Menu Principal:
Auditor versus delitos informaticos
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoria asignada, y que deben razonablemente detectar:
Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar lo siguiente:
Determinar si se considera la situación un delito realmente;
Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito;
Informar a la autoridad correspondiente dentro de la organización;
Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver. Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
-Se puede generar una desconfianza de los empleados hacia el sistema;
-Se pueden generar más delitos al mostrar las debilidades encontradas;
-Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
-Se pueden perder empleados clave de la administración, aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
-Recomendaciones referentes a la revisión total del proceso involucrado;
-Inclusión de controles adicionales;
-Establecimiento de planes de contingencia efectivos;
-Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
-Adquisición de herramientas computacionales de alto desempeño;
-Controles sofisticados;
-Procedimientos estándares bien establecidos y probados.
-Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor y las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoria estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas. Por lo que las verificaciones de la información y de la TI juegan un papel importante en la detección de los delitos
Informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
-Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
-Normas estándares para la auditoria interna;
-Políticas organizacionales sobre la información y las tecnologías de la información.
-Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
-Aspectos legales;
» Herramientas.
-Herramientas de control y verificación de la seguridad;
-Herramientas de monitoreo de actividades, etc.
» Técnicas.
-Técnicas de Evaluación de riesgos;
-Muestreo;
-Cálculo pos operación;
-Monitoreo de actividades;
-Recopilación de grandes cantidades de información;
-Verificación de desviaciones en el comportamiento de la data;
-Análisis e interpretación de la evidencia, etc.