Grupo #6 de Auditoría III - PNFI UNEXCA

¿Por qué cifrar la información sensible?

   Cuando hablamos de activos de empresa, tendemos a considerar únicamente como tales los bienes tangibles, como por ejemplo mobiliario, maquinaria, los servidores. Pero no debemos olvidar que también son activos, en este caso intangibles, la cartera de clientes, nuestras tarifas, la propiedad intelectual o incluso la identidad de la empresa. Toda esta información personal, financiera, legal, de I+D, comercial y estratégica, junto con el software para manejarla, son nuestro principal activo. Sin ella no podríamos prestar nuestros servicios ni vender nuestro producto. Por ello es necesario preservar su integridad, confidencialidad y seguridad.

    Para poder llevar a la práctica esta protección, tendremos que poner en marcha una serie de políticas de seguridad para, entre otras cosas, localizar y clasificar la información crítica, controlar quién tiene acceso a la información y a qué información, proteger nuestros sistemas y también permitirnos utilizar los mecanismos necesarios para poder cifrar aquella información especialmente sensible o confidencial, como por ejemplo: copias de seguridad que vayamos a almacenar en la nube, datos personales sensibles o planes estratégicos.

Entre la información que necesitaremos cifrar estará:

• La información almacenada (discos, ordenadores, portátiles, dispositivos móviles, memorias externas): backups que vayamos a subir a la nube, datos personales sensibles, si trabajamos por ejemplo con datos de salud; e información confidencial como planes estratégicos.
• Las comunicaciones o información en tránsito, como correos electrónicos o transacciones a través de la web.

¿Cuál es la finalidad del cifrado?

   El cifrado tiene como finalidad ofuscar la información mediante técnicas criptográficas para así evitar que los datos sean legibles para aquellos que no conozcan la clave de descifrado. Este tipo de técnicas son una solución eficaz para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que permiten controlar el acceso a la información y limitan la difusión no autorizada en caso de pérdida o robo de dichos soportes.

Por otro lado, no debemos dejar de lado otro tipo de aspectos complementarios, como los siguientes:

• La clave de descifrado deberá ser lo suficientemente robusta para que impida accesos no autorizados a la información que se protege;
• Si pierdes la clave, no podrás acceder a la información;
• Ante un fallo del dispositivo de almacenamiento físico, sería muy complicado recuperar la información, se encuentre cifrada o no.

   En algunas ocasiones, para el intercambio de documentos habrá que utilizar una infraestructura de claves públicas de cifrado, proporcionadas por Autoridades de Certificación. Por ejemplo, para el envío de documentos como facturas o notificaciones a las AAPP, habrá que utilizar la firma electrónica.

Las herramientas criptográficas

   Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió.

Elegir la herramienta correcta de cifrado dependerá de una serie de variables:

• si queremos una herramienta transparente para el usuario o no;
• si el descifrado de la información debe realizarse en cualquier lugar;
• el perfil de usuario que va a utilizar la herramienta de cifrado.

   Debemos tener en cuenta que para cifrar información no siempre será necesario utilizar herramientas específicas, ya que algunos programas de uso generalizado, como los paquetes ofimáticos o los compresores de ficheros, ya las incorporan.

Brechas de seguridad: protégete ante el ransomware

    El ransomware es una ciberamenaza con gran impacto sobre datos de carácter personal, tanto en el sector de las pymes como de las grandes empresas. A pesar de aplicar las medidas de seguridad oportunas, las brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar preparadas para ser capaces de detectarlas y actuar para minimizar y evitar el daño a los derechos y libertades de las personas. 

   Una de las medidas en las que se materializa el principio de responsabilidad activa del RGPD es en la obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la quiebra suponga un riesgo para los derechos y libertades de los

afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.

   Además, en los casos en que sea probable un alto riesgo para los derechos o libertades de los afectados, también se les deberá comunicar la brecha. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias. Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.

   Un 10% de las notificaciones de brechas de seguridad recibidas en la AEPD durante 2018 desde el 25 de mayo de 2018 (fecha de aplicación del RGPD) indican que el motivo de la brecha es el cifrado de equipos mediante algún tipo de ransomware, y en ocasiones el vector de ataque es el acceso mediante servicios de escritorio remoto.

   Es habitual que usuarios de pymes y grandes empresas necesiten tener acceso desde internet a un servidor o cualquier otro equipo de su red para ejecutar determinadas aplicaciones, realizar tareas de mantenimiento o de soporte. A veces, también necesitan proporcionar acceso a otras organizacionesque les prestan un servicio determinado.

  Desde Windows NT 4.0, Microsoft incorpora el protocolo de escritorio remoto que proporciona acceso remoto a la interfaz gráfica del equipo y permite resolver la necesidad anteriormente descrita. Es un servicio habitualmente usado en servidores que tienen instalado el sistema operativo Windows, aunque también se utiliza en otros sistemas operativos, para evitar tener que desplazarse físicamente donde se encuentra el equipo.

   Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP.

   Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.

Los equipos de TI están desbordados por los ciberataques y sufren para poder estar al día en ciberseguridad

Sophos, compañía de referencia en seguridad para protección de redes y endpoints, ha anunciado los resultados de su informe internacional “The Impossible Puzzle of Cybersecurity”, que revela que los responsables de TI actualmente se encuentran sobrepasados por ciberataques provenientes de todas las direcciones y tienen problemas por mantenerse al día en materia de seguridad debido a la falta de experiencia, presupuesto y tecnologías actualizadas.

   El informe de Sophos muestra cómo las técnicas de ataque son diversas y, a menudo, cuentan con múltiples fases, lo que aumenta la dificultad a la hora de defender las redes  empresariales. Uno de cada cinco directores de TI no sabe cómo ha sido atacado, y la diversidad de métodos de ataque significa que ninguna estrategia para defenderse es perfecta.

  “Los ciberdelincuentes están evolucionando sus métodos de ataque y, a menudo, utilizan múltiples cargas para beneficiarse al máximo. Las vulnerabilidades de software son el punto de entrada inicial en el 23% de los incidentes, pero también son utilizados de alguna manera en el 35% del total de los ataques, lo que demuestra cómo se están utilizando las vulnerabilidades en múltiples etapas de la cadena de ataque“, dice Chester Wisniewski, principal research scientist de Sophos. “Las empresas que sólo parchean externamente los servidores críticos son vulnerables a nivel interno y los cibercriminales están aprovechando estas y otras deficiencias en la seguridad”.

La debilidad en seguridad lleva a que se comprometa la cadena de suministro

   “Los ciberdelincuentes siempre están buscando formas de acceder a las empresas, y ahora los ataques a la cadena de suministro está situándose cada vez más arriba en su lista de métodos a poner en práctica. Los responsables de TI deberían considerar la cadena de suministro como un riesgo para la seguridad prioritario, pero no lo hacen porque creen que estos ataques perpetrados por gobiernos se dirigen a objetivos de alto perfil. Si bien es cierto que los gobiernos pueden haber creado los modelos de estos ataques, una vez que estas técnicas son publicadas, otros ciberdelincuentes a menudo las adoptan por resultar ingeniosas y tener altas tasas de éxito”, dice Wisniewski. “Los ataques a la cadena de suministro empresarial también son una forma efectiva en la que los ciberdelincuentes realizan ataques activos y automáticos, donde seleccionan a una víctima de entre un grupo más grande de objetivos para después acceder activamente a esa empresa específica mediante el uso de técnicas hand-to-keyboard y movimientos laterales, evitando ser detectados y pudiendo llegar a su destino”.

En ciberseguridad faltan experiencia, presupuesto y tecnologías actualizadas

   Con respecto a los presupuestos, el 66% dice que la inversión en ciberseguridad de su empresa (incluyendo tanto personas como tecnologías) está por debajo de lo que debería ser. Disponer de una tecnología actualizada es otro problema, con un 75% de acuerdo en que estar al día en materia de tecnologías para la ciberseguridad supone un desafío para su empresa. Esta falta de experiencia en seguridad, de presupuestos y de tecnologías actualizadas indica que los responsables de TI están teniendo problemas para responder a los ciberataques cuando deberían poder planificar y gestionar de manera proactiva los siguientes pasos en este sentido.

La seguridad sincronizada resuelve el puzzle imposible de la ciberseguridad

   Las ciberamenazas vienen a través de ataques a la cadena de suministro, correos electrónicos de suplantación de identidad (phishing), ataques de software, vulnerabilidades, wifis inseguras y muchos vectores más, las empresas necesitan una solución de seguridad que les ayude a eliminar estas filtraciones de datos e identifiquen mejor las amenazas que no han sido vistas.

Seguridad Informática: La vulnerabilidad de los sistemas de información

    La expansión de internet y la masificación de dispositivos tecnológicos son factores que han ido favoreciendo la aparición de ataques informáticos, que han afectado a grandes empresas y bancos alrededor del mundo, ocasionando pérdidas considerables, no solo económicas, sino en pérdidas de confianza y credibilidad por parte de los clientes en los sistemas de información.

   Hemos sido testigos en más de una ocasión, de alertas a clientes bancarios respecto de cautelar la entrega de información para no ser víctimas de un intento de fraude.

   Recordemos que la seguridad informática es el proceso de prevenir y detectar el uso no autorizado de un sistema informático, e implica proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o de obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente. Pero esto, requiere de medidas claras de control y monitoreo permanente de ellos.

   El hacker busca conseguir información valiosa. Sabe y conoce que el activo más importante en las organizaciones de cualquier naturaleza son sus datos. 

   La preocupación por las vulneraciones informáticas se comienza a agudizar en empresas de distintos países. Es por esto que un equipo de seguridad experto y con recursos, combinado con las herramientas adecuadas, puede hacer que la tecnología y las políticas trabajen de forma conjunta para obtener mejores resultados de seguridad.

   Se hace evidente la necesidad de contar con mejores prácticas que facilite la comprensión e implementación de nuevos sistemas de control que se adecuen a la realidad actual de cada empresa.

AMENAZA Vs VULNERABILIDAD, ¿SABES EN QUÉ SE DIFERENCIAN?

    La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se confunden a menudo. Veamos cómo se definen:

• Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.

• Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

     Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. El problema es que en el mundo real, si existe una vulnerabilidad, 

siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia. 

    Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante introducir el concepto de riesgo.

    El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.

CONTROL FISCAL EN VENEZUELA

    Los estudios del Control Fiscal han venido cobrando una gran importancia simultáneamente con el avance de la administración financiera. Abarca un campo tan amplio el control de la actividad estatal en general, y en particular el control fiscal, esta presente en el ordenamiento de los estados.

   La disciplina fiscal recorre el mundo. La sostenibilidad de las finanzas públicas, cada vez hay más consenso sobre ello en todos los países, es elemento esencial para el desarrollo económico y social. Pero en situaciones como la venezolana parece más fácil decirlo que hacerlo. Reducir un agudo desequilibrio fiscal, como el que persiste hasta ahora en Venezuela, no solo requiere decisión política, sino instrumentos eficaces. No solo requiere titulares de prensa sobre recortes, sino reglas de juego que garanticen una senda segura de eliminación de las perturbaciones. En el resto del mundo es cada vez más frecuente el diseño y puesta en marcha de reglas fiscales claras para imponer límites al déficit, al gasto y a la deuda pública y que, además, tengan bien definidas las instancias de decisión responsables y transparentes.

    Desde el punto de vista orgánico y funcional, el control fiscal, no se confunde con los actos y operaciones de naturaleza fiscal como el manejo de fondos o bienes del Estado, su conservación, inversión y control interno, sujetos a su escrutinio. Los actos de control fiscal independientemente de que refrenden o glosen una cuenta, partida o movimiento fiscal, tiene una entidad propia y carecen de subrogados dentro o fuera de la administración pública.

    La función de control estará sujeta a una planificación que tomará en cuenta los planteamientos y solicitudes de los órganos del Poder Público, las denuncias recibidas, los resultados de la gestión de control anterior, así como la situación administrativa, las áreas de interés estratégico nacional y la dimensión y áreas críticas de los entes sometidos a su control.

    La Contraloría General de la República es un órgano del Poder Ciudadano, al que corresponde el control, la vigilancia y la fiscalización de los ingresos, gastos  y bienes públicos, así como de las operaciones relativas a los mismos, cuyas actuaciones se orientarán a la realización de auditorias, inspecciones y cualquier tipo de revisiones fiscales en los organismos y entidades sujetos a su control.

    La Contraloría, en el ejercicio de sus funciones, verificará la legalidad, exactitud y sinceridad, así como la eficacia, economía, eficiencia, calidad e impacto de las operaciones y de los resultados de la gestión de los organismos y entidades sujetos a su control.

   Corresponde a la Contraloría ejercer sobre los contribuyentes y responsables, previstos en el Código Orgánico Tributario, así como sobre los demás particulares, las potestades que específicamente le atribuye esta Ley.

LA GESTIÓN DE RIESGO EN LA EMPRESA Y LA AUDITORIA.

    Actualmente se aprecia un auge de los sistemas de gestión de riesgos al interior de las empresas. Se constituyen principalmente en una herramienta para ayudar a la administración y la junta a enfrentar proactivamente los riesgos emergentes.

    Para un auditor debe ser importante la actitud general de la administración frente a la gestión del riesgo y la inversión que se haga sobre este tema. El comportamiento frente al riesgo en general, tendrá una incidencia en cómo se asuman los riesgos propios asociados con la información financiera y sus reportes.

    Es así como la falta de aceptación, a nivel ejecutivo, de la importancia de gestionar los riesgos de toda la empresa puede indicar una falta de compromiso con la gestión de los riesgos más estrechamente relacionados con los informes financieros.

   Por el contrario, algunos auditores entienden que el enfoque más amplio de la administración para gestionar los riesgos de toda la empresa puede ser interesante, pero no relevante para las auditorías de los estados financieros. Por ejemplo, riesgos como los movimientos de la competencia, la innovación disruptiva, los cambios en la demografía de los clientes, las preocupaciones sobre el talento o el impacto de los eventos geopolíticos, pueden parecer procesos externos a la contabilidad y a los controles internos del proceso de información financiera.

    Esta última posición pudiera ser equivocada. El débil compromiso de la administración para abordar los riesgos en general puede ser también un indicador del enfoque de la administración en los riesgos de la información financiera. Por lo tanto, el enfoque de la gestión de riesgos en toda la empresa de una organización puede proporcionar a los auditores información valiosa en el proceso de auditoría.

    Para un auditor es importante aprender sobre el enfoque empresarial de la gestión de riesgo, quién participa, los tipos de riesgos comerciales identificados y priorizados por la administración como parte de ese proceso; también es importante entender cómo la alta administración así como la junta o consejo supervisan la respuesta de la entidad a las preocupaciones de mayor riesgo, pues su manera de proceder puede proporcionar información valiosa para que el auditor planee de mejor manera sus auditorías. Este entendimiento puede revelar ideas sobre riesgos comerciales clave y el sistema de control interno en conjunto.

ASPECTOS SUSTANCIALES DE LAS NORMAS GENERALES DE AUDITORÍA DE ESTADO.

    Inicialmente se separa el contenido del Artículo 1 de las normas derogadas, en dos aspectos:

    El Objeto de las Normas y el Ámbito Subjetivo; dentro de las personas sujetas, específicamente en el numeral 6 del artículo 2, se incluye de forma expresa a “los auditores y firmas de auditores, certificados por la CGR (Contraloria General de la República), que ofrezcan o presten sus servicios profesionales en materia de control a los sujetos a que se refiere el parágrafo único del artículo 43 de la Ley Orgánica de la Contraloría General de la República y del Sistema Nacional de Control Fiscal”, se muestra un ajuste al ámbito de aplicación de los órganos, entes, personas natural.

   En el artículo 3, se refiere a la “Integración de la comunidad en la auditoría”, este es un aspecto novedoso en las normas, atendiendo a lo dispuesto en el artículo 62, de la Constitución de la República Bolivariana de Venezuela, ya mencionado al inicio. Es preciso plasmar el contenido exacto del artículo 3 de las normas:

   Los órganos de control fiscal procurarán incorporar a los ciudadanos y ciudadanas en el desarrollo de la auditoria. A tal fin podrán: 

1.- Solicitar información sobre el grado de satisfacción de las necesidades de la comunidad y la calidad de los servicios prestados por los órganos y entes del sector público. 

2.- Integrar a los ciudadanos y ciudadanas a las labores de control sobre la gestión pública, a fin de coadyuvar con el seguimiento a las recomendaciones formuladas por los órganos de control fiscal a los sujetos evaluados; a la verificación del cumplimiento de las acciones correctivas derivadas de la auditoria, así como para realizar cualquier actividad que contribuya a alcanzar los objetivos de la auditoria. La participación ciudadana en la auditoria se regulará por lo establecido en las Normas para Fomentar la Participación Ciudadana dictadas por la Contraloría General de la República”

  En el Artículo 5, se establece de forma expresa las fases de la Auditoría, diferenciándolas: planificación, ejecución, presentación de resultados y seguimiento; esta última fase no estaba contenida en las normas derogadas, en concordancia con lo contenido en el Manual de Normas y Procedimientos en Materia de Auditoría de Estado. Expresa claramente que “La Auditoría de Estado externa deberá complementarse con la Auditoria de Estado interna, a fin de tener una visión Integral y actualizada de las operaciones del objeto a evaluar”. Se describen los principios que rigen la actividad de la Administración Pública de forma expresa, economía, eficiencia, eficacia y oportunidad, establecidos en la Ley Orgánica de la Administración Pública. 

Uno de los aspectos importantes de las Normas es la obligación compartida que la misma atribuye a auditores y autoridades competentes en su artículo 9, de garantizar que los trabajos de auditoría realizados cumplan con “los criterios de calidad de general aceptación”, los cuales son descritos en los numerales 1 al 6 del Boletines técnicos de información e investigación financiera 12 artículo en referencia. 

    En el artículo 11, es el deber o la obligación que tendrán los auditores de apegarse en el desarrollo de su trabajo a los principios y valores “éticos” previstos tanto en el contenido de las nuevas normas como en la normativa que regule su ejercicio profesional (Código de Ética) y la conducta de los servidores públicos; alcances éstos últimos que no estaban contemplados en las disposiciones derogadas. 

     En el aspecto referido a la planificación de la auditoría, los epígrafes Aspectos Sustanciales de las nuevas Normas Generales de Auditoría de Estado 13 de los artículos 22 y 23 de las normas en comento, se mantiene la esencia, en cuanto a que la Auditoría de Estado estará sujeta a una planificación que tomará en cuenta los planteamientos y solicitudes de la Contraloría General de la República, la Superintendencia Nacional de Auditoría Interna y demás órganos o entes competentes. Se sustituye “programación de actividades” por “plan de acciones” manteniendo la esencia de la norma en este aspecto, estableciendo el contenido específico de la planificación de auditoría. 

LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO (INFORME COSO).

     El informe COSO, es el resultado de la investigación de un grupo de trabajo integrado por la Comisión Treadway con el objetivo de definir un nuevo marco conceptual de Control Interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema.

  

    En Estados Unidos de América, el Informe COSO ha permitido que académicos, legislativos, directores de empresas, auditores internos y externos y líderes empresariales tengan una referencia conceptual común de lo que significa el Control Interno, no obstante las diferentes definiciones y conceptos que sobre este tema existen.

     El estudio ha tenido gran aceptación y difusión en los medios financieros y en los Consejos de Administración de las organizaciones, resaltando la necesidad de que los administradores y altos directores presten atención al Control Interno, tal como COSO lo define, enfatizando la necesidad de los Comités de Auditoria y de una calificada Auditoria Interna y Externa, recalcando la necesidad de que el Control Interno forme parte de los diferentes procesos y no de mecanismos burocráticos.

LO QUE SE ENTIENDE POR CONTROL INTERNO.

      Los controles internos se diseñan e implantan con el fin de detectar, en un plazo deseado, cualquier desviación respecto a los objetivos de rentabilidad establecidos para cada empresa y de prevenir cualquier evento que pueda evitar el logro de los objetivos, la obtención de información confiable y oportuna y el cumplimiento de leyes y reglamentos.

 Los controles internos fomentan la eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la confiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes. No todas las personas entienden lo mismo por “Control Interno”, esto se agrava cuando sin estar claramente definido se utiliza en la normatividad.

En sentido amplio, se define como: un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: 

•  Eficacia y eficiencia de las operaciones. 
•  Confiabilidad de la información financiera. 
•  Cumplimiento de las leyes y normas aplicables.

SEGURIDAD DE LOS SISTEMAS

Seguridad de los sistemas:

    La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras. ​ Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

    La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

El objetivo de la  seguridad informática:

  Establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

•  La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
•  Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
•   La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

SISTEMA NACIONAL DE CONTROL FISCAL EN VENEZUELA

¿QUÉ ES EL SISTEMA NACIONAL DE CONTROL FISCAL EN VENEZUELA?

    Control Fiscal (Venezuela) El Control Fiscal es el conjunto de actividades realizadas por Instituciones competentes para lograr, mediante sistemas y procedimientos diversos, la regularidad y corrección de la administración del Patrimonio Público.

CONTROL FISCAL EN VENEZUELA

 Los estudios del Control Fiscal han venido cobrando una gran importancia simultáneamente con el avance de la administración financiera. Abarca un campo tan amplio el control de la actividad estatal en general, y en particular el control fiscal, está presente en el ordenamiento de los estados.

    La disciplina fiscal recorre el mundo. La sostenibilidad de las finanzas públicas, cada vez hay más consenso sobre ello en todos los países, es elemento esencial para el desarrollo económico y social. Pero en situaciones como la venezolana parece más fácil decirlo que hacerlo. Reducir un agudo desequilibrio fiscal, como el que persiste hasta ahora en Venezuela, no solo requiere decisión política, sino instrumentos eficaces. No solo requiere titulares de prensa sobre recortes, sino reglas de juego que garanticen una senda segura de eliminación de las perturbaciones. En el resto del mundo es cada vez más frecuente el diseño y puesta en marcha de reglas fiscales claras para imponer límites al déficit, al gasto y a la deuda pública y que, además, tengan bien definidas las instancias de decisión responsables y transparentes.

El control interno.

    La Nueva Ley Orgánica de la Contraloría General de la República y del Sistema Nacional de Control  Fiscal, ha dedicado todo un capítulo a la definición y desarrollo del Control Interno de la Administración Pública.

   Sobre ese particular hay que establecer algunas distinciones. La Doctrina Moderna considera que es una obligación de la Administración Pública en su actuación rutinaria, establecer un control primario ó interno de la Administración Activa, que debe examinar el Acto del Administrador, inclusive dando oportuna solución a los problemas que pudieran presentarse, actuando de conformidad con la Constitución y las Leyes. En este caso puede colegirse, que el Control Interno incluido su sistema integral, difiere del control externo, en virtud que el primero lo realiza la propia administración activa y el segundo un ente totalmente distinto a el.

    Conforme a lo establecido en el Artículo 35 de la citada Ley, el Control Interno es un sistema que comprende el plan de organización, las políticas, normas así como los métodos y procedimientos adoptados dentro de un Ente u Organismo sujeto a la Ley, para salvaguardar sus recursos, verificar la exactitud y veracidad de su información financiera y administrativa, promover la eficiencia, economía y calidad en sus operaciones, estimular la observancia de las políticas prescritas y lograr el cumplimiento de su misión, objetivos y metas. No deja la Ley ninguna duda sobre a quién corresponde la responsabilidad de organizar, establecer, mantener y evaluar el Sistema de Control Interno, ya que el Artículo 36 de la Ley en comento, obliga a las máximas autoridades de cada Ente a implantarlo, adecuándolo a la naturaleza, estructura y fines del Ente.

DE CUERDO A ALA LEY ORGÁNICA DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA Y DEL SISTEMA NACIONAL DE CONTROL FISCAL Gaceta Oficial de la República Bolivariana de Venezuela No. 6.013 Extraordinario del 23 de diciembre de 2010.
 

Capítulo II Del control interno.

Artículo 35. El control interno es un sistema que comprende el plan de organización, las políticas, normas, así como los métodos y procedimientos adoptados dentro de un ente u organismo sujeto a esta Ley, para salvaguardar sus recursos, verificar la exactitud y veracidad de su información financiera y administrativa, promover la eficiencia, economía y calidad en sus operaciones, estimular la observancia de las políticas prescritas y lograr el cumplimiento de su misión, objetivos y metas.

Artículo 36. Corresponde a las máximas autoridades jerárquicas de cada ente la responsabilidad de organizar, establecer, mantener y evaluar el sistema de control interno, el cual debe ser adecuado a la naturaleza, estructura y fines del ente.

Artículo 37. Cada entidad del sector público elaborará, en el marco de las normas básicas dictadas por la Contraloría General de la República, las normas, manuales de procedimientos, indicadores de gestión, índices de rendimiento y demás instrumentos o métodos específicos para el funcionamiento del sistema de control interno.

Artículo 38. El sistema de control interno que se implante en los entes y organismos a que se refieren el artículo 9, numerales 1 al 11, de esta Ley, deberá garantizar que antes de proceder a la adquisición de bienes o servicios, o a la elaboración de otros contratos que impliquen compromisos financieros, los responsables se aseguren del cumplimiento de los requisitos siguientes:

1. Que el gasto esté correctamente imputado a la correspondiente partida del presupuesto o, en su caso, a créditos adicionales.

2. Que exista disponibilidad presupuestaria.

3. Que se hayan previsto las garantías necesarias y suficientes para responder por las obligaciones que ha de asumir el contratista.

4. Que los precios sean justos y razonables, salvo las excepciones establecidas en otras leyes.

5. Que se hubiere cumplido con los términos de la Ley de Licitaciones, en los casos que sea necesario, y las demás leyes que sean aplicables. Asimismo, deberá garantizar que antes de proceder a realizar pagos, los responsables se aseguren del cumplimiento de los requisitos siguientes:

Artículo 39. Los gerentes, jefes, jefas o autoridades administrativas de cada departamento, sección o cuadro organizativo específico deberán ejercer vigilancia sobre el cumplimiento de las normas constitucionales y legales, de los planes y políticas, así como de los instrumentos de control interno a que se refiere el artículo 35 de esta Ley, sobre las operaciones y actividades realizadas por las unidades administrativas y servidores de las mismas, bajo su directa supervisión.

Artículo 40. Sin perjuicio de las funciones de la Contraloría General de la República y de lo dispuesto en el artículo 36, corresponde a las unidades de auditoría interna de las entidades a que se refieren el artículo 9, numerales 1 al 11, de esta Ley, evaluar el sistema de control interno, incluyendo el grado de operatividad y eficacia de los sistemas de administración y de información gerencial, así como el examen de los registros y estados financieros, para determinar su pertinencia y confiabilidad, y la evaluación de la eficiencia, eficacia y economía en el marco de las operaciones realizadas.

Artículo 41. Las unidades de auditoría interna en el ámbito de sus competencias, podrán realizar auditorías, inspecciones, fiscalizaciones, exámenes, estudios, análisis e investigaciones de todo tipo y de cualquier naturaleza en el ente sujeto a su control, para verificar la legalidad, exactitud, sinceridad y corrección de sus operaciones, así como para evaluar el cumplimiento y los resultados de los planes y las acciones administrativas, la eficacia, eficiencia, economía, calidad e impacto de su gestión.

PRINCIPIOS Y NORMAS SOBRE LA REALIZACIÓN DEL TRABAJO DE AUDITORÍA

    Cuando se efectúen auditorías siguiendo los principios recomendados para la realización de estos trabajos, se tendrá la garantía de que los auditores aplican procedimientos que les permitirán, en circunstancias dadas, alcanzar los objetivos de auditoría. El cumplimiento de los principios señalados proporcionará pruebas suficientes y válidas para apoyar razonablemente las opiniones, juicios y conclusiones, respecto a los objetivos de auditoría.

ENUMERACIÓN Y DEFINICIÓN

1. Planificación El auditor deberá planificar su trabajo con el fin de identificar los objetivos de la auditoría a realizar y de determinar el método para alcanzarlos de forma económica, eficiente y eficaz.

2. Supervisión La supervisión del trabajo realizado por todos y cada uno de los miembros del equipo es esencial para asegurarse el cumplimiento de los objetivos de la auditoría y el mantenimiento de la calidad del trabajo.

3. Control interno El auditor, para determinar la naturaleza y la extensión de la auditoría a efectuar, deberá estudiar y valorar el control interno existente.

4. Evidencia Para fundamentar sus opiniones y conclusiones, el auditor deberá obtener evidencia suficiente, pertinente y válida, mediante la realización y evaluación de las distintas pruebas de auditoría que se consideren necesarias.

5. Revisión del cumplimiento legal Deberá revisarse el cumplimiento de las leyes y reglamentos aplicables.

6. Importancia relativa y riesgo en la auditoría El auditor deberá considerar la importancia relativa y el riesgo en la auditoría cuando planifica, selecciona la metodología, determina los sondeos a efectuar y los procedimientos a aplicar, especialmente cuando decide introducir una salvedad sobre un punto dado.

NORMAS DE AUDITORIA

NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS (NAGA´s)

  Las normas de auditoría generalmente aceptadas (NAGA) son Los principios fundamentales de auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

CLASIFICACIÓN DE LAS NAGAS

     En la actualidad las NAGAS, vigentes son 10, las mismas que constituyen los (10) diez mandamientos para el auditor y son:

 Normas Generales o Personales:

1. Entrenamiento y capacidad profesional 

2. Independencia 

3. Cuidado o esmero profesional. Normas de Ejecución del Trabajo 

4. Planeamiento y Supervisión 

5. Estudio y Evaluación del Control Interno 

6. Evidencia Suficiente y Competente Normas de Preparación del Informe 

7. Aplicación de los Principios de Contabilidad Generalmente Aceptados. 

8. Consistencia 

9. Revelación Suficiente 

10.Opinión del Auditor

DEFINICIÓN DE LAS NORMAS

   Estas normas por su carácter general se aplican a todo el proceso del examen y se relacionan básicamente con la conducta funcional del auditor como persona humana y regula los requisitos y aptitudes que debe reunir para actuar como Auditor. La mayoría de este grupo de normas es contemplado también en los Códigos de Ética de otras profesiones. Las Normas detalladas anteriormente, se definen de la forma siguiente:

   Entrenamiento Y Capacidad Profesional "La Auditoria debe ser efectuada por personal que tiene el entrenamiento técnico y pericia como Auditor". Como se aprecia de esta norma, no sólo basta ser Contador Público para ejercer la función de Auditor, sino que además se requiere tener entrenamiento técnico adecuado y pericia como auditor. Es decir, además de los conocimientos técnicos obtenidos en los estudios universitarios, se requiere la aplicación práctica en el campo con una buena dirección y supervisión.

GENERALIDADES DE LA NORMA

     Los Propósitos, el alcance y la aplicación de las normas de auditoría:

    La ejecución de un trabajo de auditoría conforme a las directrices debe organizarse y documentarse de forma apropiada con el fin de que pueda delegarse entre los colaboradores del equipo, de forma que cada uno de ellos conozca detalladamente que debe hacer y a qué objetivo final debe dirigir su esfuerzo. 

   Que el trabajo quede registrado de manera que permita su revisión, evaluación y obtención de conclusiones en las que fundamentar una opinión sobre la información contable sujeta a auditoria. La necesidad de planificar, controlar y documentar el trabajo es independiente del tamaño del cliente. 

    Los objetivos perseguidos con la planificación y control son; mejorar el nivel de eficiencia, con la consiguiente reducción de tiempo necesario, y mejora del servicio al cliente, garantizar que la auditoría se ejecutará adecuadamente, mejorar las relaciones con los clientes y permitir al personal un mayor grado de satisfacción en el trabajo. Habitualmente es necesario preparar alguna forma de plan escrito antes de iniciar cualquier trabajo de auditoría. No obstante su grado de detalle y formalización dependerá de muchos factores, por ejemplo, del número de personas involucradas y de si estén o no ubicadas en la misma oficina o el mismo país. Las normas de auditoría incluyen la estipulación de que el trabajo ha de ser adecuadamente planeado. Las normas de auditoría controlan la naturaleza y alcance de la evidencia que ha de obtenerse por medio de procedimientos de auditoría, una norma es un patrón de medida de los procedimientos aplicados con aceptabilidad general en función de los resultados obtenidos.

NUEVAS TENDENCIAS PARA AUDITORIA INTERNA

       Una mala administración o gestión sobre los activos, inversión y estrategias de tecnología pueden llevar a una empresa a tener pérdidas de información confidencial, daños a su reputación e incluso fallas irreparables.

    Según Julio Yoli, de la consultora BDO Panamá, aspectos como el espionaje digital están afectando la privacidad y protección de datos de clientes y como la creciente industria del espionaje digital y el robo de identidad por bandas de ciber terroristas que han pasado a ser una sería preocupación para las juntas directivas y accionistas de las empresas.

      La auditoría interna es importante porque ofrece una revisión independiente de la empresa para dar confianza sobre la eficiencia del control interno de las operaciones y entorno de tecnología de la empresa, todo con la finalidad de prestar un servicio a la alta gerencia.

    En este mundo cambiante, es importante que la función de Auditoría Interna busque un equilibrio entre el enfoque tradicional de una auditoría y la identificación de riesgos en los distintos procesos de negocio.

    Hoy en día, las organizaciones hacen frente a nuevos retos en cuanto a Gobierno Corporativo y Administración de Riesgos en lo concerniente al intenso escrutinio interno y externo, por lo cual la función de auditoría interna toma valor importante en la evaluación de los controles internos considerando aspectos que pueden reducir futuros riesgos en actividades operativas.

     Para Yoli, una mala administración en el área de tecnología es consecuencia de múltiples factores, principalmente de una mala distribución de los recursos (humano y tecnológico) lo que podría conllevar a un mal manejo de proyectos sin un control sobre el esfuerzo, tiempo y dinero invertido en recursos tecnológicos.

    

     El mayor de los problemas es la falta de una alineación entre la Gerencia de Tecnología y la Alta Gerencia porque esto conlleva un desconocimiento fundamental de los requerimientos del negocio para determinar así las prioridades de tecnología. Si tecnología no está preparada para dar valor y apoyo a los objetivos estratégicos de la organización no se puede administrar sus recursos, inversiones, proyectos o personal de tal manera que ambos trabajen para un fin común, dijo Yoli.

      Para evitar la pérdida de información confidencial es importante aplicar controles de acceso y una adecuada segregación de funciones a lo interno de los sistemas de información del negocio, pero aún así debe haber un constante monitoreo sobre la eficiencia de estos controles y su correcta aplicación.

     En la actualidad existen herramientas como Barcelona/04 que está enfocada a centralizar eventos de seguridad y procesos de negocio creando alertas que permitan conocer situaciones de riesgo en tiempo real para poder tomar acciones preventivas y/o correctivas ante cualquier evento.

    También existen herramientas que permiten registrar todas las actividades que realizan los usuarios dentro de un sistema de información como lo son las bitácoras o registros de auditoría que se encuentran integrados como una opción de seguridad en gran parte de los sistemas de información de los negocios. Esta opción es muy utilizada por los auditores durante su proceso de verificación de los accesos a la información confidencial del negocio, manifestó el consultor.