30 de septiembre de 2022
Boletín de investigación

Conocimiento de control interno en la auditoría y la ciberseguridad

Comisión
D. Auditoría

Autores
C.P.C. Joel Rodríguez Díaz

1. Presentación

Una auditoría de ciberseguridad es una parte importante de un sistema de bloqueo ante un posible ataque, por lo cual es esencial saber en qué consiste y cómo mantener los ciberataques lejos de las organizaciones. En este sentido, la finalidad de este boletín es dar a conocer la relevancia que tiene la utilización de una auditoría de ciberseguridad.

2. Introducción

Alcance

En los últimos 20 años, las grandes empresas, las pyme y las personas físicas han sido objetivo de los hackers o ciberdelincuentes para el robo de la información, afectando así la disponibilidad, integridad y confidencialidad de la misma.

Lo anterior se facilita cuando existe descuido humano, siendo el llamado phishing y el malware los medios más comunes con los que los hackers logran entrar a los sistemas informáticos y conseguir su objetivo, aprovechando descuidos de los usuarios de la información.

Desafortunadamente, en México sólo un porcentaje bajo de los dueños de la información ha invertido en tener los elementos tecnológicos de punta que aseguren que dichos datos se encuentren en un riesgo bajo de ser robados; por lo anterior, muchas empresas en nuestro país se encuentran altamente vulnerables para que su información sea hackeada.

3. Desarrollo

Como parte del proceso de la planeación de una auditoría de estados financieros, para los auditores externos es importante conocer y evaluar el control interno existente, a fin de saber si los mismos ayudan a mitigar diferentes tipos de riesgos y, como resultado de dicha evaluación, definir los alcances de su revisión y la aplicación de una estrategia de confianza alta o baja en los controles de la empresa auditada para su revisión sustantiva.

Dentro del estudio del control interno, y dependiendo del tamaño de la empresa, así como de la dependencia de los sistemas de información para poder operar, el auditor externo (y los auditores internos, en caso de contar con esta área) deben evaluar los controles generales, los de aplicación y los aspectos de seguridad física y lógica de sus sistemas de información. Para esto, es importante que se apoyen en lo que establece el COBIT 2019, que es un marco de referencia de gobierno de Tecnologías de la Información (TI) para atender los riesgos en el requerimiento de control y el desarrollo de las políticas y buenas prácticas.

Dentro de esta revisión un punto muy importante a evaluar es conocer cuáles son los controles y sistemas con los que cuenta la empresa para mantener a un riesgo bajo la pérdida de su información y evitar que sea robada por hackers o ciberdelincuentes, lo cual, de llegarse a presentar, afectaría de manera muy importante en la operación del negocio, debido a la falta de disponibilidad, integridad y la confidencialidad de la misma, pudiendo impactar también en la adecuada toma de decisiones, así como en la pérdida de información de terceros, como clientes, proveedores, empleados, etc. Al respecto, es importante mencionar que esta situación podría afectar al cumplimiento de lo que establece la Ley Federal de Protección de Daros Personales en Posesión de Particulares.

Ciberseguridad

Comentado lo anterior, es importante saber que la ciberseguridad es la protección de la información digital a través del tratamiento de amenazas que ponen en riesgo la información que es procesada y almacenada en los sistemas de información; asimismo, incluye la protección de las grandes empresas, Pymes y personas físicas contra ataques intencionales y cuida los efectos que esto ocasiona.

En este sentido, el contar con ciberseguridad ayuda a los dueños de la información a identificar riesgos, proteger datos y detectar posibles intentos de robo de información para responder a dichos ataques de ciberdelincuentes y, en su caso, la recuperación y restauración de la información.

Los métodos que comúnmente utilizan los hackers o ciberdelincuentes para el robo de información son por el llamado phishing o suplantación de identidad y el malware, atacando por medio de virus cuando el usuario enlaza un archivo adjunto.

Un ejemplo de phishing es cuando los usuarios reciben correos apócrifos pero muy similares de destinatarios “conocidos":

Correo correcto: jrodriguez@rdcasesores.com.mx
Correo falso: jrodriguez@rdcasesores.com
Correo correcto: kzavala@rdcasesores.com.mx
Correo falso: kzavala@rdcasesores.mx

Asimismo, el riesgo de que la información sea hackeada se debe al acceso de los usuarios a páginas de internet no permitidas, así como a la facilidad de subir y bajar información por medio de dispositivos portátiles de almacenamiento USB, facilitando que los hackers logren el robo de la información en los sistemas.

Debido a todo lo aquí mencionado, es conocido que muchas empresas en México -transnacionales y nacionales- han perdido su información al ser hackeadas, ocasionando casos como éstos:

Tener que implementar -en forma reactiva y no preventiva- sistemas para cuidar la ciberseguridad de su información.
Afectar de forma importante la continuidad del negocio en marcha de la empresa, tomando en cuenta el grado de dependencia de los sistemas de información para poder operar de manera normal.
Costos financieros altos y no presupuestados para recuperar la información por medio de especialistas en la materia o, en su caso, pagar las extorsiones que pidan los hackers.
Levantar una denuncia ante el ministerio público contra quien resulte responsable del robo de información.
Dar aviso ante el SAT del robo de información en caso de que se presente alguna revisión de gabinete o de cualquier otra índole.
Retrasos importantes para recuperación de saldos a favor de ISR, IVA, entre otros, originando, a su vez, costos financieros y problemas de flujo en la tesorería.
En el caso de las firmas de contadores o fiscalistas, la pérdida de papeles de trabajo de auditoría o contabilidades, lo que puede requerir a las autoridades fiscales para revisiones secuenciales o de gabinete.

Atención de los auditores

Por todo lo anterior, es muy importante que los auditores contemplen -dentro de su plan de evaluación del control interno- las acciones que tienen las empresas auditadas para evitar el riesgo de robo de información y, en su defecto, en su carta de recomendaciones, informar a la administración sobre la relevancia de atender, de forma urgente, las acciones a seguir en temas de ciberseguridad de la información.

Asimismo, es conveniente que el auditor a cargo del compromiso evalúe la necesidad de utilizar el trabajo de un especialista en ciberseguridad de la información para examinar el grado de control y riesgo de robo de información; para esto, es necesaria la aplicación de la NIA 620: Utilización del trabajo de un experto del auditor.

Como parte de una evaluación de riesgos de robo de información y de atención a temas de ciberseguridad, cabe mencionar, entre muchos otros puntos, los siguientes:

Las políticas para el uso de USB (existen portales de USB bloqueados a ciertos niveles operativos.
El uso de contraseñas fáciles de adivinar; por ejemplo, cuando los usuarios usan su RFC, la fecha de su nacimiento o la serie numérica 12345, etc.
Contestar correos apócrifos, que generalmente son mensajes urgentes para actualizar aplicaciones.
Descargar malware.
Evaluar la capacidad técnica del personal de TI.
Conocer si la empresa tiene y/o actualiza los antivirus oportunamente.
Promover el uso de contraseñas seguras y que éstas se cambien periódicamente.
Conocer si la empresa tiene políticas y capacitación frecuente para evitar el robo de información.
Acceso a redes gratuitas de wifi y, por lo tanto, de alto riesgo.

4. Conclusiones

La falta de atención de las empresas en materia de ciberseguridad de la información podría ocasionar problemas graves para la operación inmediata.

El auditor externo debe atender este riesgo de control interno para informarlo a la administración y así dar un mayor valor a sus recomendaciones de auditoría.

5. Referencias

COBIT 2019.
Norma Internacional de Auditoría 300 Planeación de la auditoría de estados financieros.
Norma Internacional de Auditoría 315 identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno.
Norma Internacional de Auditoría 620 Utilización del trabajo de un experto del auditor.

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.