Tenemos varias formas de comprobar si los procesos de control son óptimos o si el sistema de gestión de seguridad está de acuerdo a los riesgos actuales que una empresa tiene en un determinado periodo de tiempo o y si cuenta con los procedimientos adecuados, escritos, capacitados y entrenados, y esta forma de comprobación son a través de una auditoría interna de un miembro del equipo de seguridad, o a través de un auditor miembro pero de una área distinta o a través de una auditoría externa que sería lo más recomendable básicamente por dos razones: porque es objetiva y porque no está contaminada por los procesos rutinarios.

Si la Auditoría externa emite un informe,  él área auditada tiene dos posiciones: tomar los hallazgos y recomendaciones como oportunidades de mejora y seguir todas las observaciones, o hacer una defensa férrea de que lo encontrado no es correcto, que todo está bien, que todo lo tienen, sin embargo, a la luz de la verdad no pueden evidenciarlo en su totalidad. Y justamente esta posición de tratar de minimizar el real estado de los controles de seguridad es el principal riesgo.

El riesgo de ignorar los resultados objetivos de la Auditoría seguro se  materializará con el tiempo porque la rutina los volverá miopes a los responsables de aplicarlos y no solo expondrá al mismo sistema, sino involucrará a los representantes legales y podría llegar hasta generar un daño reputacional.

Generar este riesgo ocultando el real estado para no evidenciar una débil gestión (que puede mejorarse),  u ocultar si los perfiles son los adecuados  es en realidad un acto negligente. Las Auditorías externas no buscan culpables, buscan identificar y recomendar las mejores acciones para reducir las brechas de seguridad con la finalidad de mitigar o gestionar todos los riesgos posibles que pueden ser visibles, no visibles, sus impactos y daños colaterales.

 

Luis Molina

Director Ejecutivo

M&M Security Audit – Consulting Group

www.mymsecurityaudit.com