sobre la mesa - redseguridad.com desayuno... · Seguridad y del Gobierno de TI. En este último...

especial24 red seguridad marzo 2010

auditoríasobre la mesa

La auditoría de sistemas de informa-ción se orienta fundamentalmente a asegurar que existen los medios para que una empresa alcance la exce-lencia en sus procesos informáticos y verificar que estos se aplican de manera efectiva. El auditor mantiene su independencia como un elemento de control, que en última instancia ser-virá a la alta dirección para maximizar resultados. Cuando una auditoría se desarrolla en ‘casa’, los profesionales deben enfrentarse a problemáticas de distinta índole, precisamente las que pusieron de relieve los invitados del último desayuno institucional organi-zado por RED SEGURIDAD.

El encuentro estuvo patrocinado por ISACA, Capítulo de Madrid y contó con la participación de audito-

Tx: Ángel Gallego.Ft: Miguel Ángel Benedicto.

Si una cuestión es cierta en Tecnologías de la Información es que el riesgo existe y su análisis y control es prioritario, sobre todo si hablamos de grandes organizaciones. Al auditor compete supervisar que se toman las salvaguardas correctas, de acuerdo a las buenas prácticas y los estándares promovidos por asociaciones como ISACA (Information Systems Audit and Control Association), que avalan la independencia de la profesión.

El auge de la auditoría interna como potenciadora del negocio

res internos de entidades tan impor-tantes como BBVA, Endesa, Grupo Telecinco, Liberty Seguros, Repsol-YPF, Sacyr Vallehermoso y Telefónica. En esta ocasión, el debate estuvo moderado por la subdirectora de RED SEGURIDAD, Mercedes Oriol.

“Es importante mantener este tipo de encuentros, especialmente en auditoría interna. Es la mejor forma de estar en contacto con la realidad del entorno y ver hacia dónde van nues-tras organizaciones, privadas y públi-cas”. Con estos términos dio el pis-toletazo de salida al debate Alejandro Rembado, en calidad de presidente de ISACA, Capítulo de Madrid. “Esta materia tiene cada vez una relevancia mayor. Los sistemas de información son cada vez más complejos, están dentro de nuestra vida, de modo que la tecnología tiene que ser cada vez más segura y confiable…”, añadió.

El presidente de ISACA realizó un completo repaso sobre la trayectoria de la asociación, que en 2009 cum-plió 40 años, desde que fue fundada en Chicago: “El asunto era el control del dato, que fuese fiable y no altera-ble. Sobre eso se concentraban. Lo principal era que ese dato estuviera bien guardado, por lo que era muy importante la seguridad física del centro de computación. La seguridad lógica estaba en un segundo plano, pero ese concepto ha evolucionado”.

Integración en la empresaEn opinión de Rembado, la auditoría está enfocada al buen gobierno de los sistemas y al control del riesgo en TI. Lejos queda la originaria y escueta auditoría de cuentas de los años 60. ISACA no sólo es garante de independencia, su misión va más allá: promover las buenas prácticas

En la imagen, de izquierda a derecha: José Manuel Vidal, de BBVA; Ángel Gallego, de RED SEGURIDAD; María José Carmona, de Grupo Telecinco; Azucena Díez, de Sacyr Vallehermoso; Fernando Hervada, de Endesa; Erik de Pablo, de Repsol-YPF; Alejandro Rembado, presidente de ISACA Capítulo de Madrid; Pedro del Blanco, de Liberty Seguros; Ana Borredá y Mercedes Oriol, directora y subdirectora de RED SEGURIDAD, respectivamente.

Desayuno institucional con el patrocinio de:



La auditoría de sistemas de informa-ción se orienta fundamentalmente a asegurar que existen los medios para que una empresa alcance la exce-lencia en sus procesos informáticos y verificar que estos se aplican de manera efectiva. El auditor mantiene su independencia como un elemento de control, que en última instancia ser-virá a la alta dirección para maximizar resultados. Cuando una auditoría se desarrolla en ‘casa’, los profesionales deben enfrentarse a problemáticas de distinta índole, precisamente las que pusieron de relieve los invitados del último desayuno institucional organi-zado por RED SEGURIDAD.

El encuentro estuvo patrocinado por ISACA, Capítulo de Madrid y contó con la participación de audito-

Tx: Ángel Gallego.Ft: Miguel Ángel Benedicto.

Si una cuestión es cierta en Tecnologías de la Información es que el riesgo existe y su análisis y control es prioritario, sobre todo si hablamos de grandes organizaciones. Al auditor compete supervisar que se toman las salvaguardas correctas, de acuerdo a las buenas prácticas y los estándares promovidos por asociaciones como ISACA (Information Systems Audit and Control Association), que avalan la independencia de la profesión.

El auge de la auditoría interna como potenciadora del negocio

res internos de entidades tan impor-tantes como BBVA, Endesa, Grupo Telecinco, Liberty Seguros, Repsol-YPF, Sacyr Vallehermoso y Telefónica. En esta ocasión, el debate estuvo moderado por la subdirectora de RED SEGURIDAD, Mercedes Oriol.

“Es importante mantener este tipo de encuentros, especialmente en auditoría interna. Es la mejor forma de estar en contacto con la realidad del entorno y ver hacia dónde van nues-tras organizaciones, privadas y públi-cas”. Con estos términos dio el pis-toletazo de salida al debate Alejandro Rembado, en calidad de presidente de ISACA, Capítulo de Madrid. “Esta materia tiene cada vez una relevancia mayor. Los sistemas de información son cada vez más complejos, están dentro de nuestra vida, de modo que la tecnología tiene que ser cada vez más segura y confiable…”, añadió.

El presidente de ISACA realizó un completo repaso sobre la trayectoria de la asociación, que en 2009 cum-plió 40 años, desde que fue fundada en Chicago: “El asunto era el control del dato, que fuese fiable y no altera-ble. Sobre eso se concentraban. Lo principal era que ese dato estuviera bien guardado, por lo que era muy importante la seguridad física del centro de computación. La seguridad lógica estaba en un segundo plano, pero ese concepto ha evolucionado”.

Integración en la empresaEn opinión de Rembado, la auditoría está enfocada al buen gobierno de los sistemas y al control del riesgo en TI. Lejos queda la originaria y escueta auditoría de cuentas de los años 60. ISACA no sólo es garante de independencia, su misión va más allá: promover las buenas prácticas

En la imagen, de izquierda a derecha: José Manuel Vidal, de BBVA; Ángel Gallego, de RED SEGURIDAD; María José Carmona, de Grupo Telecinco; Azucena Díez, de Sacyr Vallehermoso; Fernando Hervada, de Endesa; Erik de Pablo, de Repsol-YPF; Alejandro Rembado, presidente de ISACA Capítulo de Madrid; Pedro del Blanco, de Liberty Seguros; Ana Borredá y Mercedes Oriol, directora y subdirectora de RED SEGURIDAD, respectivamente.

Desayuno institucional con el patrocinio de: red seguridad marzo 2010 25especial

auditoría sobre la mesa

internacionalmente y certificar la pre-paración continua de sus asociados.

Azucena Díez lleva dos años ejer-ciendo como gerente de Auditoría Interna de Sacyr Vallehermoso y reco-noce que precisan apoyos externos (informáticos e ingenieros de teleco-municaciones) para asegurar el cum-plimiento regulatorio, debido a su perfil de finanzas, como ocurre a un ele-vado porcentaje de auditores. “Nos centramos en que los usuarios no pue-dan acceder ni modificar determinados datos de carácter financiero. Todas las divisiones del grupo 'corren' en SAP y los accesos y conexiones es lo que más estamos revisando. Reportamos a la dirección del grupo y hacemos seguimiento para subsanar inciden-cias. La responsabilidad de cada pro-fesional de la organización debe estar bien definida en cuanto a funciones y responsabilidades”, señaló Díez.

Por su parte, Erik de Pablo, director de Auditoría de Sistemas de Repsol-YPF, recordó que como actividad independiente su profesión es relati-vamente nueva y a menudo “incom-prendida” por la dirección. En este sentido, apuntó que la necesidad de evaluar las TI ha conseguido apoyos a medida que los sistemas han adqui-rido más peso en la organización. "Existe incomprensión en la compañía y si ven que nuestra actividad no está conectada a procesos de negocio, no la valoran. Como auditores tenemos claro lo que nos corresponde hacer, pero no es fácil comunicarlo a la orga-nización, explicarles en qué invertimos nuestras horas...”, apuntó De Pablo.

En Repsol-YPF una cuarta parte de las horas de trabajo del departamento de Auditoría se dedica al control del negocio, pero el resto del tiempo, el dedicado a la supervisión de sistemas no está siendo entendido en todas las organizaciones españolas, atendiendo a Erik de Pablo. No obstante, el auditor reconoce que la actividad está cre-ciendo: “Tenemos dos grupos de audi-toría, en Argentina y en España, más del 50 por ciento es CISA (Certified Information Systems Auditor), algunos sabemos de sistemas de información y aprendemos metodología, y viceversa. Es una mezcla equilibrada”.

José Manuel Vidal, director de Auditoría TI de BBVA, abordó la organi-zación de su compañía en este ámbito: “Somos más de 700 profesionales de


La presencia de la Information Systems Audit and Control Association (ISACA) en España comienza en 1987, como consecuencia de la concurrencia de voluntades personales y asociativas: dos auditores internos informáticos contactan con el Consejo General de Colegios de Economistas de España (CGCEE) que proyectaba la creación de un capí-tulo de la entonces EDPAA (hoy ISACA). Como fruto de estos contactos y la adhesión al proyecto de la Asociación de Licenciados en Informática (ALI), se crea la Organización de Auditoría Informática (OAI) y se solicita a ISACA la constitución del capítulo español. La OAI nace como un órgano dependiente del CGCEE y de la ALI, que designaban a su Junta Directiva. En diciembre de 1987, ISACA concede el primer capítulo 112 en España de esta Asociación.

Desde ese momento hasta la actual Asociación de Auditores de Sistemas de Información (ASIA), capítulo 183 de ISACA, hay un largo camino de apoyo económico y esfuerzos de las entidades patrocinadoras, para difundir esta profesión de auditor de SI, pero también de muchos profesionales, que a título personal, dedicaron mucho tiempo y energía a este objetivo, y a la difusión de las certificaciones profesionales de ISACA. No eran tiempos fáciles: la repercusión de esta profesión estaba limitada a grandes entidades.

La OAI participó en múltiples foros a nivel nacional e internacional (en 1989 recibió una mención especial de ISACA por su crecimiento), pero su logro más importante fue, quizás, formar y congregar a los profesio-nales interesados en la auditoría de sistemas de información, en España. De hecho en el período 1989-2001, ISACA concedió dos capítulos: Barcelona y Valencia.

En 2002, se constituyó ASIA (Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnología de la Información y Comunicaciones), inscribiéndose sus estatutos, para posteriormente, solicitar la concesión de un nuevo capítulo a ISACA. ASIA realizó múltiples actos de difusión (entre ellos, junto con la Universidad de Castilla La Mancha, la celebración en un acto de la primera década de protección de datos en España), e impartió formación.

En marzo de 2004, ISACA concedió a ASIA, la condición de Capítulo de Madrid (183). ASIA ha tomado desde esa fecha el relevo generacio-nal, apoyando la difusión no sólo ya de la Auditoría, sino también de la Seguridad y del Gobierno de TI. En este último tiempo, el Capítulo madrile-ño ha desarrollado diversas actividades tales como la publicación de tres libros sobre la profesión, formación sobre riesgos, seguridad, auditoría y gobierno de sistemas, realización de jornadas profesionales, creación de grupos de estudio sobre diversos temas (Gobierno de TI, Normativas, etc.), dictado de charlas técnicas y participación en estudios sobre la auditoría TI para España y Europa. Todas estas acciones, junto con otras han permitido el desarrollo y actualización de los profesionales en Madrid. Desde 2008, ASIA se identifica bajo el nombre de ISACA Madrid.

En España se superan los 1.500 asociados a ISACA entre sus tres capítulos: Barcelona, Valencia y Madrid, que es el mayoritario, y con 1.070 asociados (más de 500 son CISA) es el cuarto capítulo de Europa y el 25º a nivel mundial.

ISACA supera en España los 1.500 asociados


26 red seguridad marzo 2010 especial

auditoría interna, de los cuales 110 son de sistemas, con presencia en ocho países: España es el primero, con 40 personas; 15, en Estados Unidos; y el resto en México, Chile, etc. Yo soy el responsable de Auditoría de Sistemas en Europa; y en cuanto a perfiles, el 50 por ciento es ingeniero informá-tico; el 21 por ciento, ingenieros de Telecomunicaciones, un 10 por ciento son ingenieros industriales y el resto, matemáticos, economistas, etc.".

Vidal lleva auditando sistemas desde 1996 y apuntó que hasta finales de los 80 no se implantaron en banca estas prácticas. “Se inició como apoyo al auditor financiero porque le preocu-paba el dato, cuadrar correctamente los datos de los papeles. Evolucionó hacia tareas más técnicas y controles generales tecnológicos”.

La profesión evolucionó, en el caso particular del BBVA: “Nuestro paso siguiente fue analizar los procesos para ver si se estaban utilizando bien las distintas aplicaciones. En los últi-mos años estamos aunando el tra-bajo de tecnólogos y financieros, lo cual supone un valor añadido más alto, derivado de unas auditorías más integrales". La aportación de la audi-

llama, no somos la parte querida de la organización y aún así tenemos que desarrollar bien nuestra tarea”.

Fernando Hervada, por su parte, explicó que la auditoría interna se implantó en Endesa en 1975, mien-tras que la de sistemas lo hizo en 2002. El departamento que él dirige está compuesto por unas 12 perso-

nas. “Buscamos ingenieros informáti-cos y con experiencia en consultoría, que conozcan los sistemas. Nosotros les facilitamos la formación en audi-toría si no la tienen”, actualmente la mayoría son CISA y CIA (Certified Internal Auditor).

Ser auditor es una experiencia atrac-tiva, manifestó Fernando Hervada. "Los becarios son los que más disfru-tan porque en la universidad no cono-cen estas prácticas. La relevancia de su trabajo repercute directamente en los órganos de gobierno de una compañía, y les encanta, porque des-pués de la beca buscan este tipo de empleo”, apuntó.

Por su parte, Telefónica cuenta actualmente con 62 auditores infor-máticos, la mayoría CIA y en España prácticamente todos están certificados por ISACA Internacional. “Trabajamos

toría TI al negocio es incuestiona-ble porque “la calidad de nuestro producto, que no es tecnología, se ve beneficiada”, añadió José Manuel Vidal, que presidió ISACA hace dos años, motivo que explica que el 75 por ciento de los auditores de siste-mas del banco español posean CISA y CISM (Certified Information Security Manager). “Lo que buscamos en un auditor es un 33 por ciento de conoci-mientos de auditoría, un 33 por ciento de conocimientos técnicos y financie-ros y el otro 33 por ciento restante, habilidades”, puntualizó.

Para Pedro del Blanco, manager de Auditoría Interna de Liberty Seguros, “la tecnología es una prioridad, una venta-ja competitiva y nos ayuda a mejorar en transparencia de información y agi-lidad de trámites, por ejemplo”.

Cada vez se utilizan tecnologías más avanzadas y los controles del propio negocio están cada vez más presentes dentro de los procesos, según Del Blanco. “No podemos dejar de estar atentos a la tecnología y aportar valor. Nuestra visión es inte-gral: completar la auditoría de nego-cio con la de sistemas”, sostiene. El equipo de Auditoría Interna de Liberty Seguros cuenta con una experiencia media de diez años y está com-puesto por seis personas: Joseba Rodríguez, director; un gerente, Pedro del Blanco; y cuatro senior. Todos los profesionales cuentan con formación económica y con experiencia en mul-tinacionales, y además tratan de com-plementar esa formación con certifi-cación CISA. “Nuestro valor añadido es que siempre estamos orientados a mejorar”, indicó Pedro del Blanco, que mostró su acuerdo con la visión de José Manuel Vidal respecto a las habilidades precisas para cualquier auditor: “Es fundamental la capacidad de innovación, no conformarse con "el sota, caballo y rey".

El director de Auditoría de Sistemas de la Información de Endesa, Fernando Hervada, hizo hincapié en la comple-jidad que implica la auditoría a la hora de entramar relaciones empresariales: “Nuestro trabajo también es moles-tarles (a los responsables de negocio) porque necesitamos de su tiempo e información para desarrollar nuestro trabajo. Una de nuestras misiones es enseñar a nuestros equipos a ges-tionar esa relación porque nadie nos


María José CarmonaResponsable de Auditoría Informática y Seguridad de GRUPO TELECINCO

"Es fundamental estar al día en las tecnologías aplicadas a la empresa, como las redes sociales"

Alejandro RembadoPresidente de ISACA

"Somos un elemento importante para transmitir una cuestión cultural: que los empleados asuman el control como propio"



con metodología única, que se va alimentando con las aportaciones de la asociación y tenemos un plan de trabajo adecuado entre corporación y unidades locales, con trabajos trans-versales, que redunda en mejoras necesarias para la organización”.

Perfil profesionalVolviendo a la materia sobre el perfil del auditor, Alejandro Rembado reconoció que es complejo porque “requiere de habilidades para poder comunicar de la forma más adecuada al resto la importancia del trabajo realizado o la responsabilidad sobre cada acción”. Para el presidente de ISACA no sirve tener sólo profesionales técnicos bri-llantes que no sepan comunicar o quienes no sepan vincular trabajo téc-nico con funcionalidades de negocio. En este sentido, el perfil profesional del auditor de TI existe en el mercado, por lo que quizá el mayor reto para las organizaciones es fomentar la forma-ción interna para dotarse de auditores con el citado perfil.

Asimismo, María José Carmona, responsable de Auditoría Informática y Seguridad de Grupo Telecinco, en línea con otras exposiciones de la mesa, argumentó que este departa-mento es muy reciente en su orga-

de sistemas se fue perfilando desde 1990. A partir del año 2000 se con-forma la estructura actual del grupo, al tiempo que la auditoría corporativa y, dentro de ésta, la función de sis-temas de información. “Represento a una dirección corporativa con 14 unidades a nivel local, que cubren la totalidad de los países donde tene-mos actividad importante. El desa-rrollo ha sido semejante al que han comentado los colegas, tanto en número de profesionales como en el alcance de nuestra actividad propia de trabajo”, puntualizó.

Ingenieros de Telecomunicaciones, Informática y economistas compo-nen este equipo en Telefónica, que cuenta con un grupo especializado en el control de todos los recursos y una de sus tareas es el crecimiento y desarrollo de cada profesional dentro de la organización, buscando sus for-talezas y debilidades, tratando de que cada auditor interno tenga una noción más amplia de la profesión.

MetodologíaLa metodología es un aspecto primor-dial en cada auditoría y así lo entiende el portavoz de Liberty Seguros. Ante la circunstancia de analizar los riesgos, “determinamos el alcance y objetivos del trabajo, intentando destinar nues-tros recursos a las áreas más críticas. Necesitamos evidencias confiables y suficientes”, aseveró Del Blanco.

La subdirectora de RED SEGURIDAD, Mercedes Oriol, con-sultó a los invitados si su metodología obedece a la experiencia propia o si

nización (desde 2006). Actualmente depende del departamento general de Auditoría Interna y reportan al Consejo de Administración. “Somos en la actualidad tres CIA y un CISA. Generalmente auditamos procesos, es el 80 por ciento de nuestro traba-jo, en el que apoyamos a la auditoría financiera. Después hay otras labores de auditoría más específicas como las informáticas y sobre cumplimien-to de protección de datos”, asegura. El aprendizaje debe ser constante, en opinión de Carmona, “es funda-mental en esta profesión estar al día en todas las tecnologías aplicadas a la empresa, como ocurre hoy con las redes sociales y saber cómo impac-tan en el negocio”.

Por su parte, el portavoz de Endesa expresó que algunas normativas como la de protección de datos han impul-sado de forma decisiva la auditoría, pero no es el único factor. Más aún ha contribuido la utilidad de optimizar las cantidades de dinero que se invierten: “Existen riesgos de TI que somos expertos en evaluar”. En lo que se refiere a independencia profesional, Hervada estima que es muy impor-tante transmitir dos cosas: “En audi-toría no hay tolerancia al fallo, hay que plasmarlo sobre calidad y exactitud. En segundo lugar, está la ética, un valor que exigimos porque trabajamos con información confidencial”.

Alejandro Rembado intervino, esta vez como director de Auditoría Corporativa TI de Telefónica, para dibujar la experiencia y trayectoria de su compañía, donde la auditoría


Fernando HervadaDirector de Auditoría de Sistemas de ENDESA

"En auditoría no haytolerancia al fallo, hay que plasmarlo sobre calidad y exactitud y, en segundo lugar, está la ética"

Todos los auditores presentes compartieron su visión acerca de lo difícil que les resulta hacer valer su aportación frente a los órganos de dirección.



se guían con las recomendaciones de ISACA. En el caso de la aseguradora, Pedro del Blanco subrayó dos aspec-tos: “Cuando diferenciamos entre las distintas auditorías para el plan anual, sistemas de información ocupa sólo un porcentaje de las horas porque no somos especialistas, sólo tenemos un CISA, trabajamos con colabora-dores externos. En la definición, ellos hacen trabajos más específicos como en los análisis de riesgos en la Web o control de vulnerabilidades porque nosotros no tenemos ese background. Sin embargo, no apreciamos muchas diferencias en el plano metodológico entre una auditoría de negocio y otra de sistemas”, concluye.

En el caso de Grupo Telecinco: “Revisamos en primer lugar los ries-gos, pero la metodología que utili-zamos no siempre es la misma. Por ejemplo, utilizamos CobIT (Control Objectives for Information and related Technology), para sistemas concre-tos, así como las guías internaciona-les. Respecto a los procesos automa-tizados, Carmona comentó que no tienen demasiados, sólo el sistema de gestión de riesgos.

En Endesa, la evaluación de ries-gos también es prioritaria: “Una vez que aterrizas y decides tu plan, vas claramente a las fuentes, bien sea un problema con la Web o para el seguimiento de un servidor IBM 3090. Te basas en ITIL, en ISO y vas a las metodologías que hablan de ese proceso específico que vas a auditar. Procuramos mantenernos actualiza-dos sobre las guías y diseñamos las pruebas con suficiente tiempo y en base a buenas prácticas”, manifestó Fernando Hervada.

áreas: accesos a los sistemas, que son muy críticos; seguridad de la tar-jeta de crédito, cómo se gestionan los datos de nuestros clientes. Se revisan procesos internos y también externos porque es desde donde nos viene la mayor partida de fraude. LOPD, en tercer lugar, también la externalizamos y, por último el mundo de Internet”, apuntó Vidal.

Confianza en estándaresEn lo que respecta a metodología en Repsol-YPF, CobIT es el estándar utilizado para establecer un plan anual y sus plazos de trabajo con un enfoque coherente, según argumen-tó Erik de Pablo, que califica dicho estándar como “una herramienta extraordinaria de gestión”.

En función de este mapa, De Pablo asegura que su principal cometido es que “no queden agujeros en deter-minado tipo de auditorías y examinar países, organizaciones, sistemas, pro-cesos administrativos, etc.”, continuó. “Combinamos mapa de riesgos con análisis y elaboramos el plan anual con un mínimo de riesgos. Nos basamos estrictamente en CobIT y, en función de lo auditado, nos basamos en ISO

“Todo el proceso corre mecanizado a través de una herramienta propia de ámbito mundial, registra información y hace el reporting. Para ello, hay que buscar a alguien que esté muy for-mado y te dé un valor añadido sobre esa metodología. Este trabajo no se externaliza. Externalizamos las tareas que entedemos no aportan valor a nuestros recursos y son recurrentes como la evolución de la LOPD y parte de la revisión del cumplimiento de Sarbanes Oaxley (SOX) sin perder, eso si, su control”, expuso Hervada.

José Manuel Vidal ilustró cómo se prepara un plan anual de auditoría. En BBVA se enfocan desde enero a sep-tiembre, a lo cual se añade un plan individual de cada trabajo, que con-templa la ejecución y el seguimiento de recomendaciones a través de sus informes. "Entrando en materia TI, el modelo lo hemos basado en CobIT como principal estándar. Cuando tenemos los trabajos definidos, el equipo reparte sus recursos y no se dedica el mismo tiempo a todas las áreas. ¿Dónde están los grandes ries-gos? Ahí nos focalizamos e iniciamos la ejecución de pruebas”.

Vidal continuó: "Empleamos una lista de control de accesos (ACL, siglas en inglés) principalmente, para desarrollo interno. También scripts sobre sistemas operativos y bases de datos. Lo que hace un país se aprovecha en otro. Está todo automatizado y el seguimien-to de recomendaciones también".

Respecto a la automatización de procesos, este directivo comentó: “La parte menos automatizada es la ini-cial, que es más subjetiva. Dentro de seguridad, tenemos varios enfoques y en 2008 tocamos cuatro grandes


Azucena DíezGerente de Auditoría Interna de SACYR VALLEHERMOSO

"A veces nos ven como un enemigo en la propia empresa y no colaboran con nosotros a la horade facilitarnos todala información"

Pedro del Blanco (izquierda) explicó su visión de la auditoría interna, considerando que debe evolucionar aún más, apoyada por profesionales de TI.



27001, ITIL, etc. Nos ayuda también el tema de SOX, que nosotros mismos dirigimos y del que extraemos nuestras propias conclusiones. Así no partimos de cero, ya que hay aspectos asegu-rados por SOX que facilitan el trabajo en TI”, en palabras de Erik de Pablo, que también describió cómo desde el punto de vista de herramientas desa-rrollaron hace un par de años una de auditoría continua online, con 357 puntos de control con periodicidad semanal o mensual, que les permite extraer datos diariamente. De este modo, en Repsol son conscientes de que el 70 por ciento de los datos está relacionado con seguridad, por lo que transmiten los riesgos de manera con-tinuada a quien corresponda.

"Otra herramienta muy útil ha sido desarrollada por nuestros informá-ticos desde el año 2000 para la segregación de funciones -en pala-bras de Erik de Pablo-. “Emite un informe sobre las posibles matrices de segregación de funciones y supo-ne un enriquecimiento del entorno de control y dificulta las posibilidades de fraude”. Un aspecto complicado al que se enfrentan en la petrolera, desde el punto de vista tecnológico, es la aplicación de este software propio en entornos SAP. “Utilizando herramientas internas se complica porque aumenta la complejidad. Con los paquetes comerciales es más fácil que con los desarrollos internos”, aclaró el portavoz de Repsol-YPF.

Fernando Hervada reconoció en este sentido que, al tratarse de una

relación con seguridad (departamento TI) trabajamos conjuntamente, pues es auditable por nosotros. Hablamos mucho, son receptores de casi todos nuestros informes y trabajamos pre-ventivamente con ellos, tratamos los cuadros de mando desde una pers-pectiva distinta y con el objetivo de no duplicar esfuerzos”, matizó Rembado.

Auditoría como estrategiaMercedes Oriol orientó el debate hacia la estrategia empresarial, con el outsourcing de la auditoría y con el futuro de la actividad como telón de fondo.

Fernando Hervada reanudó el deba-te: "La auditoría es una función para identificar los riesgos relativos a segu-ridad TI en la empresa y cómo operan los controles para mitigarlos", lo cual ha provocado que se incremente la relevancia del departamento de segu-ridad TI. “Hemos promocionado que se le dé importancia a la seguridad porque el nivel de interlocución es muy diferente". En Endesa se sopesa una inversión en TI en función del estado real de seguridad de los sistemas.

Como nota crítica a la percepción que de los auditores se tiene en la empresa, Azucena Díez apuntó: “nos ven como un enemigo en la propia empresa, no colaboran con nosotros a la hora de darnos toda la informa-ción. Yo vengo de la parte de negocio y si me intentan engañar les digo que no funciona así. Comprendo a mis compañeros y la dirección debería apoyar la auditoría interna para que

actividad de nicho, no abundan los paquetes de software que soporten el proceso de auditoría. “Empieza a haber ahora algunas”, opinó Rembado, “sólo había partes, pero no relacionado con procesos o control, lo que nos llevó a muchos a desarrollar nuestras herramientas propias”. La gran ventaja es que estas soluciones quedan como un traje a medida para cada empresa.

Por su parte, Azucena Díez, de Sacyr Vallehermoso, se identificó con el caso de Liberty Seguros: “Tenemos el plan anual de auditoría junto con sistemas, pero no tenemos una metodología propia para TI. De momento no es para nosotros un problema contar con una herramienta específica. Lo que sí nos preocupa es transmitir que necesi-tamos más apoyo y colaborar más con el departamento de sistemas”.

Para finalizar este bloque, Rembado destacó que el enfoque de Telefónica en auditoría interna se plantea como un todo y la metodología corporativa parte de determinar cuál es el universo en el que se va a estar trabajando. Después: “nosotros disponemos de nuestro marco propio. Aquí tenemos metodología propia basada en CobIT 4, basada en las guías de ISACA y en referencias como ITIL, ISO, etc.”, aclaró. El proceso general es común a todos en la operadora española, con una herramienta de desarrollo propio para la gestión; el seguimiento es automático y, para el resto de las tareas, se combinan productos adqui-ridos y customizados. “En cuanto a la


Los invitados al desayuno institucional de RED SEGURIDAD manifestaron sus divergencias en cuanto al tratamiento de la seguridad por parte de sus compañías y la relevancia que le atribuyen dentro de sus metodologías y planes de riesgos.



nos vean como compañeros que tra-tamos de ayudar”.

Es el gran reto, según la opinión de Fernando Hervada, “que la organiza-ción visualice el valor que nosotros aportamos”. Para el presidente de ISACA, “en auditoría de TI comete-mos el error de considerar que todo el mundo conoce nuestra termino-logía porque utilizan un ordenador y muchas veces no nos damos cuenta de que nuestro cliente no tiene por qué saber de informática. Tenemos que ayudarle a conocer con mayor precisión cuál es el riesgo y cómo se puede llevar a cabo el control”.

El directivo de Endesa coincidió en señalar que los presentes en la mesa: “entendemos que nuestro trabajo tiene valor, pero hay que hacerlo ver; reportamos a la comisión técnica de auditoría y somos capaces de contar las cosas más claras que la gente del departamento de seguridad”.

Al hilo de esta exposición, Mercedes Oriol lanzó una pregunta a los invita-dos: “Cuándo os comunicáis 'con los de arriba', ¿como vendéis vuestra labor?”. Desde el punto de vista de Liberty Seguros, la concienciación es un factor clave y ha sido una tarea

el departamento de auditoría se aña-den algunas revisiones.

Asimismo, Fernando Hervada, trajo a colación que la responsabilidad del auditor es identificar los riesgos y la de los gestores de tomar decisiones en base a ello. Un problema adicional es implantar tecnología por encima de las posibilidades de control de la empresa, como recordó Pedro del Blanco. En este sentido, José Manuel Vidal explicó que en su organización ya dispusieron de unos certificados digitales en el año 1998: “Era imposi-ble que se los instalara nadie y el que lo conseguía no lo usaba. Fue una decisión de TI, pero no era el momen-to, nos adelantamos muchísimo a los tiempos. Es un ejemplo de que, en ese año, la seguridad restó competiti-vidad al negocio”.

“El control interno hay que difundir-lo por cada uno de los empleados, cuidar de que no pase nada en su ámbito de actuación. Somos un elemento importante para transmi-tir una cuestión cultural”, argumentó Rembado. “Con el tiempo la gente lo asume, pero el control lo implanta y asume como propio el responsa-ble de cada proceso, independiente-mente de que nosotros (los auditores internos) seamos quienes lo supervi-samos", sentenció.

Auditores internos vs externosOtra cuestión lanzada sobre la mesa fue el papel de los auditores exter-nos en presencia de otros internos: ¿Cómo es esta relación?, ¿conceden las organizaciones más relevancia a sus opiniones por el mero hecho de ser auditores foráneos?

constante a lo largo de los años. “Hemos notado un cambio. El propio departamento de TI tiene que mejorar sus controles, como por ejemplo en gestión de incidencias, y hemos con-tribuido a ello”.

“¿Consideran que en muchas empresas existe una resistencia al cambio?”, incidió la subdirectora de esta publicación.

“Al Comité de Dirección hay que hacerles ver los riesgos de imagen y de negocio que puede tener la tecno-logía”, respondió Fernando Hervada, por lo que “hay que evaluar sus con-troles, y las personas que van a dar mayor validez son los auditores”.

Alejandro Rembado subrayó que el problema final siempre es de negocio, por ejemplo, un problema de imagen o de pérdida de ingresos frente a la competencia o por una sanción de un regulador... y eso cualquier directivo lo entiende. “Unido a esto estará el técnico que solucione cada proble-ma, pero el riesgo es de negocio y es lo que hay que comunicar”, según las palabras del actual presidente de ISACA, Capítulo de Madrid.

Para completar este posiciona-miento, Erik de Pablo, aclaró que “un mapa de riesgos y un diagnóstico periódico de los mismos son dos herramientas esenciales para que la dirección vea todo esto de una manera simple y sencilla”.

Otro dinamizador de la protección de sistemas es el hacking ético, como coincidieron en destacar los partici-pantes en el debate. Reconocen que los expertos en seguridad de cada organización la ponen en práctica, mientras que, posteriormente, desde


Mercedes Oriol (izquierda) y Alejandro Rembado escuchan a Azucena Díez, de Sacyr Vallehermoso, durante un momento del debate.Erik de Pablo

Director de Auditoría de Sistemas de REPSOL-YPF

"El 70 por ciento de los datos está relacionado con seguridad, por lo que se comunican los riesgos continuamente a quien corresponda"



nos vean como compañeros que tra-tamos de ayudar”.

Es el gran reto, según la opinión de Fernando Hervada, “que la organiza-ción visualice el valor que nosotros aportamos”. Para el presidente de ISACA, “en auditoría de TI comete-mos el error de considerar que todo el mundo conoce nuestra termino-logía porque utilizan un ordenador y muchas veces no nos damos cuenta de que nuestro cliente no tiene por qué saber de informática. Tenemos que ayudarle a conocer con mayor precisión cuál es el riesgo y cómo se puede llevar a cabo el control”.

El directivo de Endesa coincidió en señalar que los presentes en la mesa: “entendemos que nuestro trabajo tiene valor, pero hay que hacerlo ver; reportamos a la comisión técnica de auditoría y somos capaces de contar las cosas más claras que la gente del departamento de seguridad”.

Al hilo de esta exposición, Mercedes Oriol lanzó una pregunta a los invita-dos: “Cuándo os comunicáis 'con los de arriba', ¿como vendéis vuestra labor?”. Desde el punto de vista de Liberty Seguros, la concienciación es un factor clave y ha sido una tarea

el departamento de auditoría se aña-den algunas revisiones.

Asimismo, Fernando Hervada, trajo a colación que la responsabilidad del auditor es identificar los riesgos y la de los gestores de tomar decisiones en base a ello. Un problema adicional es implantar tecnología por encima de las posibilidades de control de la empresa, como recordó Pedro del Blanco. En este sentido, José Manuel Vidal explicó que en su organización ya dispusieron de unos certificados digitales en el año 1998: “Era imposi-ble que se los instalara nadie y el que lo conseguía no lo usaba. Fue una decisión de TI, pero no era el momen-to, nos adelantamos muchísimo a los tiempos. Es un ejemplo de que, en ese año, la seguridad restó competiti-vidad al negocio”.

“El control interno hay que difundir-lo por cada uno de los empleados, cuidar de que no pase nada en su ámbito de actuación. Somos un elemento importante para transmi-tir una cuestión cultural”, argumentó Rembado. “Con el tiempo la gente lo asume, pero el control lo implanta y asume como propio el responsa-ble de cada proceso, independiente-mente de que nosotros (los auditores internos) seamos quienes lo supervi-samos", sentenció.

Auditores internos vs externosOtra cuestión lanzada sobre la mesa fue el papel de los auditores exter-nos en presencia de otros internos: ¿Cómo es esta relación?, ¿conceden las organizaciones más relevancia a sus opiniones por el mero hecho de ser auditores foráneos?

constante a lo largo de los años. “Hemos notado un cambio. El propio departamento de TI tiene que mejorar sus controles, como por ejemplo en gestión de incidencias, y hemos con-tribuido a ello”.

“¿Consideran que en muchas empresas existe una resistencia al cambio?”, incidió la subdirectora de esta publicación.

“Al Comité de Dirección hay que hacerles ver los riesgos de imagen y de negocio que puede tener la tecno-logía”, respondió Fernando Hervada, por lo que “hay que evaluar sus con-troles, y las personas que van a dar mayor validez son los auditores”.

Alejandro Rembado subrayó que el problema final siempre es de negocio, por ejemplo, un problema de imagen o de pérdida de ingresos frente a la competencia o por una sanción de un regulador... y eso cualquier directivo lo entiende. “Unido a esto estará el técnico que solucione cada proble-ma, pero el riesgo es de negocio y es lo que hay que comunicar”, según las palabras del actual presidente de ISACA, Capítulo de Madrid.

Para completar este posiciona-miento, Erik de Pablo, aclaró que “un mapa de riesgos y un diagnóstico periódico de los mismos son dos herramientas esenciales para que la dirección vea todo esto de una manera simple y sencilla”.

Otro dinamizador de la protección de sistemas es el hacking ético, como coincidieron en destacar los partici-pantes en el debate. Reconocen que los expertos en seguridad de cada organización la ponen en práctica, mientras que, posteriormente, desde


Mercedes Oriol (izquierda) y Alejandro Rembado escuchan a Azucena Díez, de Sacyr Vallehermoso, durante un momento del debate.Erik de Pablo

Director de Auditoría de Sistemas de REPSOL-YPF

"El 70 por ciento de los datos está relacionado con seguridad, por lo que se comunican los riesgos continuamente a quien corresponda"

especial

auditoría sobre la mesa

red seguridad marzo 2010 35

María José Carmona, de Grupo Telecinco, estima que sí le otorgan más relevancia a los informes de un externo. Por el contrario, Fernando Hervada matizó esta cuestión: “Antiguamente había menos cultura de auditoría interna, pero es un pro-blema de tiempo, porque el que lleva 20 años en la compañía la conoce mejor que el de fuera, ya que está allí día a día. Seguramente no ocurra en las empresas donde la auditoría es más joven”.

Azucena Díez manifestó: "En numerosas ocasiones, me cuesta que me hagan caso; con el tiempo te haces valer y aprendes que hay que jugar con algunas palabras en clave de negocio ("podemos tener un fraude si alguien accede a la documentación de la obra de mane-ra indebida").

En la medida en que se percibe más el valor añadido, la auditoría adquiere más relevancia. En el caso de Telefónica, sí se la considera muy bien dentro de la compañía, en opi-nión de Rembado: “Se solucionaron problemas a partir de comentarios nuestros; el área gestora empezó a aplicar soluciones y el panorama que se presenta es más claro y evo-lucionado. Además, con la aparición

dinero para subcontratar y ellas (las pymes) lo intentan hacer con sus medios, pero no es lo mismo”.

El futuro de la profesión es viable en la medida en que las compañías mantienen sus datos, en opinión de Erik de Pablo. “Si se sacan los datos fuera (outsourcing) ya no tendría tanto sentido nuestra labor".

Para concluir su exposición, Rembado manifestó que en España ha experimentado un boom la auditoría interna en los últimos cinco o seis años y considera que nuestro país no tiene nada que envidiar a los profesionales de otras latitudes: “En cuanto a herra-mientas de apoyo quizá no utilizamos tantas y hay que concentrarse en lo que es importante, en los riesgos”.

Fernando Hervada recordó que hace diez años el panorama era muy diferente. “Hoy el nivel es homólogo al resto de países de la OCDE (Organización para la Cooperación y el Desarrollo Económico)”. Con este posicionamiento coincide Erik de Pablo, que valora que España partía de una trayectoria que no había sido demasiado positiva: “Hemos pegado el salto apoyados también en organis-mos como ISACA y publicaciones específicas. No había conciencia de control hace diez años, y hoy sí”.

de regulaciones, no hay tolerancia a fallos, como decía Fernando”. José Manuel Vidal apeló a la experien-cia de ‘jugar en casa’: “el auditor externo no aporta tanto valor porque no conoce la empresa y no les da tiempo a llegar abajo, son riesgos conocidos los que identifican”.

En cuanto a las relaciones pro-fesionales con auditores externos, el portavoz de Endesa señaló que “mantienen interacción en lo que se refiere a aspectos financieros puros y duros, en cuanto a resultados, por-que está claro que los contratamos para que nos ayuden”.

Profesión con futuroLa auditoría de TI goza de una salud de hierro en las grandes corporacio-nes, lo cual indica que el futuro de la profesión es prometedor, sustentado por asociaciones de calado interna-cional como ISACA. En función de los variados perfiles de auditor y la heterogeneidad de su formación, ¿es descabellado pensar en la existen-cia de intrusismo en esta profesión?, consultó Mercedes Oriol.

El aval de un auditor no está regu-lado en España para auditoría TI, como recordó el presidente de ISACA Capítulo de Madrid. Por ello, tanto la formación, como el mantenimiento de las credenciales son muy impor-tantes. La asociación concede valor al profesional y mantiene actualizada su formación, según Rembado: “La asociación trabaja en tres líneas de valor agregado: global, que lo sus-tenta con un reconocimiento por todo el mundo; valor de la industria, en segundo lugar, porque ISACA implica buenas prácticas, y por último, el valor del asociado, si tiene un certificado, mejor, porque es una garantía para el cliente de que ese auditor está a la última en seguridad”.

María José Carmona mantiene que la auditoría es una materia con un enorme futuro por delante: “Cada día dependemos más de la informática y tener referencias como la de ISACA es muy importante".

La auditoría es hoy por hoy terreno abonado sólo en las grandes organi-zaciones. José Manuel Vidal aprecia un gran salto entre las empresas como la suya y las más pequeñas: “No es tan fácil para ellas acceder a la auditoría porque tampoco tienen

José Manuel VidalDirector de Auditoría TI de BBVA

"El auditor externo no aporta tanto valor porque no conoce la empresa y no les da tiempo a llegar a los riesgos en profundidad"

Pedro del BlancoDirector de Auditoría Interna de LIBERTY SEGUROS

"Estamos atentos a las TI porque nuestra visión es integral: completar la auditoría de negocio con la de sistemas"


sobre la mesa - redseguridad.com desayuno... · Seguridad y del Gobierno de TI. En este último...

Documents

Transcript of sobre la mesa - redseguridad.com desayuno... · Seguridad y del Gobierno de TI. En este último...