Todos hemos sido testigos de que el Internet ha revolucionado la informática y las comunicaciones como ningún otro invento del siglo XX. La invención del telégrafo (1838), teléfono (1876), radio (1920), televisión (1927) y finalmente el computador (1981) sentó las bases, para alcanzar esta integración de funcionalidades. Por otro lado, en 1989 Sir Tim Berners-Lee crea la Wokd Wide Web, lo que hoy conocemos como la Internet, la cual se ha convertido en una herramienta de emisión mundial, un mecanismo que permite diseminar información y un medio para la colaboración empresarial y personal, así como para la interacción entre personas y sus computadoras, sin tener en cuenta su ubicación geográfica.

Como consecuencia de dicho invento, han emergido nuevos estilos de negocio, tales como:

• Nuevos modos de consumo.- Tal como lo indica Caride (2015) la interconexión permite obtener información en tiempo real que se ha convertido en una innovación en el mercado de consumo. Se ha creado el internet de las cosas que se encuentra no sólo en dispositivos móviles, sino en casas, automóviles, lavadoras y refrigeradores que ayudan a simplificar nuestras actividades diarias.
• Nuevos conceptos económicos. – Internet permite mejorar el nivel de vida, actualmente se dispone de aparatos electrónicos con dispositivos inteligentes que potencian las capacidades del ser humano, y permiten el mayor desarrollo profesional e industrial, por lo que, en los estudios de desarrollo económico, en los últimos años, se considera una variable de interés. Asimismo, debemos tener en cuenta que son las organizaciones eficientes, las que hacen buen uso de las TIC.
• Nuevos modelos de negocios. -Se han generado los siguientes modelos, que anteriormente no era posible imaginar, tales como:
  • Para Marketing
  • Modelos de negocio para bienes y servicios
  • Ofertas para intermediarios
  • Modelos de negocio basados en la Comunidad y el P2P
  • Otros modelos de negocio relacionados

En opinión de Cohen, De Lonh y Zysman (2000) concluyen que Internet, ha originado una disrupción sin precedentes en el mundo digital, cuyos efectos continuarán modificando los modelos de negocios actuales, y la forma en que se realiza la competencia y como resultado de ello se afecta su seguridad. Haltiwanger y Hamen (2000) opinan que la vigente economía digital afecta directamente a las organizaciones, en el proceso de toma de decisiones para establecer el tipo de estructura organizativa, de la definición de los mercados potenciales, de la definición de los precios de bienes y servicios y otros aspectos del mercado laboral como determinar: el número de empleados necesarios, la ubicación apropiada, el tamaño, y sus relaciones con otras entidades.

Participación de los Auditores  de Tecnología de Información

El personal de auditoría de Tecnología de Información tiene una relación adecuada con la gerencia que le permite asegurar que se comunique una opinión independiente al nivel de la junta directiva de la empresa. Históricamente, estas acciones se han centrado en labores de auditoría a los sistemas financieros, operativos y de información; sin embargo, la seguridad cibernética cada vez requiere más la atención del directorio, y el departamento de auditoría interna está desempeñando un papel vital. La función de auditoría interna proporciona pruebas de controles internos, cumplimiento de seguridad cibernética, aceptación formal de riesgos y apoyo para investigaciones y forenses.

Es imprescindible que la auditoría de tecnología de Información asuma un papel de liderazgo para determinar si una organización tiene un enfoque sistemático y disciplinado para evaluar y fortalecer la efectividad de la gestión del riesgo cibernético y determinar si las capacidades de seguridad cibernética apropiadas (personas, procesos y tecnología) dan protección contra las amenazas cibernéticas.

Según expertos en Ciberseguridad, esta es definida como la “Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”.

Para ello debemos tener muy claro el concepto de Activo de Información. Este se define como todo aquello que posea valor para la organización y por lo tanto debe estar constantemente protegido. En este grupo podemos incluir: Información física y digital, Software Hardware, Servicios de información. Servicios de Comunicaciones. Servicios de almacenamiento. Personas. Imagen.

Por ello, las organizaciones deben tomar medidas de seguridad en la información contra los diversos tipos de amenazas existentes, que les permita asegurar los siguientes aspectos:

• Permanencia del negocio,
• Disminuir el riesgo; y,
• Mejorar el retorno de los fondos invertidos y liderar los emprendimientos.

Existen documentación que apoya la necesidad de que los auditores de Tecnología de Información apliquen sus conocimientos para gestionar y comunicar los riesgos tecnológicos. Sin embargo, surgen nuevas amenazas al funcionamiento organizacional que incluye:

• El uso de funciones automatizadas permite incurrir en mayores pérdidas en un corto periodo de tiempo,
• Dependencia de terceros para salvaguardar los datos (cliente o empresa) y su reputación,
• Evolución de las estrategias de seguros que permitan ayudar los riesgos de transferencia.

A fin de que el Directorio de la organización pueda asignar Fondos y tiempo de gestión para mitigar nuevos riesgos que se presentan. Asimismo, los Gerentes y Auditores de tecnología de Información deben entender a qué nuevas amenazas se enfrentan y cuáles serán los costos en que se incurrirá para poder minimizarlas.

En su análisis de control interno, el Auditor de Tecnología de Información debe tener siempre presente el triángulo del fraude (Asociacion de Certificadores de Fraude , 2018) la misma que está constituida por los siguientes elementos:

• Incentivo/Presión. – Representa las oportunidades que tienen los empleados para obtener beneficios propios por actividades ilegales o por la existencia de una presión externa a ejecutar algún fraude que no será descubierto inmediatamente.
• Racionalización/Actitud. – Representa una justificación de ejecutar una actividad ilegal por imitación o falto de un valor ético de cada trabajador.
• – Situación en la que controles internos definidos, fallan por efecto de una adecuada asignación de funciones o colusión entre trabajadores.

Acciones de las empresas

La mayoría de las empresas medianas y grandes, cuentan con una organización interna y controles que les permite implementar tareas, actividades y medidas que se consideran como prácticas de “information security e information assurance” Sin embargo, son las  Pequeñas y Medianas Empresas  (en adelante PYMES, que el Perú representan más del 90% del total de empresas), que pese a que sus actividades involucran el uso intensivo de las TIC, no están en condiciones de implementar un sistema de ciberseguridad, esto es originado principalmente por falta de recursos humanos y financieros. El Perú cuenta con una legislación, que abarca a todos los sectores de la economía nacional y entidades como los ministerios; pero no dispone de una política común que refleje el ámbito nacional y estratégico de la ciberseguridad, por lo que podemos afirmar que nuestro país no ha definido aún una legislación específica y completa para aplicarse en el tema de la ciberseguridad.

Las responsabilidades de la custodia de los activos, la autorización de las transacciones, y registros de actividades se han utilizado tradicionalmente para asegurar que la información utilizada y reportado por la empresa era válida, completa y precisa. Lo mismo sucede en un entorno electrónico; las amenazas específicas a ese entorno, son diferentes y requieren una adaptación de las estrategias tradicionales de control interno.

Estas amenazas pueden incluir a las siguientes situaciones:

1. El uso de funciones automatizadas permite incurrir en mayores pérdidas en un corto periodo de tiempo,
2. Dependencia de terceros para salvaguardar los datos (cliente o empresa) y su reputación,
3. Evolución de las estrategias de seguros que permitan ayudar los riesgos de transferencia,

Estrategias empleadas por los Auditores de Tecnología de Información

Las herramientas utilizadas por los auditores de Tecnología de Información para comunicar los riesgos de seguridad cibernética y sus estrategias de mitigación, no son conocidas o no comprendidas. Por esa razón COSO encargó a la empresa Deloitte (Deloitte Touche LLP, 2015) la publicación de un documento de reflexión para proporcionar orientación sobre cómo el Control Interno – Marco Integrado y la gestión del riesgo empresarial – Marco Integrado que pueden ayudar a las organizaciones con eficacia y eficiencia a evaluar y gestionar en tiempos de la era cibernética. El documento de reflexión indicado sentó las bases para mirar a la ciberseguridad como una cuestión de gestión de riesgos que requiere el adecuado equilibrio de compensación y mitigación de los controles. Los beneficios de usar el enfoque COSO incluyen: objetivos, asunto de comunicación, tolerancia al riesgo, análisis de las deficiencias, y priorización en la corrección.

Los delitos informáticos también tienen que ser reconocidos por lo que realmente corresponde: un tipo de fraude. La Asociación de examinadores certificados de fraude (https://www.acfe.com/) encargo a las siguientes instituciones: The Institute of Internal Auditors (IIA), The American Institute of Certified Public Accountants (AICPA) y Association of Certified Fraud Examiner (ACFE) la elaboración de un documento que permita la definición contar con una definición adecuada del fraude la cual es: «todo acto u omisión intencional diseñada para engañar a los demás, lo que resulta en que la víctima sufre una pérdida y el autor lograr una ganancia» (IIA, AICPA y ACFE, 2008). Sobre la base de esta definición, los riesgos en ciberseguridad deben ser considerados en términos de tecnología, objetivos de negocios (incluyendo finanzas, prestación de servicios, adquisición de clientes y relaciones), y fraude; sin embargo, muchas evaluaciones continúan realizándose sólo para examinar e informar sobre las amenazas de ciberseguridad como si fueran una sola dimensión.

La primera y más importante estrategia en la gestión de riesgos en ciberseguridad, es asegurar que la organización entiende perfectamente cómo la tecnología facilita la consecución de sus objetivos de negocio y cuál es su tolerancia para sufrir pérdidas relacionadas con la tecnología. Para de esta manera asignar correctamente los fondos y el tiempo de gestión para mitigar el riesgo. Los ejecutivos y los miembros del directorio deben entender plenamente las amenazas que enfrentan y los costos en que se incurrirá.

La mayor parte de los requisitos normativos requieren que se realice una evaluación del riesgo. Aunque los procedimientos específicos no siempre se dan, la intención es proporcionar un mecanismo para que el negocio auto-evalúe sus estrategias de mitigación de riesgos.

Las auditorías pueden tomar muchas formas y tener enfoques diferentes con respecto a la seguridad cibernética. Diferentes aspectos del programa deben ser probados a través del tiempo. Para que los programas puedan estar en los estados iniciales de madurez, el enfoque debe estar centrado en garantizar que las políticas, procedimientos, normas y directrices son relevantes, aprobados por la administración y frecuentemente actualizados y revisados en respuesta a los cambios del negocio.

Conclusiones

Los objetivos de la auditoría deben estar alineados con las metas de ciberseguridad para lograr los mejores resultados de negocio. Hacer coincidir los objetivos del programa de seguridad cibernética con los objetivos de la auditoría aumentará el apoyo a la auditoría dentro de la administración de seguridad cibernética y viceversa.

Para tal efecto los auditores de tecnologías de información deben concentrarse en los siguientes temas: Estar en condiciones de identificar tipos específicos de ataques informáticos que enfrentan las organizaciones; Conocer las debilidades inherentes a las prácticas comerciales, la cultura, los sistemas informáticos de la organización; Colaborar en educar al Directorio y Gerencias de la organización sobre los Riesgo del negocio, Riesgo de datos, Activos críticos, Naturaleza del tráfico de red. Con la finalidad de incorporar en sus actividades la Prevención, detección y respuesta ante los Ciberdelitos definidos anteriormente.

De acuerdo con Riscco (2017) las principales amenazas serían:

• Incremento y sofisticación del Ransomware, para cobrar dinero como rescate por sus datos.
• Ataques Distribuidos de Denegación de Servicios (DDoS). Se espera que botnets como Rammit, Mirai, Dorkbot, entre otras, logren mayores ataques de negación de servicios basados en IoT.
• Tecnologías como criptografía, inteligencia sobre amenazas (threat intelligence) y https, serán utilizadas estratégicamente por los atacantes para violar los esquemas de seguridad.
• La publicidad engañosa (maladvertising) seguirá su incremento para atraer más víctimas.
• «Spear-phishing» más inteligente y más realista, menos sospechoso y más difícil de detectar.
• El Cibercrimen se enfocará en las PYME’s. Ataques como los de SWIFT han demostrado que las organizaciones medianas tienen menos recursos para establecer mecanismos de ciberdefensa.
• Los datos privados y las cuentas privilegiadas que son robadas se venden en la «deep web», muchas veces sin que las víctimas tengan conocimiento de que han sido atacadas.

La norma internacional ISO 27001 “Sistemas Gestión de la Seguridad de la Información” (SGSI), utilizada para la planificación de la Auditoría de Tecnología de Información (ATI), dispone que luego de obtener los resultados de anteriores auditorías, se debe identificar el nivel de importancia de cada proceso de la organización, así como también definir las áreas o departamentos que serán auditadas.

Por otro lado, con la finalidad de cubrir los aspectos de Ciberseguridad, las actividades de los auditores de Tecnología de Información deben incluir a las siguientes:

• Una Planificación Estratégica, donde deberá establecer la importancia de cada área de la entidad que será sometido a revisión y el grado de automatización e implementación de Tecnologías de Información a efecto de planificar, implantar y mantener uno o varios programas de auditoría que involucren la frecuencia de las actividades, métodos usados, responsabilidades de cada empleado, como requisito para la planificación y elaboración de informes.
• Una planificación detallada en la que queden definidos claramente los criterios y alcance para una de las actividades de la organización.
• La selección de los auditores de Tecnología de Información que van a intervenir en las auditorías sea en función al conocimiento de los sistemas existentes en la organización lo que permitirá asegurar la objetividad e imparcialidad en cada proceso de la ATI.
• Asegurase de que los informes de las evaluaciones de control, sean alcanzados a la dirección correspondiente y finalmente a la dirección de la organización.
• Toda la información y documentación que se evidenció deberá ser almacenada en Backup, la misma que servirá como evidencia de las observaciones que se plantearan en los Informes de la ATI.

REFERENCIAS BIBLIOGRAFICAS

Asociacion de Certificadores de Fraude . (15 de enero de 2018). Triangulo del Fraude. Obtenido de https://www.acfe-spain.com/recursos-contra-fraude/que-es-el-fraude/triangulo-del-fraude

Caride, I. (3 de Julio de 2015). Internet de las cosas: la nueva forma de consumo online. Febres (mexico). Obtenido de https://www.forbes.com.mx/internet-de-las-cosas-la-nueva-forma-de-consumo-online/

Cohen, S., De Long, B., & Zysman, J. (2000). Tools for thought: What is new and important about the E-conomy? Berkeley Roundtable on the International Economy (BRIE), Working Paper, 138.

Deloitte Touche LLP. (enero de 2015). COSO in the cyber age. Obtenido de COSO.org: https://aechile.cl/wp-content/uploads/2015/01/COSO-in-the-Cyber-Age_FULL_r11-11.pdf

Fojón, E., & Sanz, A. (2010). Ciberseguridad en España. Real Instituto Elcano, 1-8.

Guía de ciberseguridad para los países en desarrollo. (2007). Union Internacionale des telecommunications.

Haltiwanger, J., & Jarmen, R. S. (2000). Measuring suring the Digital Economy», en BRYNJOLFSSON,E.; KAHLN, B. (eds.) (2000):. Understanding the Digital Economy. MIT Press, 13-33.

IIA, AICPA y ACFE. (diciembre de 2008). Managing the Business Risk of Fraud: A Practical Guide. Obtenido de https://www.acfe.com/uploadedfiles/acfe_website/content/documents/managing-business-risk.pdf

Kosutic, D. (2012). Ciberseguridad en 9 pasos. Recuperado el 01 de agosto de 2016, de http://advisera.com/: http://www.iso27001standard.com/

RISCCO. (junio de 2017). Cibercrimen en Panamá: Cuando nadie es inmune…. Obtenido de Riscco: https://www.riscco.com/2017/06/cibercrimen-en-panama-cuando-nadie-es-inmune/

Dr. CPC Carlos Alberto Pastor Carrasco

Universidad Nacional Mayor de San Marcos

Lima,Perú

ORCID: 0000-0003-4206-1701

Correo Electrónico: cpastorc@unmsm.edu.pe