sábado, 11 de julio de 2015

La auditoría de TI en un entorno VICA. El reto de la razonabilidad en un ecosistema digital

Introducción
En un mundo en constante movimiento, altamente Volátil, Incierto, Complejo y Ambiguo (VICA)[1], la función de auditoría en las empresas enfrenta un desafío mayor en su ejercicio de evaluación y asesoría al primer nivel de las organizaciones, como quiera que ya no son tan conocidos los escenarios para auditar y los métodos de verificación y evaluación, no cuentan con la flexibilidad para enfrentar dichos escenarios.

Si bien los discursos metodológicos y fundamentos de la auditoría generalmente aceptadas, son referentes importantes que aseguran el proceso mismo de verificación, no así las condiciones y detalles que se advierten en el contexto mismo del trabajo de campo, donde las tecnologías emergentes, las tendencias en las redes sociales y las novedades propias de los ciber ataques, hacen que el auditor enfrente situaciones que posiblemente no pudieron ser identificadas con las herramientas actuales[2].

Los auditores, particularmente de tecnología de información, se enfrentan en la actualidad a escenarios novedosos que le exigen una comprensión superior a la que tienen a la fecha, habida cuenta que ya su dominio de evaluación no se encuentra identificado de manera física y tangible, sino que representa una apuesta de servicios tercerizados, que está más allá de su alcance y por lo tanto, deberá establecer una nueva forma de analizarlos.

Así las cosas, los auditores de tecnología de información pasaron de tener en sus papeles de trabajo[3] temáticas como redes, comunicaciones, servidores, archivos, bases de datos, cintas, controles de acceso, a revisar un nuevo escenario denominado ecosistema tecnológico o digital (ver más información en http://insecurityit.blogspot.de/2012/09/pronosticos-de-seguridad-de-la.html) , donde lo que fluyen son servicios e información, como fundamento mismo de su operación. Un mundo digital creado por el hombre donde se construyen realidades superiores, donde la imaginación y la estrategia plantean los límites y posibilidades.

Un auditor de tecnología de información (TI) en un ecosistema digital[4] debe desarrollar habilidades y práctica diferentes para poder encarar el reto de poder “auditar” un contexto como este, donde la dinámica es la norma, las probabilidades son inciertas y las posibilidades son todas. Así las cosas, el profesional de auditoría deber lidiar con la incertidumbre que supone este entorno y enfrentar las diversas conexiones presentes y emergentes de este ecosistema para tratar de entender la esencia del mismo.

En razón con lo anterior, el auditor de TI consciente de su saber disciplinar y las contradicciones del contexto que ahora enfrenta, debe orientar su práctica metodológica hacia lo sistémico, a la búsqueda de respuestas en la dinámica de las relaciones, más que en la estática de sus componentes. Esto es, motivar un cambio de pensamiento especializado, a uno transdisciplinar[5] que consulta otras disciplinas y métodos para comprender mejor lo que el ecosistema le presenta.

Por tanto, este breve documento busca revisar la condición actual del auditor de TI, sus prácticas y métodos de trabajo frente al  ecosistema digital y los retos emergentes que debe asumir y anticipar para continuar generando valor a la alta gerencia.

Evolución de la práctica de auditoría de TI
La dinámica propia del trabajo de auditoría en general demanda un proceso de planeación (que consulta inclusive ejercicio anteriores), la contextualización con el área auditada (poner en conocimiento de área evaluada el alcance y los apoyos requeridos), los fundamentos de la evaluación (estándares y buenas prácticas que se van a tener en cuenta), la ejecución (la recolección y análisis de documentos, la aplicación de las pruebas), resultados (el detalle de los hallazgos identificados) y el reporte (conclusiones documentadas del ejercicio realizado). En este ejercicio, el registro controlado de todos los soportes y hallazgos es la fuente misma de la precisión y credibilidad de las conclusiones de dicho trabajo.

En este derrotero metodológico, el auditor de TI, explora los diferentes componentes del sistema de información o tecnología objeto de la revisión para producir sus resultados. Es claro, que deberá establecer el mapa relacional del sistema en evaluación con los objetivos del negocio y los otros procesos de las empresas, para no perder la vista general de los impactos que tiene el sistema bajo análisis para la empresa. Este tipo de ejercicios, exige de los auditores la especialidad de tecnología de información y sobre manera el entendimiento de la dinámica interna de la organización.

En escenarios conocidos, donde la operación de la empresa ocurre en un lugar cierto y preciso, las prácticas vigentes de auditoría revelan resultados relevantes, que permiten dar cuenta la de la razonabilidad de la seguridad y el control que los sistemas de información tienen para mantener una operación confiable y ajustada a las buenas prácticas y estándares en la materia. La listas de chequeo, los cuestionarios de control, las pruebas de auditoría con  cruces de datos, las simulaciones de máquinas y servicios, así como algunas técnicas de valoración de seguridad de la información sobre aspectos claves de los sistemas información, hacen parte de la batería de recursos que los auditores disponen para hacer su labor[6].

Mientras la operación de tecnología de información estuvo inmersa dentro de los procesos de adquisición de hardware, software, aplicaciones y servicios de apoyo, las prácticas de auditoría tradicionales, basadas en estándares referentes, particularmente de riesgos, estuvieron atentas a dar respuesta a las necesidad de los grupos interés, para ilustrar el nivel de confiabilidad que dicha infraestructura tenía y cómo avanzar para mitigar la exposición a los riesgos identificados[7].

La conectividad con internet, los servicios web, la exposición de web-services, las aplicaciones java, los marcos de desarrollo de aplicaciones en la web y servicios de pagos en línea, cambiaron la forma como sus prácticas debían dar una nueva lectura a sus conclusiones. Un mundo más interactivo y menos estático[8], hizo que los auditores comenzaran a pasar de un método relativamente conocido, a uno donde la especialidad técnica comenzaba a desbordar las respuestas para sus grupos de interés.

En este escenario los marcos metodológicos hicieron giros estratégico importantes, donde ahora la web era la vista más elaborada de la práctica, sin descuidar los asideros conceptuales que se mantenían sin cambios relevantes. Esto motivó una actualización de los auditores tradiciones de TI, para incorporar nuevos conocimientos sobre la dinámica de internet, sus posibilidades y nuevos riesgos.

Durante más de una década, los auditores de TI avanzaron con los desarrollos tecnológicos, como custodios de sus prácticas de seguridad y control, motivando cambios relevante e importantes en el gobierno de las tecnologías de información, que ha impactado positivamente el ejercicio de aquellos que tienen la responsabilidad de apalancar el modelo de generación de valor de las empresas con tecnología, cargo generalmente denominado a nivel internacional como Chief Information Officer o Chief Technology Officer[9].

Hoy, las cosas vuelven a cambiar y la exigencia se hace mayor, por tanto las prácticas de los auditores de TI, requieren una nueva revisión que le permita crear un nuevo momentun en el ejercicio de la auditoría, no para abandonar lo que usa en la actualidad, sino para ajustarlo e incorporar nuevas propuestas para enfrentar las nuevas amenazas y retos en un mundo hiperconectado, con información instantánea, en la nube y móvil. 

La auditoría de TI y el ecosistema digital
Gartner en su documento denominado “The nexus of forces[10] publicado en 2012 anticipa el nuevo escenario que el mundo debe asumir, conocer, usar y explotar para crear la nueva etapa de la sociedad global, donde casi todas las cosas serán servicios, estarán conectadas y transmitiendo en tiempo real. La realidad de la computación en la nube, la computación móvil, los grandes datos y la analítica, y las redes sociales, establecen los nuevos normales de operación y desarrollo tanto de las personas, como de las organizaciones.

La vista convergente del mundo hace camino en cada uno de los elementos que sintonizan a las organizaciones con sus grupos de interés, elevando los niveles de transparencia y visibilidad que permiten a los interesados, tener la información relevante, hacerse a un criterio y opinar de manera abierta y sin reparos. Las redes sociales se han convertido en un eslabón estratégico de las empresas, no sólo como “parlante abierto” de su realidad, sino como ocasión de liderazgo organizacional abierto[11], que demanda una completa inmersión en la dinámica social y tecnológica de la sociedad local donde opera y la realidad global donde se enmarca.

El ecosistema digital, como construcción conceptual, reviste una serie de componente muchos de ellos operados por terceros, con especialidades y capacidades específicas, las cuales se ofrecen en diferentes modelos y posibilidades, como quiera que es el cliente el que define la manera como los recursos disponibles van a ser organizados y usados, para crear entorno nuevos o propuestas alternas que generarán experiencias diferentes en los usuarios finales[12].

Esta nueva realidad, que ahora inicia en un teléfono inteligente en las manos de una persona en cualquier parte del mundo y que es capaz de movilizar información y acciones con otros a través de conexiones internacionales, que no requiere puntos únicos de ingreso o conexión, que conoce de aplicaciones y servicios especializados, y que está dispuesto a esta en línea todo el tiempo, muestra con claridad que los perímetros de control se ha vuelto porosos, que el control de la descarga de aplicaciones se ha vuelto efímera y el nivel de exposición y riesgos emergentes está a la orden del día[13].

Las recomendaciones restrictivas propias de las prácticas de auditoría en estos entornos dinámicos contradicen los modelos de negocio que exigen las empresas de hoy. En este sentido, las prácticas de seguridad y control, habituadas a entorno estáticos y conocidos, comienza a ceder terreno para inaugurar una transición a nuevas prácticas donde variables como tipo de información a la que requiere tener acceso, perfil de la persona que solicita el acceso y lugar donde se encuentra la persona que solicita el acceso[14], comienzan a ser relevantes para establecer el nivel de protección que se requiere.

Por tanto, los auditores de TI deben tomar nota sobre esta nueva realidad y comenzar a retar sus propias prácticas, que si bien seguirán basadas en las realidades de la exposición al riesgo, si deberán consultar y entender la manera como el ecosistema digital dicta las normas de interacción y establece los nuevos normales, los cuales deberán ser insumo para plantear las renovadas exigencias de la auditoría ahora en un escenario más dinámico y más volátil, motivando una práctica de seguridad y control más moderna que custodie la dinámica de la información y el valor de la empresa más ajustado a su realidad[15].

Retos emergentes para la auditoría de TI
Los auditores de TI en un escenario como el que se ha comentado se encuentran en una encrucijada gerencial y operacional. Por un lado, deberán seguir asistiendo a la alta gerencia respecto de lo que ocurre en la dinámica de los proceso de TI, en sus diferentes modalidades por demanda o incorporación propia, y por otro, ajustar y reinventarse como función para estar a tono con las realidades que propone el ecosistema digital donde la organización opera.

El ciber crimen, los ciber ataques, el hacktivismo, los ataques dirigidos, el código malicioso especializado, los ciber asesinos, los ciber mercenarios, el ciber espionaje y hasta un posible ciber conflicto[16], son amenazas concretas, reales y emergentes que ahora deben ser materia de revisión y análisis desde las trincheras de la función de auditoría de TI. Sin embargo, las capacidades actuales y las prácticas referentes poco son efectivas a la hora de comprender y por tanto, de recomendar, frente a situaciones como las enunciadas, como quiera que todas ellas, no responden directamente una aplicación tradiciones de matrices riesgo-control, sino a análisis de escenarios que den cuenta de situaciones de exposición que la organización, por su naturaleza de negocio, debe comprender, estudiar, analizar y considerar.

Los estándares y prácticas de riesgo-control, necesarias y útiles para motivar los análisis requeridos para comprender los niveles de exposición de las empresas, hoy empiezan agotarse, pues todas ellas fueron concebidas en escenarios y contextos menos dinámicos y cambiantes como los que tenemos en la actualidad. Por tanto, renovar la propuesta de gestión de riesgos, debe avanzar desde los riesgos conocidos, pasando por los latentes y focales, para analizar y estudiar aquellos emergentes que aún no aparecen en el radar[17].

En razón con lo anterior, los ejercicios de probabilidad por impacto, claves para indicar los niveles de exposición, deben migrar hacia frecuencia por severidad, entendiendo que el riesgo no solamente está articulado con una probabilidad de ocurrencia, sino con la cuantificación misma del evento, junto con su severidad como fuente de fundamentación estadística que permita una vista más concreta, no solamente de la exposición al riesgo, sino de nivel de exposición a la pérdida[18].

Por otro, lado dada alta conectividad, flujo de información y servicios, así coma la invasión de las “cosas digitales” o el internet de las cosas[19], se requiere una forma diferente de establecer referentes de confiabilidad y razonabilidad de controles, que permitan la evolución normal de los desarrollos tecnológicos, así como de la confiabilidad de su operación. En este contexto, el análisis de escenarios[20], como técnica de construcción colectiva, donde participan todos aquellos interesados en la situación relevante, se proyecta como una nueva forma de acompañar a la alta gerencia para comprender la exposición al riesgo, la caracterización de los atacantes, los impactos de las variables externas e internas y las acciones que se deben tomar para enfrentar la situación y disminuir los impactos para la organización.

La lectura del entorno desde los desarrollos, plataformas y servicios del ecosistema digital, debe convertirse ahora en el nuevo normal de la función de auditoría de TI, pues allí es donde está ahora, la manera como las empresas se movilizan para crear condiciones disruptivas que la posiciones en escenarios diferentes y competitivos. Así las cosas, los auditores deberán sumergirse en las condiciones y elementos estructurales de esta nueva realidad para comenzar a construir vistas livianas, sencillas y efectivas de las prácticas de seguridad y control, para que el negocio opere de manera confiable, sin sacrificar sus ideas disruptivas.

Reflexiones finales
Al igual que el responsable de la seguridad de la información, el auditor de TI debe enfrentar el reto de anticipar la inevitabilidad de la falla[21], tratar de distinguirla en las relaciones de los componentes del ecosistema digital para motivar las acciones necesarias para que no se materialice. Sin embargo, sabiendo que este ejercicio no siempre dará los frutos esperados, deberá canalizar sus esfuerzos para concluir sobre la nueva razonabilidad de los controles que se tienen ahora en un mundo sin fronteras, ni linderos, donde la movilidad, el flujo de información y servicios es la norma.

Si bien la función de auditoría no puede desaparecer, por la natural dinámica empresarial donde un tercero de cuenta de lo que ocurre en los procesos corporativos, la auditoría de TI, si debe actualizar sus métodos y prácticas para agilizar la operación de la empresa, de cara a la alta tercerización de las actividades empresariales y la mayor dependencia de la estabilidad del ecosistema digital.

La autenticación, la autorización, los registros de auditoría y el no repudio seguirán presentes como controles generales en las empresas, pero condiciones como la adaptación, la anticipación y la inteligencia se convertirán en los nuevos normales, para hablar de la razonabilidad de los controles[22]. Estos últimos, deberán ser objeto de investigaciones y análisis en profundidad para elaborar prácticas más concretas y estándares, que permitan con mayor claridad establecer cuando una organización avanza y madura frente a su perfil de riesgo-control ahora en un ecosistema digital.

La estabilidad del ecosistema digital donde opera la empresa, estará dada por la resiliencia del mismo, palabra que se ha venido utilizando en diferentes escenarios y que ahora debe hacer parte del conjunto de herramientas y conceptos que el auditor de TI de ayudar a desarrollar en las organizaciones, sabiendo que esta, le permite a la empresa aumentar su resistencia a los ataques y condiciones adversas y aun así continuar operando y mejorando su situación.

El auditor de TI moderno, requiere un cambio de paradigma epistemológico[23], una forma de conocer diferente, que le permita salir de su zona cómoda, anclada en prácticas conocidas y referentes, y lanzarse a construir en el contexto del ecosistema digital, nuevas formas de aumentar la confiabilidad de la operación de las empresas, no solamente para conceptuar sobre la razonabilidad de los controles, sino para visualizar aspectos novedosos del negocio y anticipar propuestas que sintonicen las necesidad de los grupos de interés y las exigencias de cumplimiento normativo que se tengan.

Por tanto, no es el auditor de TI per se el que debe repensarse y reinventarse desde la vista del ecosistema digital actual, sino toda su práctica y metodologías conexas, para que leyendo la realidad desde los negocios actuales, pueda establecer consideraciones y revisiones relevantes y pertinentes, que den cuenta del modelo de generación de negocio de la empresa y al mismo tiempo aumentar la confianza de los inversionistas y ejecutivos de primer nivel, sobre la forma como se hace realidad la promesa de valor de una empresa ahora en un ecosistema digital, volátil, incierto, complejo y ambiguo.

Referencias

[1] Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
[2] Harrington, L. y Piper, A. (2015) Driving success in changing  world. 10 imperatives  for internal audit. The IIA Research Foundation. Global Internal Audit Common Body of Knowledge. Recuperado de: https://na.theiia.org/iiarf/Pages/Common-Body-of-Knowledge-CBOK.aspx
[3] Quintanar, E. (1983) Normas de auditoría generalmente aceptadas. Revista Española de Financiación y Contabilidad. Vol.12, No.42. Septiembre-Diciembre. 667-680
[4] Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega.
[5] Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
[6] Tamayo, A. (2001) Auditoría de sistemas. Una visión práctica. Universidad Nacional de Colombia. Sede Manizales. Manizales, Colombia: Centro de Publicaciones, Universidad Nacional de Colombia.
[7] Piattini, M. y Del Peso, E. (2000) Auditoría informática. Un enfoque práctico. Segunda edición. Madrid, España: Ra-ma Editorial y publicaciones.
[8] Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.
[9] Fernández, C. y Piattini, M. (2012) Modelo para el gobierno de las TIC basado en las normas ISO. AENOR (Asociación Española de Normalización y Certificación). Madrid, España: AENOR.
[10] Howard, C., Plummer, D. C., Genoves, Y., Mann, J., Willis, D. A. y Mitchel Smith, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Disponible en: https://www.gartner.com/doc/2049315
[11] Li, C. (2014) Liderazgo abierto. De qué modo la tecnología social puede transformar su manera de lidera. Buenos Aires, Argentina: Ediciones Gránica, S.A
[12] Cano, 2015. p.181
[13] Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
[14] Harkins, M. (2013) Managing risk and information security. Protect to enable. Apress Open.
[15] Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus Books Group.
[16] Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
[17] Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
[18] Freund, J. y Jones, J. (2015) Measuring and managing information risk. A FAIR Approach. Kidlington, Oxford. UK:Butterworth-Heinemann.
[19] Ullrich, J. (2015) New cyberthreats: Defending against the digital invasion. Abril. Recuperado de: http://searchsecurity.techtarget.com/feature/New-cyberthreats-Defending-against-the-digital-invasion
[20] Chermack, T. (2011) Scenario planning in organizations. How to create, use, and assess scenarios. San Francisco, USA:Berrett-Koehler Publishers.
[21] Cano, J. (2013) Inseguridad de la información. Una visión estratégica. Bogotá, Colombia: Alfaomega
[22] Ernst and Young (2014) Geta head of cybercrime. EY’s  Global Information Security Survey. Recuperado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
[23] García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación interdisciplinaria. Barcelona, España: Gedisa Editorial.

1 comentario: