Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator¿Qué sucede cuando se ignora la auditoría interna? Pregunte a Atlanta

¿Qué sucede cuando se ignora la auditoría interna? Pregunte a Atlanta

El verano pasado, los auditores internos de la ciudad de Atlanta advirtieron a los funcionarios que sus sistemas de Tecnología de Información (TI) podrían verse fácilmente comprometidos si no se solucionaban de inmediato. El informe de la auditoría no escatimó palabras, señalando la falta de recursos (herramientas y personas) disponibles para abordar las "miles de vulnerabilidades" y caracterizar la situación como un "nivel significativo de exposición al riesgo prevenible", según los informes de los medios.

La ciudad aparentemente comenzó a implementar ciertas medidas de seguridad, pero era un caso clásico de muy poco, muy tarde. Un ataque de ransomware (es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción), esencialmente extorsión digital, paralizó la red de computadoras de la ciudad y llevó a muchos departamentos casi a la oscuridad del papel y el lápiz. La brecha incluso cerró el servicio de Wi-Fi en el Aeropuerto Internacional de Atlanta. Afortunadamente, los servicios críticos como los que responden a los servicios de emergencia (y los vuelos en el aeropuerto más concurrido de la nación) no se vieron afectados.

Fue un ejemplo de libro de texto de un ataque de ransomware. Después de años de violaciones de este tipo en todo el mundo, la respuesta de la ciudad a las advertencias de los auditores internos también debería haber sido el libro de texto. Claramente no fue así.

¿Qué pasó? ¿Por qué Atlanta, incluso con amplias advertencias, no implementó los controles recomendados para fortalecer sus sistemas?

Si bien las razones son sin duda numerosas y complejas, todo apunta a una anulación del modelo de gestión de riesgos de tres líneas de defensa. El modelo requiere que la administración, la primera línea de defensa, adquiera y administre los riesgos manteniendo y ejecutando controles internos efectivos, incluidas las acciones correctivas identificadas por la auditoría interna para abordar las deficiencias del proceso y el control.

La segunda línea abarca las funciones de riesgo y cumplimiento. Estas varían según la industria, lo que afecta la naturaleza de sus responsabilidades exactas. En general, sin embargo, admiten la primera línea al ayudar a construir o monitorear los controles de la primera línea.

La tercera línea, como sabemos, es la auditoría interna, que brinda al órgano rector y a la alta dirección una garantía integral sobre la eficacia del gobierno, la gestión del riesgo y los controles internos, incluidas las recomendaciones para abordar las vulnerabilidades. Es un modelo efectivo, pero solo cuando las tres líneas cumplen su función, y la administración escucha a la tercera línea.

En el caso de Atlanta, la administración falló en su responsabilidad de abordar rápidamente las recomendaciones hechas por la auditoría interna, lo que hizo que el modelo no fuera efectivo. De acuerdo, la auditoría interna puede a veces contribuir a la dificultad del rol de la administración al no comunicar el valor o la importancia de una recomendación, priorizar informes de acuerdo con los riesgos más críticos u obtener la aceptación de la administración al principio del proceso.

Pero es por eso que en la profesión de auditoría interna debemos hacer lo que sea necesario para facilitar, casi inevitablemente, que la gerencia comprenda la magnitud de tales riesgos, reconozca nuestras recomendaciones y las ponga en marcha.

La capacidad de una organización para actuar sobre lo que sabe se vuelve aún más importante a medida que la frecuencia y el impacto de los ataques cibernéticos continúan aumentando. La semana pasada, nos enteramos de una violación de datos de la aplicación My Fitness Pal de Under Armour que comprometía potencialmente 150 millones de cuentas. Los correos electrónicos de suplantación de identidad (Phishing) son ampliamente reconocidos como un vehículo común para la entrega de virus, aunque algunas empresas no educan a los empleados sobre qué buscar y cómo responder a un mensaje sospechoso.

Muchas empresas saben que los piratas informáticos constantemente encuentran y explotan las vulnerabilidades del software, por lo que los desarrolladores del software emiten parches tan pronto como se descubre cada nuevo "crack". Aun así, los parches, a menudo, no se aplican. También se sabe que las contraseñas son una puerta abierta a las infracciones de datos (según el Informe de Verizon 2017 sobre Incumplimiento de Datos, el 80% de las infracciones relacionadas con piratería aprovecharon las contraseñas robadas, débiles o intuitivas), aunque algunas organizaciones no establecen una política que requiera contraseñas seguras, cambiadas con frecuencia.

Es fácil suponer que el pirateo es algo que les sucede a otras personas ("Somos demasiado pequeños para atraer la atención de los piratas informáticos." "No tenemos ninguna información que valga la pena robar"), pero eso es el clásico pensar de "esconder la cabeza bajo la arena". Prácticamente cualquier organización que tenga datos está en riesgo, lo que significa que cada organización está en riesgo, salvo una en una isla pequeña y aislada que haya encontrado una manera de mantenerse fuera de la red.

Hace menos de un año, después de un ataque cibernético aún mayor que golpeó las redes de computadoras en todo el mundo, escribí una publicación de blog titulada "¿La cultura cibernética de su organización lo convierte en un fanático de Windows?" Escribí: "Es insondable para mí que tales ataques continúen teniendo éxito." En estos días, la perspectiva de un ataque cibernético debe estar continuamente en nuestro radar y las recomendaciones de auditoría interna cuando se encuentran vulnerabilidades deben ser escuchadas y recibir atención inmediata.

A medida que los empleados de Atlanta trabajan para rectificar una mala situación, lo menos que podemos hacer es tomar algunas lecciones de su experiencia:

  1. Instituya un modelo de defensa a profundidad en su organización. Asegúrese que todos conozcan sus responsabilidades y se adhieran a ellas.
  2. Asegure la experiencia o contrate a personas adecuadas para los equipos de auditoría interna y seguridad de la información y responda con prontitud a sus inquietudes y sus acciones de mitigación recomendadas.
  3. Aplique medidas de seguridad fundamentales, como parches, refuerzo de contraseñas, cifrado de datos y autenticación multifactorial.
  4. Enseñe a los empleados cómo reconocer y responder a los intentos de piratería.

Las organizaciones enfrentan riesgos suficientes para los cuales no tienen mecanismos de advertencia o defensa. El cibercrimen no necesita ser uno de ellos.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.