletines informativos del IIA, ISACA y AICPAasí como a varias páginas y grupos de LinkedIn del sector. También me mantengo al día de las noticias empresariales como fuente de información sobre lo que ocurre a escala global y local.
• ¡Haga contactos! Asista a seminarios web, almuerzos formativos y conferencias para profundizar en estos temas a nivel de gestión de riesgos.
• Establezca relaciones en su organización. Póngase al tanto de lo que piensan el consejo de administración y el comité de auditoría (o su equivalente) sobre los riesgos en informática. Estas personas se encargan de marcar la pauta en materia de gobernanza general y pueden ofrecer una visión global.
• Consulte periódicamente a los responsables de informática para comprender las oportunidades y amenazas. Puede tratarse de almuerzos informales o evaluaciones de riesgos más formales. Los responsables de informática y sus equipos están sobre el terreno resolviendo problemas empresariales mediante la tecnología. Estas personas son un recurso fundamental para comprender los riesgos en informática a un nivel más detallado.
• Invite a tecnólogos internos a presentar un tema a su equipo de auditoría interna. Es una forma táctica de establecer relaciones y permitir que el personal haga preguntas sobre un tema concreto fuera del ámbito de una auditoría. Durante mi etapa en la práctica profesional de la auditoría interna, invité a un experto en la materia a hablar con el equipo de auditoría interna durante 30-60 minutos sobre cómo las tecnologías emergentes están afectando a los procesos empresariales a los que dan soporte.

¿Y durante el año del plan de auditoría?

• Infórmese sobre los planes de negocio de toda la empresa y de las unidades de negocio locales. Son un recurso excelente para comprender las condiciones empresariales locales y cómo consumen los servicios en informática las unidades de negocio.
• Asista y participe en las reuniones de gestión de riesgos de su organización para hacerse una idea de la tolerancia al riesgo de la dirección y de cómo la tecnología está afectando a los objetivos estratégicos y operativos.
• Trabajos de consultoría: Averigüe si su equipo de auditoría interna puede participar mientras se están considerando nuevas tecnologías en la organización. Las reuniones del comité directivo del proyecto son una forma eficaz de hacerse una idea de cómo la solución tecnológica respaldará el proceso empresarial y si existe alguna debilidad evidente. Por lo general, es más fácil abordar los riesgos en informática no mitigados en esta fase, en lugar de hacerlo después de iniciar la auditoría interna.
• Evaluaciones periódicas de los riesgos en informática: TeamMate+ puede facilitar este proceso mediante funciones como la autoevaluación de entidades, riesgos y/o controles. Esta funcionalidad permite a las partes interesadas de las tres líneas de defensa actualizar las declaraciones de riesgos y las actividades de control, y permite a las partes interesadas de primera línea revelar los problemas identificados por la dirección antes de que comience un trabajo. Esta vía puede utilizarse para reforzar la responsabilidad del marco de gestión de riesgos y permite a los equipos colaborar en tiempo real.
• Trabajos de aseguramiento: Siga evaluando los procesos empresariales en informática en curso regulados por los controles generales de informática. En cuanto a los riesgos emergentes, añada al plan de auditoría trabajos como la gestión de riesgos de los proveedores, la seguridad de la información y las pruebas de penetración. La retroalimentación continua a la dirección y a los responsables del gobierno corporativo es fundamental para gestionar los riesgos en informática.
  
  

Conclusión

El riesgo en informática es una disciplina empresarial continua y en constante evolución. Para la auditoría interna, es una gran oportunidad para hacer balance y reexaminar cómo las tecnologías emergentes afectan al riesgo en informática de nuestras empresas. La buena noticia es que podemos seguir los marcos de gestión de riesgos en informática existentes, que nos permiten colaborar con la dirección para comprender estos riesgos. Además, podemos revisar y perfeccionar nuestras estrategias para diseñar trabajos de consultoría o aseguramiento que proporcionen información en tiempo real a nuestros equipos de gobernanza y dirección.