El Objeto del artículo es responder a la pregunta si ¿Los auditores de sistemas debe ser ingenieros?; en la mayoría de países se han establecido programas de posgrado para formar Especialistas y Magíster en Auditoria de Sistemas de Información y Comunicación, esto se debe tal vez a lo interesante del mercado para las Universidades, tal vez a una demanda emergente de las organizaciones de auditores con elevados conocimientos técnicos.

En muchos países entre ellos Argentina, se ha optado por considerar como carrera de pregrado la “Auditoría de Sistemas de Información”.

Particularmente egresé de un programa de Especialización en Auditoría de Sistemas de Información y Comunicación, para Ingenieros; no obstante contar con una experiencia que supera los cinco años en una empresa muy compleja técnicamente, haber ejercido como docente de la materia en pregrado y contar con una permanente formación en seguridad y auditoria; no he aprobado el examen de certificación CISA, que valga la pena decirlo “No es fácil”, puedo exponer con certeza que una certificación de esta naturaleza asegura o aproxima a las organizaciones que van a contratar a un auditor, al perfil apropiado.

Ahora bien, y lamento si soy excluyente, decir que estas tareas no deben ser llevadas a cabo por personas que no cumplan con una formación profesional apropiada, una experiencia válida y un constante camino de formación. (“Muy a pesar de ser solo un eslabón en la cadena de la seguridad”).

Así como existe una perfecta interacción entre objetivos, evidencias y conclusiones; debe existir una perfecta cadena superior que abarque a la seguridad y la forma de evaluarla, para garantizar la mejora continua.

Cuando se carece de apropiada evaluación (auditoría) se puede incurrir fácilmente en engañosos informes que digan que todo está de acuerdo a la norma 27001, o que se encontraron pequeños baches en el cumplimiento de la norma…eso puede convertirse en una auditoria de papel, basada en listas de chequeo preconcebidas, generando SGSI ficticios.

Aunque la ISO 19011, ofrece una aproximación a lo que debe ser la auditoria, no abarca siquiera el 10% de lo que significa la auditoria de Sistemas de Información, la 19011, es muy limitada y aplica pobremente para SGC y SGA, no para SGSI. Es por eso que recomiendo abiertamente el cumplimiento de un código de conducta para los auditores, la aplicación de unos estándares, la formación constante y desde luego el ejercicio o experiencia en programas de auditoría.

Las Certificaciones no debe ser un fin en sí mismas, deben ser el resultado de los postulados anteriores; así como cuando se implementa un SGSI, lo que se busca es asegurar la Información como activo estratégico, cuando se obtiene un aval como CISA, se quiere es demostrar un mínimo de capacidad aceptado universalmente.

“La parte jurídica se limita a los bloques 6.2, 10.2 y 15.1 aunque hay bastantes aspectos organizativos que un perfil no técnico puede valorar”

Respecto a los informes esta claro que muchas veces hay que vestirlos, maquillarlos y darle empaque pero tampoco pienso que sea cosa de cantidad frente a calidad

Aunque alguien que cobraba bastante mas que yo me dijo una vez que cada 100 hojas eran 6000 euros… si cobraba mas que yo seria porque sabria mas que yo…

Lo que comentas sobre “suele pasar que cuando entregamos nuestro informe, el cliente descubre que lo que le habían hecho hasta ahora, no eran auditorías” no te ha pasado únicamente a ti.

En el caso más extremo he visto algún informe de auditoría RDLOPD cuyo contenido era un párrafo de cinco líneas, aunque sin llegar a eso, he visto acceso a informes de grandes auditoras, probablemente nada baratos, cuyo contenido y conclusiones dejaban mucho que desear.

Hace algunos años, en la Web de la AEPD aparecía una pregunta dentro de la FAQ donde se recomendaba la certificación CISA pero debe ser que la presión por establecer exclusividad les hizo quitarlo.

El tema debería resolverse con los titulos de Master Universitarios pero acreditados, o sea, que sigan un plan de estudio avalado por ANECA. Porque Masters en auditoría, seguridad y control interno ya hay algunos, pero muchos son titulaciones “propias” de cada universidad (Y por tanto, sería discutible que fueran consideradas como Titulos). Respecto al debate de si es técnico/jurídico, comparto la opinión de Manuel Benet respecto a la alta carga técnica que requiere el poder “valorar” o “enjuiciar” los 133 controles de la ISO 27002. La parte jurídica se limita a los bloques 6.2, 10.2 y 15.1 aunque hay bastantes aspectos organizativos que un perfil no técnico puede valorar. Creo que en algún momento habrá que ponerse serio con el tema. Paradójicamente existe ya un Registro Oficial de Auditores de Sistemas de Información (RASI), pero que cuelga del Ilustre Coleguio de Economistas. Ellos establecen que como garantes del negocio, son los más adecuados para velar por la alineación de la tecnología y la eficacia de su uso.

Otro gran problema es la extensa defición de la palabra auditoría que hace que todo sea una auditoría, desde una simple llamada por teléfono para realizar comprobaciones hasta días enteros de trabajo de campo obteniendo todo tipo de evidencias que luego quieran ser transformadas en hallazgos. Yo como profesor de una asignatura sobre auditoría transmito a mis alumnos tres conceptos básicos para poder llamar a algo auditoría: el triangulo CSI que yo he adecuado a la auditoría.
En CSI hay que relacionar sospechosoescenario_del_crimenvictima. En toda auditoría hay que relacionar objetivosevidenciaconclusión.
1.- Objetivos: qué hay que lograr valorar, qué desea averiguar la auditoría y contra qué criterios vamos a revisar (LOPD, ISO 27001, ENS, …).
2.- Evidencias: qué pruebas o indicios tenemos para poder afirmar si se cumplen o no los criterios.
3.- Conclusiones: qué opinión objetiva podemos extraer. Basicamente si cumple, no cumple o cumple con deficiencias. Todo ello, bien apoyado en las evidencias obtenidas.

El trabajo del auditor es atar cabos entre estos tres elementos.

Objetivos-Evidencia:
Buscar las mejores evidencias que luego puedan ser utilizadas como hallazgos para probar el cumplimiento o no de los objetivos planteados para la auditoria.

Evidencia-Conclusión:
La opinión sea favorable o no favorable debe estar sustentada firmemente en hallazgos irrefutables que evidencien la opinión objetiva del auditor.

Conclusión-Objetivos:
Determina el grado de confianza que la Organización puede tener en el cumplimiento de los objetivos revisados.

Ya sea LOPD, ISO 27001, Esquema Nacional de Seguridad, el cliente tiene que tener claro la relación entre estos elementos.

Quiero recordar también que el tema es de suma importancia puesto que la auditoría NO DEJA DE SER UN CONTROL COMPENSATORIO. Por tanto, juega un papel más dentro de la cadena de eslabones que persiguen garantizar la seguridad. Tal como expuse en http://seguridad-de-la-informacion.blogspot.com/2009/01/la-funcin-de-auditora-como-mecanismo-de.html

No hay peor favor a la seguridad que una mala auditoría, porque generará una falsa “sensación de seguridad” que la realidad se encargará en un momento dado de demostrarnos. Acaso no son ejemplos suficientes los problemas “de auditoría” que ya ha vivido el sector bancario. Sin embargo, sorprende mucho que siga quedando vacío el criterio para establecer quién audita. Yo creo sospechar que no es un descuido sino un interés por no regular la profesión y así poder “contratar” a auditores que se encargen de reducir “no el riesgo” sino “la percepción que tenemos de él” pero mucha gente quiere autoengañarse y autocomplacerse, para hacer ver a sus superiores que no hay problemas supuestamente.

En el plano profesional como siempre, opto por la misma opción. Hacer las cosas con el mejor criterio técnico que pueda y la aplicación de las normas internacionales que conozca. Y suele pasar que cuando entregamos nuestro informe, el cliente descubre que lo que le habían hecho hasta ahora, no eran auditorías. Para valorar la calidad es necesario siempre una referencia y el tuerto es el rey de los ciegos, hasta que alguien le abre los dos ojos al cliente.

Lo dicho creo que en el fondo estamos de acuerdo :)

¿Por cierto alguien ha probado el EVALÚA de la AEPD? A mi me ha parecido interesante, este es el link: http://212.170.243.77:8080/Evalua/home.seam

Creo que básicamente convergemos hacia la misma opinión, si bien con alguna discrepancia. Ni una formación 100% legal ni 100% técnica son adecuadas para afrontar una 27001 o una auditoria del reglamento con garantías, sino que es necesario conocer el problema, tener cierta experiencia y estar familiarizado con los problemas y particularidades de cada una de ellas.

Respecto a los controles que citas, en mi opinión se pueden afrontar perfectamente desde los dos perfiles si bien entiendo que siempre se debe tener una preparación especializada.

Un saludo.