Principios básicos de auditoría

Avatar

Si estás leyendo este blog, probablemente en algún momento te has interesado por A2Secure y habrás ojeado la página web en busca de servicios de ciberseguridad y/o compliance. Como seguro habrás podido comprobar, una parte muy importante de nuestros servicios están orientados a la adaptación y certificación (a través de procesos de auditoría) de entornos IT a normativas como PCI-DSS o GDPR.

A través de este artículo me gustaría recordar los principios básicos de auditoría que seguimos en A2Secure cuando nos encontramos delante de un proyecto de certificación PCI-DSS. Es cierto que la mayoría de nosotros tenemos claro lo importante que es para el éxito del proyecto los conocimientos técnicos y normativos que se presuponen de un QSA. Pero a veces nos olvidamos de aspectos de igual o más importancia como la ética o la profesionalidad del auditor que tenemos delante. Empecemos por el principio;

¿Qué es un proceso de auditoría?

Generalmente, es la acción de verificar que un determinado hecho o circunstancia ocurra de acuerdo a lo planeado* . Si se habla de la auditoría en una organización, se refiere a las pruebas que se realizan a la información financiera, operacional, administrativa y/o en los sistemas de información con base al cumplimiento de obligaciones jurídicas, fiscales o normativas. Se refiere también a las políticas y lineamientos establecidos por la propia entidad de acuerdo a la manera en que opera y se administra.

En el caso concreto de una auditoría PCI, es necesario validar más de 240 controles sobre los sistemas de información de la organización para asegurar que se han desplegado todas las medidas de seguridad exigidas por el PCI SSC (Payment Card Industry Security Standards Council) para minimizar el riesgo de fraude o robo de tarjetas de crédito/débito. Como veremos a continuación, el encargado de ello es el QSA (Qualified Security Assessor).

¿Qué es un QSA?

Un auditor QSA (Qualified Security Assessor) es aquella persona con los conocimientos necesarios para llevar a cabo una auditoría PCI y evaluar la eficacia de los controles de seguridad implementados por una organización para proteger los datos de tarjeta de sus clientes. Según el Council: “El Asesor de seguridad calificado de la industria de tarjetas de pago (PCI QSA) es una designación conferida por el Consejo de estándares de seguridad de PCI a las personas que considera calificadas para realizar evaluaciones de PCI y servicios de consultoría”**.

qsa_1

Principios básicos de auditoría que seguimos en A2

A parte de los conocimientos técnicos y normativos de todos nuestros QSAs, en A2Secure ponemos el foco en los siguientes 6 principios definidos por la ISO*** para estar seguros que el trabajo realizado cumple con los estándares de seguridad exigidos por el sector:

  • Integridad: El QSA debe ser una persona honesta, profesional, justa e imparcial y desempeñar su trabajo con honestidad, diligencia y responsabilidad. Tiene que observar y cumplir todos los requisitos que sean aplicables, demostrar la competencia a la hora de realizar su trabajo, desarrollar su trabajo de forma imparcial, es decir, sin estar influenciados por nada y por nadie. Debe ser sensible a cualquier influencia que pueda ejercer su juicio mientras realiza una auditoría PCI.
  • Presentación ecuánime/imparcial: El QSA debe reportar con veracidad y exactitud los hallazgos de la auditoría PCI y tiene que informar de todos los obstáculos que se encuentra en el camino al realizar la auditoría y las opiniones divergentes que se queden sin resolver entre el equipo auditor y la persona auditada. La comunicación tiene que ser veraz, exacta, objetiva, oportuna, clara y completa.
  • Debido cuidado profesional: El QSA debe darle la debida importancia a las actividades de la auditoría PCI con diligencia y cuidado, según la importancia que tenga la tarea que quiere desempeñar y la confianza que se deposite en él por parte del cliente y demás partes interesadas.
  • Confidencialidad: El QSA debe ser discreto en el uso de la información recolectada durante la auditoría. La información de la auditoría no puede usarse de forma inapropiada para beneficio personal del QSA o del cliente. El concepto incluye el tratamiento apropiado de la información sensible o confidencial.
  • Independencia: El QSA debe estar libre de sesgos y no tener conflictos de interés con el área, proceso o actividad que es auditada. Por tanto, cuando un QSA esté revisando y verificando los controles desplegados en los sistemas de información de una organización y vea que la independencia se ve comprometida por alguna relación financiera, laboral, familiar o de cualquier otra índole, deberá abstenerse de actuar.
  • Enfoque basado en la evidencia: El QSA debe procurar que la evidencia de la auditoría sea verificable y esté basada en muestras objetivas de la información disponible. Debe ser justo y no permitir ningún tipo de influencia o prejuicio.

Conclusiones

Si bien es cierto que los conocimientos técnicos, normativos y los conocimientos específicos del sector (turismo, banca, farma, etc.) de cada cliente son importantes para llevar a cabo un buen trabajo, la ética profesional de los auditores que participan en el proyecto tiene que ser impecable ya que su credibilidad depende de ello. No nos gusta ver casos en las noticias y escuchar decir que todo el mundo tiene un precio, aduciendo que la gente vende sus opiniones, sus informes, sus firmas, etc. Para evitar que esta situación siga existiendo, trabajemos todos juntos; auditados y auditores en asegurar que los 6 principios anteriores se cumplen en todos nuestros proyectos.

* Lattuca, Antonio; Mora, Cayetano y otros: Manual de Auditoría. Junio de 1991

** Payment Card Industry (PCI) Data Security Standard Glossary, Abbreviations and Acronyms

*** ISO 19011:2011 Guidelines for auditing management systems

Autor: Guillem Cuesta

Leave a Comment

pci dss-v4.0protección-datos-empresas