Entorno para la formacion de Auditores Informaticos y Evaluadores de Riesgos de TI


El estudio Report to the Nations publicado (2014) por ACFE - Association of Certified Fraud Examiners cada dos años, en mas de 140 países, revela que las organizaciones pierden en promedio 5% de sus ingresos totales anuales a causa de fraudes, el 95% de los casos de fraude están soportados por la informática. El 70% de los fraudes son internos. La perdida promedio es de US$ 140,000.

  
En general, las organizaciones publicas, privadas, sociales, etc., tienen una dependencia creciente de la información automatizada, lo cual ha presionado positivamente para lograr mejoras en la calidad de la información, y ha ratificado a la información en el centro de las estrategias y operaciones, pero al mismo tiempo la automatización expone a cada organización a nuevos riesgos y amenazas relacionados con la seguridad, confiabilidad e integridad de la información, haciendo necesario el continuo desarrollo y aplicación de nuevos y modernos enfoques de auditoría informática y evaluación de riesgos para detectar vulnerabilidades, riesgos tecnológicos, y para definir controles que fortalezcan a las organizaciones frente a esas amenazas.

Eso conduce a la necesidad de mejorar continuamente los conocimientos que los auditores informáticos, experimentados o iniciándose, tienen sobre estos modernos enfoques de auditoría informática y evaluación de riesgos.
Un Programa de Formación de Auditores Informáticos como el indicado junto al texto  provee la actualización profesional necesaria.
Es decir, debe contar con entregar conocimientos actualizados sobre riesgos integrales, riesgo operativo, riesgos tecnológicos, riesgos de seguridad de la información, delitos y fraudes, y adicionalmente todos los temas asociados con la implementación de controles efectivos para prevenir los diversos riesgos relacionados con la informática.

Quienes aplican para la formacion como Auditores Informaticos y Evaluadores de Riesgos ?

Quienes deberían buscar esta formación o actualización profesional?
Estas son las posibilidades (cualquiera de ellas aplica):
 
ü  Actuales administradores de Departamentos de Auditoria o Seguridad de la información, o personas que desean progresar en la carrera laboral hacia la Gerencia o Vicepresidencia de Auditoria, Riesgos o Seguridad en su empresa.

ü  Profesionales que desempeñan cargos de: Vicepresidentes, Gerentes, Jefes, Responsables de Auditoria o Seguridad de la Información, Auditores de Sistemas,  Especialistas de Riesgo Operativo, Analistas y Consultores Informáticos, quienes desean contar con conocimientos actualizados sobre los estándares y la evaluación de riesgos tecnológicos.

ü  Graduados Universitarios con Título de Tercer Nivel o egresados en las siguientes carreras: Ingeniería en Computación, Licenciatura en Sistemas, Análisis de Sistemas, Ingeniería Industrial, Estadística e Informática, Auditoría Informática, Masters en Sistemas de Información Gerencial, Masters en Seguridad Informática y demás carreras afines.

Total de Horas de Estudio en el Programa de formacion de Auditores Informaticos y Evaluadores de Riesgos

En el caso del programa indicado, el siguiente es un numero equilibrado de horas de preparación, distribuidos en las diferentes materias del programa:

  Módulo Duración
I Auditoría de la Administración de Riesgo Operativo y Control Interno basado en COSO ERM, COSO 2013,  Recomendaciones de Basilea y Estándar ISO 31000:2009 16 Horas
II Auditoría y Evaluación de Riesgos de Seguridad basados en normas de Seguridad de la Información ISO/IEC 27000  16 Horas
III Auditoría y Evaluación de Gobierno de TI usando las visiones de Cobit 5, Norma ISO 38500:2008, King III  24 Horas
IV Marco Jurídico y Delitos Informáticos 16 Horas
V Auditoría y Evaluación de Riesgos Tecnológicos sobre los Servicios Profesionales internos basados en ITIL versión 3 Update 2011, Norma ISO 20000:2011, Cobit 5 24 Horas
VI Auditoría de la Administración de Riesgo Integral basado en COSO ERM, Recomendaciones de Basilea y Estándar ISO 31000:2009 8 Horas
VII Auditoría y Evaluación de Riesgos sobre la Continuidad del Negocio y la Recuperación de Desastres Informáticos basados en normas BS 25999:2007, ISO 22301:2012, NIST, Cobit v5, ITIL 2011 Edition V3  24 Horas

Objetivos de la Formacion de Auditores Informaticos y Evaluadores de Riesgos de TI

OBJETIVOS GENERALES
  • Proporcionar al participante la base cognoscitiva necesaria para realizar la auditoría y evaluación estructurada y moderna de riesgos tecnológicos, basada en los últimos estándares y normas internacionales; así como de los sistemas de información, infraestructura, procedimientos informáticos, procesamiento de datos, operaciones de usuarios, gestión y estrategias de TI.
  • Entrenar al participante en el uso de las normas, estándares, modelos de control, técnicas, mejores prácticas y herramientas globales vigentes disponibles para auditar y evaluar los riesgos tecnológicos de los servicios y las tecnologías de la información, acorde con las necesidades organizacionales de los actuales tiempos.

OBJETIVOS ESPECIFICOS

·        Utilizar adecuadamente los modernos estándares, normas, modelos de control, técnicas, mejores prácticas y herramientas de auditoría y evaluación de riesgos tecnológicos vigentes, lo cual les permitirá obtener mejores resultados en el cumplimiento de sus responsabilidades en beneficio de las organizaciones para las que trabajan.
·        Realizar la auditoria y evaluación de riesgos tecnológicos en base a enfoques estructurados vigentes, lo cual reduce las pérdidas por el manejo no estructurado de incidentes, problemas y contingencias.
·        Auditar y evaluar los riesgos de las tecnologías de la información aplicando el marco jurídico correspondiente, lo cual también reduciría el riesgo legal para la organización.
 

Normas, Modelos, Marcos, Estandares aplicables para Auditoria Informatica y Evaluacion de Riesgos de TI


Paralelamente al crecimiento de la necesidad, en los últimos años hemos visto a nivel mundial el desarrollo y posicionamiento global de modelos, normas y estándares de control, y la promesa de nuevas versiones de estos, que están disponibles para que las organizaciones adopten mejores prácticas en sus sistemas de control interno, y que constituyen una herramienta poderosa para los auditores informáticos y los evaluadores de riesgos.  En la presente década nadie puede desconocer el valor de estas herramientas.  Entre estos modelos tenemos:


MODELO / NORMA / ESTANDAR
DESCRIPCION
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) / COSO-ERM
CREADO EN 1985.  Constituye en los últimos años el principal referente para la implementación y mejoramiento de la administración de los riesgos y del control interno en las actividades estratégicas, operativas, productivas, administrativas y financieras de las organizaciones.  Diversos gobiernos en América y el mundo han adoptado COSO como su modelo de referencia para mejorar el control interno en las organizaciones.  En Ecuador, la Superintendencia de Bancos y Seguros lo aplica en sus auditorías y lo exige a las instituciones controladas del sistema financiero mediante la resolución 834 sobre riesgo operativo.  COSO ha evolucionado a una moderna versión donde adopta un enfoque de administración de riesgos corporativos (Enterprise Risk Management.  COSO-ERM es aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial.
 
Estándar ISO 31000:2009
LIBERADO EN 2009.  Se ha posicionado en los recientes años en un importante referente para la administración de riesgos en las operaciones productivas, administrativas y financieras de las organizaciones.  Su enfoque de administración de riesgos lo vuelve aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial.
 
Control Objectives by Information related Technology (Cobit) Version 5
 
Primera versión generada en 1996. Desarrollado específicamente para el control y la gestión de la tecnología de la información, el modelo de control COBIT Integra y concilia normas existentes como: COSO, OECD (Organization for Economic Cooperation and Development), ISO     (International Standars Organization), NIST   (National Institute of Standars and Technology), DTI     (Departament of Trade and Industry of the U.K), ITSEC (Information Technology Security Evaluation Criteria - Europa), TCSEC (Trusted Computer Evaluatión Criteria - Orange Book- E.U), IIA SAC (Institute of Internal Auditors - Systems Auditability and Control), IS Auditing Standars   -Japón, Objetivos de Control emitidos por ISACA (EDPAA) -1992.  Todas estas normas regulan actividades y definiciones sobre seguridad informática, riesgos y controles informáticos y auditoria de sistemas.  Las últimas versiones de Cobit consideran un refuerzo a la gestión de sistemas a nivel de Gobierno Corporativo. A nivel mundial los auditores de sistemas de las cuatro principales firmas de auditoría globales (Price Waterhouse & Coopers, Deloitte & Touche, Ernst & Young, KMPG) usan Cobit como herramienta de auditoría informática.
 
ISO/IEC 27001:2005
ISO/IEC 27002:2005
ISO/IEC 27005:2008
 
 
 
Norma ISO (certificable a nivel global) que contempla las especificaciones para implementar en las organizaciones a nivel integral un Sistema de Gestión de la Seguridad de la Información, para proteger la integridad, confidencialidad y disponibilidad de la información donde quiera que esta se encuentre en la empresa, en cualquier forma que esté representada.  Incluye un catalogo de controles recomendados, basados en mejores prácticas obtenidos a partir de modelos existentes.  El posicionamiento de esta versión a nivel global se ha producido de manera generalizada, de tal modo que existen requerimientos permanentes para capacitación, consultoría y auditoria basadas en esta norma. En Ecuador al menos diez empresas ya han iniciado procesos de adopción de la norma para certificación, y muchas otras solo con la intención de aprovechar sus mejores prácticas.  Los auditores de la Superintendencia de Bancos y Seguros del Ecuador usan esta norma para sus auditorías de sistemas sobre las empresas controladas del sistema financiero ecuatoriano.  ISO está desarrollando, en los presentes años, complementarias normas y guías dentro de la familia 27000 para apoyar aun más el trabajo de las auditorias y evaluación de riesgos tecnológicos.  Una norma destacable es la ISO 27005:2008 para la evaluación de riesgos de la seguridad de la información.
 
Information Technology Infrastructure Library (ITIL) V3, Update 2011.
ISO/IEC 20000:2011
 
Compendio de mejores prácticas desarrolladas a fines de los 80s (primera versión) con el apoyo del gobierno británico, establecido como un estándar de facto a nivel europeo hasta que en los últimos años, con la comprensión de que fue considerado como una fuente relevante para el desarrollo de las últimas versiones de Cobit, ISO/IEC 27001, su fama trascendió a nivel global, y hoy ha surgido una tendencia fuerte en América de adoptarlo para cubrir aspectos relacionados con la prestación de servicios informáticos dentro del departamento de sistemas de las organizaciones.  Su versión 3, actualización 2011, contempla una visión más amplia sobre la gestión de servicios combinando enfoques de calidad total, servicio al cliente, entre otros aspectos ligados a la productividad.  La norma ISO 20000, que contempla un modelo de gestión de servicios de TI, permite a las organizaciones certificar su departamento de TI con respecto a la gestión de servicios.
 
ISO/IEC 22301:2012,
Estándar británico BS 25999 parte 1 y 2.
Compendio de mejores prácticas sobre la gestión de la continuidad del negocio, reconocidas como un estándar de facto a nivel europeo hasta que en los últimos años, con la liberación de la norma 22301 por parte de ISO, su aceptación se consolido a nivel global.
 
Resolución No. JB-2005-834 de 20 de octubre del 2005)
 sobre la gestión de Riesgo Operativo, y resoluciones recientes sobre seguridad de la información.
Resolución de 19 páginas y 146 controles emitida por la Superintendencia de Bancos y Seguros del Ecuador como una obligación para que las instituciones controladas del sistema financiero ecuatoriano implementen controles y mejores prácticas con respecto a su gestión sobre las tecnologías de la información, planificación de contingencias sobre la continuidad del negocio, procesos, personas y eventos externos.  Basada en recomendaciones del Comité de Supervisión Bancaria de Basilea en Suiza, esta resolución no es obligatoria para los otros sectores empresariales, pero su redacción es tan genérica que puede ser tomada tal cual por las otras entidades reguladoras del país para cada empresa controlada en su sector.  Las organizaciones obligadas a cumplirla buscan continuamente profesionales con experiencia y conocimientos en auditoria informática y evaluación de riesgos tecnológicos con conocimientos sobre riesgo operativo, tal cual hace la misma Superintendencia en su reclutamiento de profesionales para completar su área de auditoría a las empresas controladas. En los últimos años han surgido resoluciones separadas con referencias directas a exigencias sobre controles para la seguridad de la información y riesgos tecnológicos.
 


Referencias Bibliograficas y Videos Relacionados

Jorge E.Olaya T., Ph.D.

Experiencia:  Más de 22 años de experiencia en el liderazgo y ejecución de servicios de consultoría y auditoría, en la gerencia de proyectos de varios millones de dólares, y en ventas de productos y servicios, en más de 82 empresas de todos los tamaños, tanto públicas como privadas, en Ecuador, Costa Rica y Perú.  Durante muchos años: evaluación anual de la gestión informática y riesgos operacionales en más de 25 empresas del sistema financiero en diez provincias, en varios países.  Implementación de ITIL /Cobit, ISO27001, BS 25999, COSO ERM, en más de 16 empresas.    Más de 13 años de experiencia en el dictado de clases de Maestría, Diplomado y pregrado en Universidades prestigiosas de Guayaquil, Quito y Loja, y en el dictado de seminarios a empresas, y al público, en temas relacionados con Planificación Estratégica Corporativa, Gobierno Corporativo,  Planificación Estratégica de Sistemas de Información/Tecnología Informática/Comunicaciones, Gerencia de Proyectos, Riesgo Operacional, Planificación de Contingencias y Continuidad del Negocio, Seguridad de la Información, Auditoría de Sistemas, Prevención de Fraudes, Auditoría Forense, Elaboración de Planes de Negocio, Transformación de Procesos, Desarrollo Gerencial, Administración de Centros de Cómputo, Calidad, ISO 27002:2013, ISO 27001:2013, Cobit Versión 5, ITIL 2011 Edition V3, ISO 20000:2011, BS 25999:2007, ISO 22301:2012, ISO 27005:2011, ISO 9001:2008, ISO 38500:2008, Negociación y Manejo de Conflictos, Microsoft Project Avanzado, entre otros temas de actualidad.  


Capacitación Especializada: En diferentes países: Suecia, Canadá, Estados Unidos, México, Chile, Panamá, Colombia, Uruguay, Perú y Ecuador.

Formación Académica:
  • Doctorado (PhD.) en Calidad Total en Newport Internacional University, USA.
  • Master of Business Administration en la Universidad de Québec en Montreal, Canadá.
  • Programa/Diplomado ASDI de Administración de Riesgos Bancarios y Gobierno Corporativo, Suecia/México.
  • Magíster en Administración de Empresas – ESPOL.
  • Licenciado de Sistemas de Información –ESPOL.