¿QUÉ SUCEDE CUANDO SE IGNORA LA AUDITORÍA INTERNA? PREGUNTA A ATLANTA

Estándar

02 de abril de 2018

El verano pasado, los auditores internos de la ciudad de Atlanta funcionarios advirtieron que sus sistemas de TI podría verse comprometida fácilmente si no se fijaron inmediatamente. El informe de auditoría no escatimó palabras, y destacó la falta de recursos (herramientas y personas) disponibles para abordar los “miles de vulnerabilidades” y caracterizar la situación como un “nivel significativo de exposición al riesgo prevenible”, según los informes de los medios.

La ciudad aparentemente comenzó a implementar ciertas medidas de seguridad, pero era un caso clásico de muy poco, muy tarde. Un ataque de ransomware, esencialmente extorsión digital, paralizó la red de computadoras de la ciudad y llevó a muchos departamentos casi a la oscuridad del papel y el lápiz. La violación incluso cerró el servicio de Wi-Fi en el aeropuerto internacional de Atlanta. Afortunadamente, los servicios críticos como los que responden a los servicios de emergencia (y los vuelos en el aeropuerto más concurrido de la nación) no se vieron afectados.

Fue un ejemplo de libro de texto de un ataque de ransomware. Después de años de violaciones de este tipo en todo el mundo, la respuesta de la ciudad a las advertencias de los auditores internos también debería haber sido el libro de texto. Claramente no fue así.

¿Que pasó? ¿Por qué Atlanta, incluso con amplias advertencias, no implementó los controles recomendados para fortalecer sus sistemas?

Si bien las razones son sin duda numerosas y complejas, todo apunta a una anulación del modelo de gestión de riesgos de tres líneas de defensa. El modelo requiere que la administración, la primera línea de defensa, adquiera y administre los riesgos manteniendo y ejecutando controles internos efectivos, incluidas las acciones correctivas identificadas por la auditoría interna para abordar las deficiencias del proceso y el control.

La segunda línea abarca las funciones de riesgo y cumplimiento. Estos varían según la industria, lo que afecta la naturaleza de sus responsabilidades exactas. En general, sin embargo, admiten la primera línea al ayudar a construir o monitorear los controles de la primera línea.

La tercera línea, como sabemos, es la auditoría interna, que brinda al órgano rector y a la alta dirección una garantía integral sobre la eficacia del gobierno, la gestión del riesgo y los controles internos, incluidas las recomendaciones para abordar las vulnerabilidades. Es un modelo efectivo, pero solo cuando las tres líneas cumplen su función, y la administración escucha la tercera línea.

En el caso de Atlanta, la administración falló en su responsabilidad de abordar rápidamente las recomendaciones hechas por la auditoría interna, lo que hizo que el modelo no fuera efectivo. De acuerdo, la auditoría interna puede a veces contribuir a la dificultad del rol de la administración al no comunicar el valor o la importancia de una recomendación, priorizar informes de acuerdo con los riesgos más críticos u obtener la aceptación de la administración al principio del proceso.

Pero es por eso que en la profesión de auditoría interna debemos hacer lo que sea necesario para facilitar, casi inevitablemente, que la gerencia comprenda la magnitud de tales riesgos, reconozca nuestras recomendaciones y los ponga en marcha.

La capacidad de una organización para actuar sobre lo que sabe se vuelve aún más importante a medida que la frecuencia y el impacto de los ciberataques continúan aumentando. La semana pasada, nos enteramos de que una violación de datos de la aplicación MyFitnessPal de Under Armour comprometía potencialmente 150 millones de cuentas. Los correos electrónicos de suplantación de identidad (phishing) son ampliamente reconocidos como un vehículo de entrega común para virus, sin embargo, algunas compañías no educan a los empleados sobre qué buscar y cómo responder a un mensaje sospechoso.

Muchas empresas saben que los piratas informáticos constantemente encuentran y explotan las vulnerabilidades del software, por lo que los desarrolladores del software emiten parches tan pronto como se descubre cada nuevo “crack”. Aún así, los parches a menudo no se aplican. También se sabe que las contraseñas son una puerta abierta a las infracciones de datos (según el Informe de Verizon 2017 sobre Incumplimiento de Datos , el 80% de las infracciones relacionadas con piratería aprovecharon las contraseñas robadas, débiles o intuitivas), aunque algunas organizaciones no establecen una política que requiera contraseñas seguras, cambiadas con frecuencia.

Es fácil suponer que el pirateo informático es algo que le sucede a otra persona (“Somos demasiado pequeños para atraer la atención de los piratas informáticos”). “No tenemos ninguna información que valga la pena robar”), pero eso es clásico “cabeza en el arena “pensando. Prácticamente cualquier organización que tenga datos está en riesgo, lo que significa que cada organización está en riesgo, salvo una en una isla pequeña y aislada que ha encontrado una manera de mantenerse fuera de la red.

Hace menos de un año, luego de un ciberataque aún mayor que golpeó las redes de computadoras en todo el mundo, escribí una publicación de blog titulada ” ¿La cultura cibernética de su organización lo convierte en un fanático de Janan? ” Escribí: “Es indescifrable para mí que tales ataques continúen teniendo éxito ” En estos días, la perspectiva de un ataque cibernético debe estar continuamente en nuestro radar y las recomendaciones de auditoría interna cuando se encuentran vulnerabilidades deben ser escuchadas y recibir atención inmediata.

A medida que los empleados de Atlanta trabajan para rectificar una mala situación, lo menos que podemos hacer es tomar algunas lecciones de su experiencia:

1. Instituya un modelo de defensa en profundidad en su organización. Asegúrese de que todos conozcan sus responsabilidades y se adhiera a ellas.
2. Asegure la experiencia o contrate a personas adecuadas para los equipos de auditoría interna y seguridad de la información y responda con prontitud a sus inquietudes y sus acciones de mitigación recomendadas.
3. Aplique medidas de seguridad fundamentales, como parcheo, refuerzo de contraseñas, cifrado de datos y autenticación multifactorial.
4. Enseñe a los empleados cómo reconocer y responder a los intentos de piratería.

Las organizaciones enfrentan riesgos suficientes para los cuales no tienen mecanismos de advertencia o defensa. El cibercrimen no necesita ser uno de ellos.

Las opiniones expresadas por los bloggers del Auditor interno pueden diferir de las políticas y declaraciones oficiales del Instituto de Auditores Internos y sus comités y de las opiniones respaldadas por los empleadores de los bloggers o los editores del Auditor interno. La revista se complace en brindarle la oportunidad de compartir sus opiniones sobre estas publicaciones en el blog. Algunos comentarios pueden ser reimpresos en otro lugar, en línea o fuera de línea

SOBRE EL AUTOR

Richard Chambers

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA, es presidente y director ejecutivo de The IIA. En Chambers on the Profession , comparte sus reflexiones y puntos de vista personales sobre la base de sus 40 años de experiencia en la profesión de auditoría interna.