18/04/2024

responsabilidad

EL EFECTO PARI EN EL CONTROL INTERNO

Guido Rosales 08/11/2017

Sin duda alguna los siguientes meses y hasta años oiremos hablar mucho del "Efecto PARI". Si tomamos en cuenta la relación causa y efecto, tendremos que analizar las causas que llevan a una situación como la que esta atravesando el Banco Unión. Mas allá del tema político nos interesa el aspecto técnico del control interno, bajo un escenario cada vez más digital y automatizado.

EFECTO PARI ha alcanzado a Operativos, Gerentes, reguladores y otros. Quizá el monto, el tipo de entidad, el momento político y sobre todo la amplia cobertura mediática han contribuido. Entre todo, tendremos unos buenos años de MIEDO, en lugar de decir “cuidado con el cucu”, podremos decir “Efecto Pari”.

En una época donde la cantidad de información digital ha sobrepasado toda razonabilidad de imaginación y tiene a aumentar se hace muy difícil anticipar las brechas en el control interno. Por un lado, hemos visto comprobado que las entidades sin importar su giro de negocio o actividad buscan protegerse del que está afuera y no tienen el mismo cuidado hacia adentro.

Los sistemas de información no solo están ayudando a aligerar tareas conocidas, sino están creando nuevas formas de negocio. En ese escenario tenemos muchas áreas que requieren atención. Citemos algunas:

  1. La brecha generacional entre quienes dirigen y quienes operan. Ya no es un tema de conocimiento tradicional, sino de verdadera brecha digital donde unos conocen la forma rutinaria de hacer las cosas y los otros conocen muy bien los instrumentos actuales y las muchas otras posibilidades que se pueden lograr. Si vemos por ejemplo la edad de quienes controlan y dirigen tendremos fácilmente un promedio de 50 años para arriba. Bajo este esquema tratar de implementar tecnología actual se hace misión imposible, del 1 al 10. No vamos a negar que existen instituciones que a lo largo de los años han desarrollado sensores humanos de seguridad. Redes humanas con alta fidelidad a los dueños o directores que alertaban de todo acontecimiento raro en el negocio y esto permitía actuar hasta de manera muy oportuna. Seguimos teniendo esos esquemas. Pero tienen los días contados. Los sentidos humanos no sirven para controlar el mundo digital.
  2. La brecha tecnológica de control. Con cierto optimismo, tímido y hasta permisivo decimos que nuestras empresas ya están entendiendo que el mundo digital se controla con técnicas y herramientas digitales. Estos días por ejemplo se ha levantado mucho polvo en los medios de comunicación sacando estadísticas de cuánto gasta cada entidad financiera en materia de seguridad, pero ojo FÍSICA. Si solo tomamos los años 2016 y 2017 y colocamos en una balanza los delitos digitales versus los delitos físicos tradicionales a mano armada, creo que solo el caso de PARI supera a todo el resto. Porque entonces no muestran e investigan la inversión en seguridad digital? Simple. La brecha digital. Las personas tienden a hablar de lo que conocen.
  3. Del antivirus a los sistemas inteligentes de seguridad. Presupuestar una solución antivirus ya es historia y hasta obsoleto. Cuando en 17 años ya logramos que se considere este ítem en el presupuesto de seguridad, resulta que ahora se considera los sistemas antivirus obsoletos. Ahora se hablan de soluciones integrales y complementarias como DLPs, WAF, SIEM, Machinelearning, sistemas de seguridad basados en inteligencia artificial, modelos de markov y redes bayesianas. En el fondo vemos una afusión entra técnicas avanzadas de programación y matemáticas. Lamentablemente como país estamos a buenos años no solo de poder comprar esas soluciones, quizá es lo más fácil, sino muy lejos de entender y tratar de crear nuestras propias herramientas. Así que tener un antivirus y un firewall es como tener un guardia para 20 agencias. Sera imposible que sea efectivo.
  4. La responsabilidad de la alta dirección. Definitivamente las leyes las escriben para un mundo de átomos. Se dice por ejemplo que los directores son responsables de la información en todo el negocio. Pero los mismos directores no entiende estas responsabilidades. Aceptar tal situación es como jugar una ruleta rusa donde cada año se le aumenta un proyectil al tambor. La cantidad de información que circula por las redes empresariales hace imposible que esta pueda ser controlada tratando de equilibrar el acceso a la información con la protección de la misma. Esto va de mal en peor por cuanto las nuevas generaciones entienden cada vez menos de privacidad y confidencialidad, ellos quieren tener libre acceso a todo. No está mal si definiéramos ese TODO permisible de ser publicado, pero como no se hace, quedamos expuestos con la información.
  5. Debemos repensar la efectividad de las auditorias sin herramientas. La necesidad de un control más cercano al proceso. Mas inmediato. Todo esto viene con el reciclaje del recurso humano o con su inevitable renovación. Los auditores deben actualizarse e implementar herramientas. Quiza tengamos que reforzar unidades de control interno de TI para apoyar sin modificar areas ya estructuradas.

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023