Las funciones de auditoría y seguridad de la información interna deben desempeñar un papel complementario en el programa de seguridad de la información de una organización. La función de seguridad de la información debe centrarse en el diseño e implementación del plan de seguridad, mientras que la auditoría interna debe evaluar y evaluar el funcionamiento de los componentes del plan. 1 , 2 Sin embargo, en la práctica, la relación entre las dos funciones no siempre es positivo.
En su peor momento, la relación puede llegar a ser tan contradictorio que afecta la gobernabilidad efectiva, como se ejemplifica por uno los sistemas de información (SI) Manager: "... Ha sido un juego del gato y el ratón. Los auditores están tratando de ponerse de TI hacer algo y que está tratando de evitar que la auditoría se entere. " 3 En parte, esto puede reflejar la fricción general entre los valores contables y ES funciones. 4 Pero, también es probable que refleja la tensión que existe entre los la función de seguridad de la información y otros grupos orientadas al cumplimiento (por ejemplo, gestión de registros 5 ) dentro de la organización.
¿Qué causa la fricción entre la auditoría interna y las funciones de seguridad de la información? ¿Qué medidas puede tomar para mejorar la gestión de esa relación? ¿Cuáles son los beneficios, si los hubiere, de tener una mejor relación entre la auditoría interna y la seguridad de la información?
Un programa de investigación de varias etapas se realizó para responder a estas preguntas. En primer lugar, se realizaron entrevistas en profundidad a profesionales de la seguridad, tanto de auditoría y de información interna en cuatro organizaciones. 6Luego, se utilizaron los puntos de vista de esas entrevistas para diseñar dos estudios basados en encuestas. La primera encuesta recolectó datos de profesionales es a través de una variedad de industrias, 7 cuyos resultados son analizados aquí, y los demás datos recogidos de los auditores internos, cuyos resultados serán analizados en la parte 2. 8 Figura 1 muestra las características de los profesionales de la seguridad de la información que completaron la encuesta.
Factores que afectan a la Auditoría Interna de Seguridad de la Información Relación
La figura 2 ilustra los tres factores que los profesionales de seguridad de información describen los conductores como importantes de la calidad de la relación entre las funciones de auditoría y seguridad de la información interna:
- La percepción del rol de auditoría interna
- Las percepciones sobre el nivel de la auditoría interna de la experiencia en seguridad de información
- La frecuencia con que la auditoría interna revisa varios aspectos de la seguridad de la información
La importancia del nivel de percepción de la auditoría interna de la experiencia en seguridad de la información y la frecuencia de las revisiones de auditoría se ve corroborada en un estudio de seguimiento de la encuesta.
Rol de Auditoría Interna Percibida
En las entrevistas, los profesionales de seguridad de información indicaron que cómo los auditores internos se acercaron a la revisión de seguridad de la información afectó profundamente a la calidad de la relación. En un extremo, los auditores podrían ser percibidos como "la policía", que estaban fuera de atrapar errores, en el otro extremo, podrían ser vistos como consultores o asesores. No es sorprendente que los dos ejemplos tuvieron efectos muy diferentes sobre la calidad de la relación. Cuando los auditores eran vistos como "la policía", la relación era formal, reservado e incluso contradictorio, pero, cuando se percibieron los auditores más como asesores y consultores, la relación era más abierta y positiva. El último punto de vista ha sido claramente explicado por el gerente de seguridad de la información que proporcionó el comentario sobre el juego "del gato y el ratón", citado anteriormente, quien dijo: "Podemos aprovechar la experiencia y la posición de cada uno en la organización para hacer que las cosas sucedan. Muchas veces el departamento de TI tienden a ocultar las cosas casi de auditoría, ya que no quieren conseguir un ojo negro y nosotros no tenemos ese problema aquí tanto ... tenemos los mismos objetivos ". 9 Un sistemas de información profesional en otra institución expresado un comentario similar, diciendo: "[Nuestra relación es] excepcionalmente fuerte hasta el punto de que apenas hemos dado cuenta de que tenemos una relación de codependencia. Ha sido muy positivo. " 10 Estos comentarios positivos están relacionados con el tema de la confianza. A medida que el gerente de seguridad de información entrevistadas que habló de la relación típica "del gato y el ratón", dijo: "Confío en que [el auditor interno es] a no coger a nadie hacer nada. Está fuera de identificar y reducir los riesgos. " 11
En las entrevistas, los profesionales de seguridad de información indicaron que cómo los auditores internos se acercaron a la revisión de seguridad de la información afectó profundamente a la calidad de la relación. En un extremo, los auditores podrían ser percibidos como "la policía", que estaban fuera de atrapar errores, en el otro extremo, podrían ser vistos como consultores o asesores. No es sorprendente que los dos ejemplos tuvieron efectos muy diferentes sobre la calidad de la relación. Cuando los auditores eran vistos como "la policía", la relación era formal, reservado e incluso contradictorio, pero, cuando se percibieron los auditores más como asesores y consultores, la relación era más abierta y positiva. El último punto de vista ha sido claramente explicado por el gerente de seguridad de la información que proporcionó el comentario sobre el juego "del gato y el ratón", citado anteriormente, quien dijo: "Podemos aprovechar la experiencia y la posición de cada uno en la organización para hacer que las cosas sucedan. Muchas veces el departamento de TI tienden a ocultar las cosas casi de auditoría, ya que no quieren conseguir un ojo negro y nosotros no tenemos ese problema aquí tanto ... tenemos los mismos objetivos ". 9 Un sistemas de información profesional en otra institución expresado un comentario similar, diciendo: "[Nuestra relación es] excepcionalmente fuerte hasta el punto de que apenas hemos dado cuenta de que tenemos una relación de codependencia. Ha sido muy positivo. " 10 Estos comentarios positivos están relacionados con el tema de la confianza. A medida que el gerente de seguridad de información entrevistadas que habló de la relación típica "del gato y el ratón", dijo: "Confío en que [el auditor interno es] a no coger a nadie hacer nada. Está fuera de identificar y reducir los riesgos. " 11
Sin embargo, cuando se trata de construir una buena relación, los auditores deben tener cuidado de no poner en peligro su objetividad e independencia. Por otra parte, puede ser casi inevitable que cuando los auditores son los portadores de malas noticias en forma de resultados de la auditoría, que serán vistos como monitores de cumplimiento o "la policía". De hecho, los encuestados indicaron que ellos vieron los auditores internos ya que ambos monitores y asesores. En consecuencia, esto puede ser la razón de los resultados del estudio no encontraron una relación estadísticamente significativa entre la percepción de la función de la auditoría y la calidad de la relación-IT-a auditoría. Sin embargo, los datos de las entrevistas apoyan el argumento de que los auditores deben esforzarse para no ser percibidos como agentes del orden. 12 , 13
No es sorprendente que el factor clave puede ser la actitud de los jefes de ambas funciones. Como un director de seguridad de la información dijo: "... el auditor ejecutivo se lleva bien con nuestro vicepresidente de TI realmente bien, y ellos entienden-de nuevo, que no se limite a mirar una tarea, que ven la imagen completa. Eso es lo más importante desde el punto de vista de la fuerza de trabajo. Cuando ven que demostró en alto, así es como ellos hacen lo mismo. Ellos observan esto, y entonces saben que esa es la expectativa y es bastante fácil aquí. Gente pareja y sólo se llevan bien con el mismo objetivo en mente. Muestra. " 14
Para captar la opinión de los participantes en seguridad de la información "de la función de auditoría interna en sus organizaciones, se les pidió a los participantes a evaluar el papel de la auditoría interna en tres categorías como se muestra en la figura 3 .
 |  |
Como se indica en la figura 2 , los participantes no perciben el papel de la auditoría interna de afectar significativamente la relación general entre la seguridad informática y auditoría interna. Sin embargo, la percepción de la experiencia técnica de la auditoría interna tiene un impacto significativo en la calidad de la relación.
En las entrevistas, son los profesionales toman reiteradamente comentarios acerca de la importancia de los auditores internos que poseen conocimientos técnicos. Por ejemplo, uno de los entrevistados comentó: "De hecho, hemos sido muy afortunados de contratar a un auditor interno de TI muy competente, muy familiarizado con ITGC ... Eso ha sido realmente positiva. Y él es muy técnico, así que es una gran ventaja. Muchos auditores que he trabajado en el pasado no son tan técnico. Cuando [el auditor interno] se va de vacaciones, estoy seguro que me alegro de tenerlo de vuelta ". 15
Por el contrario, la información de jefe de seguridad (CISO) en otra institución donde la auditoría interna no tenía mucha habilidad técnica, dijo, "Los vemos y tenemos una muy buena relación de trabajo con la auditoría interna. Sin embargo, su enfoque es típicamente la auditoría de los procesos de negocio. Ya sabes, "se están haciendo las cosas justo en nómina?" Y "¿estamos manejando bonos de viaje ¿no? '" Aunque el CISO declaró que la relación fue positiva, el tenor general de la entrevista indicó que era realmente más de un caso de siendo no adversarial de colaboración.
Quienes respondieron a la encuesta corroboran la importancia de la auditoría interna que posee fuertes habilidades técnicas, en particular, el conocimiento sobre la seguridad de la información. El instrumento de la encuesta preguntó a los profesionales de seguridad de información si pensaban que los auditores internos en su organización eran "bien informados sobre la seguridad de la información" y si mantenían su "conocimiento sobre la seguridad de la información actual" (ver figura 4 ). Las puntuaciones más altas en estas dos preguntas se relacionaron significativamente con una visión más positiva sobre la calidad de la relación entre las dos funciones.
En su conjunto, las entrevistas y la encuesta indican claramente que la experiencia técnica de los auditores fomenta una buena relación con el auditado (seguridad de la información).
Frecuencia de Auditoría revisa de Seguridad de la Información
Es difícil desarrollar una buena relación si no hay interacción con bastante frecuencia. En el contexto de la relación entre las funciones de auditoría interna y la seguridad de la información, la forma más probable de interacción implica exámenes de auditoría.Sin embargo, los exámenes de auditoría de seguridad de la información se ven afectados por el nivel de auditoría interna de conocimientos técnicos, por lo que es difícil distinguir entre la frecuencia de la revisión y pericia factores en las entrevistas. Por ejemplo, el CISO anteriormente citado, que afirmó que no tenía una relación positiva con la auditoría interna, sino que se centran en los procesos de negocio (por ejemplo, la prevención del fraude), también indicó que no creía que los auditores internos en su organización poseían mucha experiencia técnica (y el auditor entrevistado en esa misma organización acordada).
Es difícil desarrollar una buena relación si no hay interacción con bastante frecuencia. En el contexto de la relación entre las funciones de auditoría interna y la seguridad de la información, la forma más probable de interacción implica exámenes de auditoría.Sin embargo, los exámenes de auditoría de seguridad de la información se ven afectados por el nivel de auditoría interna de conocimientos técnicos, por lo que es difícil distinguir entre la frecuencia de la revisión y pericia factores en las entrevistas. Por ejemplo, el CISO anteriormente citado, que afirmó que no tenía una relación positiva con la auditoría interna, sino que se centran en los procesos de negocio (por ejemplo, la prevención del fraude), también indicó que no creía que los auditores internos en su organización poseían mucha experiencia técnica (y el auditor entrevistado en esa misma organización acordada).
Además de preguntas sobre el nivel de la auditoría interna de la experiencia en seguridad de la información, el instrumento de la encuesta también hizo preguntas sobre la frecuencia de las revisiones de auditoría interna de ocho aspectos de la seguridad de la información ( figura 5 ).
La media y la mediana de las respuestas de todos los aspectos eran tres en una escala de uno a cinco, donde uno es "nada" y cinco en representación de "a menudo". Las respuestas variaron en todo el espectro. El análisis estadístico reveló que había una relación positiva significativa entre la frecuencia de las revisiones de auditoría de esas ocho áreas y la calidad general de la relación entre la seguridad de la información y las funciones de auditoría interna. Por lo tanto, la interacción más frecuente en la forma de exámenes de auditoría mejora la relación. Sin embargo, la media y la mediana de las puntuaciones indican que existe margen de mejora.
Beneficios de una buena relación entre la Auditoría Interna y Seguridad de la Información
Algunos de los factores que afectan a la relación entre la auditoría interna y las funciones de seguridad de la información se han discutido. Esos factores son claramente los elementos que se pueden mejorar mediante la acción gerencial, por ejemplo:
- Los líderes de ambas funciones pueden hacer un esfuerzo para desarrollar una relación positiva.
- Recursos adicionales pueden ser invertidos para aumentar los conocimientos técnicos de la auditoría interna en los asuntos relacionados con la seguridad de la información.
- Los aumentos en el presupuesto de auditoría pueden permitir los exámenes de auditoría más frecuentes de seguridad de la información.
Sin embargo, esas inversiones valen la pena sólo si la mejora de la calidad de la relación entre la auditoría interna y la seguridad de la información produce beneficios tangibles. Figura 2 indica que no-mejores relaciones mejoran las percepciones sobre el valor de la auditoría interna, así como la efectividad general de seguridad de la información.
La percepción de valor añadido de la auditoría interna
En las entrevistas, los profesionales de seguridad de información indicaron que existe una relación positiva mejoró su percepción sobre el valor añadido por la auditoría interna. Una razón es que los profesionales de seguridad de la información creen que una buena relación con la auditoría interna hace que sea más fácil para ellos para persuadir a los trabajadores y la gerencia para apoyar las iniciativas de seguridad de la información. Por ejemplo, un CISO declaró: "La relación con la auditoría interna ha] sido muy positivo ... un gran beneficio real para nosotros el logro de muchos de los objetivos que tenemos desde una perspectiva de seguridad de la información." 16 El CISO pasa a explicar que se siente él puede utilizar los resultados de la auditoría a su favor, "... y vamos a comenzar a reforzar la importancia del control de cambio. Y más importante aún, la importancia de la documentación completa en el marco del control de cambios para el despliegue de nuevos servicios, y vamos a reforzar la fuerza a través de los informes de auditoría interna "El gerente de seguridad de la información en otra organización describe los beneficios de una buena relación en la obtención. cumplimiento "Si estoy siendo la policía de red de TI, y tengo que conseguir [el auditor interno] y va allí con un traje y dice: 'He aquí por qué usted no quiere hacer esto,' simplemente suelen poner el rabo entre las piernas. " 17
La figura 6 muestra las preguntas utilizadas para evaluar la calidad de la relación entre la auditoría interna y la seguridad de la información. Al igual que con las otras preguntas de la encuesta, las respuestas iban desde muy en desacuerdo (1) a muy de acuerdo (5). Los encuestados mayores calificaron la calidad de la relación entre la auditoría interna y las funciones de seguridad de la información, más estaban de acuerdo con las preguntas sobre si el pensamiento profesional de la seguridad de información que los hallazgos de auditoría interna / informes proporcionaron información útil para la función de seguridad de la información y si la capacidad de auditoría interna para revisar la información estaba siendo utilizada en su totalidad.
 |  |
La figura 7 muestra las preguntas de los profesionales de seguridad de información para comprender sus percepciones sobre el valor añadido por la auditoría interna.
Efectividad Percibida de Seguridad de la Información
En las entrevistas, los profesionales de seguridad de información expresaron la creencia de que existe una relación positiva entre la auditoría interna y las funciones de seguridad de la información les permitió conseguir el apoyo y la influencia de la auditoría interna para las iniciativas de seguridad de la información. A su vez, la implementación de estas iniciativas podría mejorar la eficacia global de seguridad de la información de la organización. Por ejemplo, un mayor apoyo de la auditoría interna permitió un mejor control de gestión del cambio. 18 , 19 Los resultados de la encuesta de estudio corroboraron que la creencia en los beneficios de una relación positiva.
Se preguntó a los encuestados acerca de la tendencia (las preguntas se muestran en la figura 8 ) en los tres últimos años en el número de incidentes de seguridad de la información que, o bien las operaciones interrumpidas o resultaron en pérdidas financieras, el número de resultados de la auditoría que se relacionan con la seguridad de la información, y el general eficacia de los esfuerzos de seguridad de información de su organización.Los resultados mostraron que a mayor encuestado calificó la calidad de la relación entre la seguridad de la información y las funciones de auditoría interna, los más positivos de sus respuestas eran a esas tres medidas de resultado. Por lo tanto, los profesionales de seguridad de la información creen que una buena relación con la auditoría interna mejora la seguridad de la información de una organización.Conclusión
COBIT 5 se reconoce la importancia de la colaboración de funciones cruzadas para lograr una gobernanza eficaz y la gestión de TI de la empresa (GEIT). 20 , 21 En particular, las funciones de auditoría y seguridad de la información internos pueden trabajar sinérgicamente juntos para optimizar la eficacia global de seguridad de la información.
