El modo en que las organizaciones interactúan con sus empleados, clientes o con otras organizaciones sufrió cambios de tal magnitud, en cuanto a su velocidad y características, que ha hecho repensar a quienes son los encargados de velar por los controles ante los nuevos riesgos que estas organizaciones enfrentan, en cómo pararse ante este nuevo escenario.

Teniendo en cuenta esta exposición que tienen los datos corporativos y recogiendo la información que surge de las distintas encuestas que se elaboran sobre los riesgos de la tecnología de información (TI), todas coinciden que el 91% de las empresas han experimentado por lo menos un evento de seguridad en los últimos 12 meses.

Entre esos eventos o amenazas registradas, encontramos como una de las mayores preocupaciones por aquellos que se encargan de la seguridad informática, a los malware o también llamados virus maliciosos. El 31% de estos ataques externos que se manifiestan como virus o spyware, resultaron en pérdidas de algún tipo de datos.

Se puede seguir hablando en términos técnicos de las distintas tipos de ataques y/o vías para poder acceder en forma indebida a los datos de una empresa u organización, pero uno de los eslabones de la cadena en términos de seguridad informática, sigue siendo el usuario final.

La frase, "la cadena es tan fuerte como el eslabón más débil", revela que podemos tener los mejores antivirus, los mejores firewall, pero si el usuario no está debidamente concientizado y capacitado en el cuidado de la información, no sólo informática, los datos de la organización van a ser más fácilmente vulnerados, ya que la seguridad en un 100% no está garantizada.

Aquel que lo haga le estará mintiendo.

Muchas de las amenazas antes mencionadas se utilizan de los usuarios incautos o con desconocimiento para acceder a los sistemas de las empresas mediante links en mails de propaganda o enviando programas "escondidos" en fotos o archivos de todo tipo que le son llamativos o atractivos.

¿Cómo actuar frente a esta realidad?

El desarrollo de las nuevas tecnologías y aplicaciones como cloud computing, redes sociales o dispositivos móviles generan la aparición de nuevos riesgos, para los cuales la actividad de auditoria interna y el auditor interno en particular debe tener una participación particular.

Encuestas sectoriales de la actividad, indican que menos del 50% de las áreas de auditoria interna participan en la identificación de los riesgos asociados al cloud o las redes sociales, y solamente el 5% tiene una participación significativa en estos campos.

El conocimiento de las nuevas tecnologías, será una de las capacidades exigidas al auditor interno que más crecerá en los próximos años, solamente por detrás del conocimiento relativo a la gestión de los riesgos.

La auditoría como una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización, respecto del cloud computing, deberá valorar en qué medida el proveedor externo abordará riesgos tales como el mantenimiento del sistema ante posibles fallas, la seguridad de la información sensible con el fin de evitar robos o accesos indebidos, o los aspectos legales en caso de tener el proveedor su servidores localizados en el exterior.

El desafío para el auditor interno ante las nuevas tecnologías es importante como su rol para contribuir a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.