La evaluación de la eficacia operativa de los controles de seguridad por parte del equipo de evaluación de riesgos de seguridad de la información para garantizar que los riesgos e incidentes de seguridad de la información no ocurran o se gestionen de manera efectiva.

La eficacia operativa y la eficiencia de los controles internos de seguridad de la información son parámetros importantes para evaluar el riesgo de pérdida de datos en cualquier organización. Uno puede tener una visión de la organización mediante la comprensión de sus controles internos y su eficacia operativa. No sólo es necesario diseñar e implantar los controles internos, sino que lo principal es garantizar la eficiencia y eficacia del funcionamiento de los controles. La efectividad de los controles significa reducir las posibilidades de fraude o identificar muchos riesgos de fraude relacionados con la información y los datos con la ayuda de los controles implementados.

Evaluación de la eficacia operativa de los controles de seguridad

Las políticas y procedimientos se revisan para verificar su precisión y cobertura para evaluar la efectividad y eficiencia operativa de los controles de seguridad de la información. Los procedimientos deben abarcar todos los aspectos y pasos que conforman el proceso global. También se evalúa el riesgo de anulación de los controles. Si la gerencia encuentra que los controles son fácilmente anulados, significa que las posibilidades de fraude aumentan.

La dirección debe tomar medidas inmediatas para garantizar que se diseñan e implementan controles sólidos sin posibilidad de ser anulados. Las organizaciones utilizan la tecnología y la inteligencia artificial para construir controles robustos, eliminando la posibilidad de anular los controles por parte de empleados o personas externas.

La gerencia y los empleados también son entrevistados para evaluar la efectividad operativa de los controles internos. El entrevistador evalúa los riesgos de actividades fraudulentas o intenciones relacionadas durante la entrevista. Entrevistar a las personas adecuadas, cuestionar y enfatizar los derechos de acceso a los datos ayuda a identificar y evaluar los riesgos de seguridad de la información en diferentes procesos y departamentos de la organización.

Los informes de auditoría de los departamentos y procesos, especialmente los informes de auditoría interna, también ayudan a evaluar los riesgos de seguridad de la información y las violaciones de los controles de seguridad de datos. Los auditores internos revisan los procesos y transacciones de los distintos departamentos y comparan las actividades con las políticas y procedimientos aprobados. Los auditores internos realizan una prueba de los controles de seguridad de la información.

En caso de desviaciones y violaciones de los controles de seguridad de la información por parte de los empleados y departamentos, los auditores internos informan de dicha violación de datos o problemas de violación de control de datos en forma de observaciones de auditoría de seguridad de la información. Por lo tanto, los informes de auditoría también sirven como punto de referencia para identificar los procesos y controles débiles que exponen a la organización a riesgos e incidentes de seguridad de la información.

Los auditores internos también realizan investigaciones de fraude de datos o información. Se identifican las razones de la ocurrencia de fraudes de datos o información, y se descubren los hechos de por qué se han producido incidentes de fraude de datos o información a pesar de implementar controles de seguridad de la información. Una revisión de los informes de investigación de fraude de datos o información de los auditores internos también ayuda a evaluar los débiles controles de seguridad de la información y las brechas que causaron el fraude de datos o información en particular.

A medida que los informes de auditoría interna y los informes de investigación de fraude de información o datos se comparten con el Comité de Auditoría de la Junta o BAC, la junta se actualiza sobre los riesgos de seguridad de la información y los incidentes de fraude relacionados con los datos que ocurrieron y se informan dentro de la organización.

BAC emite una guía con respecto a los controles de seguridad de la información y se proporciona una hoja de ruta a la administración para garantizar que no ocurran fraudes de datos o información en el futuro.

La efectividad operativa de los controles de seguridad de la información se evalúa mediante la asignación de «Calificaciones de riesgo de control», como las siguientes:

• – para un control muy eficaz
• 4 – para un control efectivo
• 3 – para un control moderadamente efectivo
• 2 – para un control marginalmente efectivo
• 1 – para un control no efectivo

Estas clasificaciones ayudan al equipo de gestión de riesgos de seguridad de la información o al propietario del proceso respectivo a identificar los elementos de control de seguridad de la información débiles o faltantes en la trayectoria de controles existente.

Reflexiones finales

Se observan las actividades de los empleados para identificar cualquier debilidad en los procesos de protección y acceso a datos o la posibilidad de que un empleado infrinja los controles de seguridad de datos. Puede haber situaciones en las que los empleados no estén bien capacitados o educados sobre los controles de seguridad de la información, lo que se identifica a través de la observación de los empleados mientras realizan sus tareas.

Los investigadores de fraude también prueban las transacciones sobre una base de muestra para identificar aquellas transacciones donde ocurren incidentes de seguridad de la información o que pueden identificar los riesgos de fraude de datos. También se realizan recorridos de transacciones y procesos para garantizar que los controles de seguridad de la información funcionen de manera efectiva y eficiente.