P: ¿Cómo cree usted que está cambiando o ha cambiado el rol del auditor de SI? ¿Cuál sería su mejor consejo para los auditores de SI mientras planean su carrera y miran el futuro de la auditoría de SI?

R: En mi opinión el rol del auditor de SI se ha expandido, lo que hace necesario involucrarlos en todas las áreas de la empresa, especialmente en la gestión de proyectos. Ellos deberían estar involucrados en los proyectos para considerar bien, desde un principio, todos los aspectos de seguridad. Ahora bien, las principales funciones del auditor de SI como tales no han cambiado, dado que se espera que el auditor de SI proporcione una visión objetiva de los procesos de riesgo y control en cualquier organización. Sin embargo, dado los avances en tecnología y las nuevas amenazas emergentes, las metodologías de auditoría de los auditores de SI han tenido que ser ajustadas, tomando en cuenta las obligaciones regulatorias, la subcontratación, las nuevas técnicas de explotación, entre otros, ya que éstas plantean serios desafíos para este rol crítico. Mi humilde consejo para los auditores de SI es mantenerse al tanto de estos desarrollos, actualizar sus conocimientos de manera constante y ser flexibles para adaptarse a las nuevas técnicas de auditoría.

P:  ¿Cómo realizó la transición de auditor de SI a sus actuales funciones como gerente senior de operaciones de un organismo de certificación? Qué habilidades le han ayudado más en este reciente rol? 

R:  Bueno, además de mi experiencia como auditor de SI, también soy un auditor líder certificado y capacitador de muchas otras normas de sistemas de gestión, incluyendo el Sistema de Gestión de Continuidad del Negocio (BCMS), Sistema de Gestión de Servicio de TI (ITSMS), Sistema de Gestión de la Calidad (QMS), Cloud Security Alliance (CSA) STAR y en la EuroCloud Star (ECSA) Audit, con más de 20 años de experiencia en el campo de la auditoría. Como gerente senior de operaciones, mi rol en el gobierno y cumplimiento de los requerimientos de acreditación se ha transformado a ser un revisor/aprobador técnico y mentor de otros auditores en este campo, no sólo a nivel local sino también a nivel mundial dentro de mi organización. Mi experiencia como auditor de SI me ha permitido entender y vincular las necesidades y expectativas de un auditor de SI, lo que me ha ayudado a asistir y guiar a los nuevos auditores de SI a niveles de mayor efectividad.

P:  ¿Qué cambios ve Usted en el largo plazo en el rol de la auditoría de SI, la gobernabilidad y el cumplimiento?

R:  Yo, personalmente, siento que este rol tendrá más responsabilidades y que está yendo a ser más responsable al mismo tiempo. Debido al aumento de los incidentes/brechas de seguridad y delitos informáticos, este rol va teniendo gran importancia. A medida que las empresas adoptan nuevas tecnologías, los auditores de SI deben esforzarse por entender cómo los nuevos desarrollos y tendencias tecnológicas impactan a sus organizaciones y a sus controles internos a nivel de procesos. Ellos necesitan entender la exposición a los ciber-ataques, así como también los impactos de éstos sobre la viabilidad del modelo de negocio. Del mismo modo, existe una necesidad de ser capaz de calcular el impacto de los cambios, o de los nuevos requerimientos de cumplimiento, y ser capaces de mapearlos con los controles internos para ver su impacto en el negocio en su conjunto. A medida que cambia la tecnología, o los requerimientos de cumplimiento, una evaluación del riesgo de auditoría eficaz debe abordar el potencial cambio de una disrupción o de los nuevos requerimientos de cumplimiento que se están originando en los gobiernos y los organismos reguladores, por lo tanto, que están empujando el posterior plan de auditoría a un territorio desconocido.

P:  ¿Cómo han impulsado o mejorado su carrera las certificaciones que usted ha logrado? ¿Qué certificaciones busca cuando contrata nuevos miembros para el equipo?

R:  Sin duda las certificaciones han mejorado mi carrera y me han proporcionado el reconocimiento deseado a nivel mundial. Tener una certificación demuestra un verdadero compromiso y dedicación a tu profesión u ocupación. En mi organización, aunque todos los auditores tienen que estar calificados en el criterio de auditor del Sistema de Gestión de la Seguridad de la Información (ISMS), para las nuevas contrataciones se prefiere la certificación de Auditor de Sistemas de Información Certificado (CISA), incluso si no están aún calificados como ISMS (lo que en la mayoría de los casos se realiza en el trabajo). Nosotros animamos fuertemente a nuestros auditores ISMS a obtener la certificación CISA tan pronto como sea posible, y le financiamos el proceso de capacitación/examen del CISA por completo. Del mismo modo, también consideramos la certificación en Riesgo y Control de Sistemas de la Información (CRISC) como una certificación deseada durante el proceso de contratación.

P:  ¿Cuál ha sido su mayor reto de su trabajo o carrera y cómo lo enfrentó?

R:  Mi mayor reto han sido los viajes que implica este trabajo. He viajado a 38 países en cinco continentes. A veces, debido a esta movida agenda, aterrizo en casa el día sábado y ya el día domingo vuelo al próximo destino. Sin embargo, todo lo hago por mi pasión por la auditoría y por la formación. Y creo firmemente que cuando se tiene motivación y pasión, ningún obstáculo o desafío puede detenerte.