Por Mariana Martinez Brizuela y Lorena Almirón
A partir de la entrada en vigencia de la Comunicación A 7724 en septiembre, que establece nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información, las Entidades comenzaron a evaluar lo actuado. Durante estos 180 días, hemos acompañado a numerosas instituciones en su proceso de adaptación a esta norma, ya sea como auditores internos o externos, o brindando asesoramiento para el armado del GAP.
Este período nos ha permitido obtener una visión global de lo que está sucediendo en la industria y aprender importantes lecciones. En base a esta experiencia compartimos algunas dudas o errores de alineación que fuimos recogiendo en el ejercicio del trabajo:
1. El papel de las áreas en confección del GAP:
- Falta de involucramiento de las áreas técnicas: Algunas áreas técnicas, especialmente las dependientes de IT y Seguridad, plantean que no es necesario su involucramiento, argumentando que la norma solo es aplicable al área de Riesgos. Esto puede resultar en un GAP parcial en la implementación.
- Análisis por silos: Otras entidades han dividido la norma en secciones y asignado distintas áreas para cada sección, perdiendo la oportunidad de abordar el trabajo de manera integral.
- Sobreanálisis en mesa conjunta: En contraste, algunas entidades han formado una única mesa de trabajo en la que se realizan todos los análisis en conjunto, lo que puede llevar a una parálisis por sobreanálisis.
En este sentido, recomendamos enfocarse en los objetivos implementados y el nivel de madurez deseado. Si algunas áreas no participaron inicialmente en la revisión completa, se debe aprovechar la actualización con la Comunicación A 7783 para involucrarlas, hecho que puede lograrse con el apoyo de un tercero o a través del patrocinador del proyecto.
2. Formas de abordaje del GAP y sus resultados:
- Falta de evidencia vinculada: Algunas entidades han realizado un análisis exhaustivo y cuentan con una matriz de evaluación, pero esta no está vinculada a la evidencia que respalda el análisis.
- Falta de análisis de cumplimiento: La matriz GAP incluye necesidades para planes de acción, pero no parte de un análisis de nivel de cumplimiento.
Recomendamos revisar estos aspectos con la entrada en vigor de la Comunicación A 7783, haciendo un análisis de lo actuado, incorporando buenas prácticas en la medición del nivel de madurez. El auditor debe tener acceso a la evidencia que respalda el GAP, apoyarse en el comité para que el equipo de auditoría disponga de horas y recursos para poder avanzar con la recopilación y análisis de la evidencia.
3. Nivel involucramiento de los patrocinadores del proyecto
- Alto involucramiento sin documentación: Algunos patrocinadores participan activamente pero no generan evidencia de sus decisiones.
- Exceso de participación: En otros casos, el patrocinador está muy involucrado en la operación diaria y pierde la visión estratégica.
- Falta de involucramiento: En algunos proyectos, el patrocinador no está involucrado en absoluto.
Recomendamos trabajar para lograr el involucramiento del directorio y la alta gerencia a través del patrocinador. En casos de alto involucramiento, es importante documentar la participación del patrocinador, en aquellos casos donde no se haya definido esta figura, se debe nombrarla, implementando acciones concretas para sumarlo al momento de la toma de decisiones. En el exceso de participación, se debe separar gradualmente al patrocinador de las cuestiones administrativas para evitar que actúe como ejecutor.
Respecto del nivel de involucramiento, recomendamos a los equipos trabajar para lograr el involucramiento del directorio y la alta gerencia a través de la figura del patrocinador, en aquellos casos donde no se haya definido esta figura, se debe nombrarla, implementando acciones concretas para sumarlo al momento de la toma de decisiones y en todas las situaciones que así lo ameriten.
4. El rol del auditor
- Falta de exposición en comité de auditoría: Algunos auditores tienen un alto involucramiento, pero poseen una baja exposición en el comité de auditoría.
- Enfoque en gestión en lugar de razonabilidad del GAP: Algunos auditores opinan sobre la gestión, pero no sobre la razonabilidad del GAP.
- Sin involucramiento: En otros casos, los auditores no se involucran
Recomendamos que los auditores se acerquen a los equipos de trabajo, opinen sobre el alcance del proyecto, la participación de la alta gerencia y el resultado del GAP. Enfoquen su trabajo en la razonabilidad del GAP y la viabilidad de las fechas, y no solo en la gestión. Además, deben ajustar sus metodologías y emitir informes que brinden valor al comité, el directorio y la alta gerencia.
En conclusión, con la entrada en vigor de la Comunicación A 7783, se presenta una oportunidad para abordar de manera integral las normas A 7724 y A 7783. Es crucial enfocarse en los dominios, lograr el involucramiento adecuado de patrocinadores y áreas técnicas, y mejorar la exposición y calidad de los informes de auditoría. Estas medidas ayudarán a las entidades a fortalecer su ciberseguridad y auditoría de sistemas en un mundo cada vez más digital y en constante cambio.