Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Guía de Auditoría de
Tecnología Global
Comprender y Auditar
Big Data
GTAG / Comprender y auditar Auditing Big Data
Contenido
Resumen ejecutivo ................................................................................................................................ 3
Introducción ........................................................................................................................................... 4
Importancia para el negocio ................................................................................................................... 5
Aplicaciones prácticas ....................................................................................................................... 6
Big Data: Conceptos básicos ................................................................................................................. 7
Datos estructurados y no estructurados ............................................................................................. 7
Almacenamiento de datos.................................................................................................................. 8
Las tres V de Big Data ....................................................................................................................... 9
Elementos de programa Big Data ........................................................................................................ 10
Caso de negocio articulado .............................................................................................................. 10
Roles y responsabilidades definidas ................................................................................................ 10
Recursos adecuados ....................................................................................................................... 11
Métricas de desempeño ................................................................................................................... 12
Herramientas y tecnologías ............................................................................................................. 12
Soporte de programa continuo ......................................................................................................... 16
Gobierno de datos ........................................................................................................................... 17
Adopción por parte de los consumidores ......................................................................................... 17
Analítica e informes ......................................................................................................................... 18
Procesos homogéneos .................................................................................................................... 19
Riesgos clave ...................................................................................................................................... 20
Rol de auditoría interna en Big Data .................................................................................................... 23
Apéndice A. Normas clave del IIA ....................................................................................................... 25
Apéndice B. Guías relacionadas ......................................................................................................... 29
Apéndice C. Glosario .......................................................................................................................... 30
Apéndice D. Planificar un trabajo de auditoría Big Data ...................................................................... 34
Riesgos y desafíos Big Data ............................................................................................................ 34
Planificación del trabajo ................................................................................................................... 34
Objetivo del trabajo .......................................................................................................................... 35
Alcance del trabajo y asignación de recursos .................................................................................. 35
Programa de trabajo ........................................................................................................................ 35
Contribuyentes .................................................................................................................................... 48
Acerca de la Guía Complementaria ....................................................................................................... 49
2
GTAG / Comprender y auditar Auditing Big Data
Resumen ejecutivo
Big data es un término popular que se usa para describir el crecimiento exponencial y la
disponibilidad de datos creados por personas, aplicaciones y máquinas inteligentes. El término
también se utiliza para describir conjuntos de datos grandes y complejos que van más allá de las
capacidades de las aplicaciones tradicionales de procesamiento de datos. Debido a la
proliferación de datos estructurados y no estructurados, sumada a los avances técnicos en
almacenamiento, potencia de procesamiento y herramientas analíticas, Big Data se ha convertido
en una ventaja competitiva para organizaciones líderes que la usan para obtener conocimientos
acerca de las oportunidades de negocio e impulsar las estrategias comerciales. Sin embargo,
también deben considerarse los desafíos y riesgos asociados a Big Data.
Los riesgos relacionados con Big Data incluyen mala calidad de datos, tecnología inadecuada,
seguridad insuficiente y prácticas inmaduras de gobierno de datos. Los auditores internos que
trabajan con Big Data deben interactuar con el director de sistemas de información (CIO) y
otros líderes clave de la organización para comprender mejor los riesgos de recopilación,
almacenamiento, análisis, seguridad y privacidad de datos.
3
GTAG / Comprender y auditar Auditing Big Data
Introducción
La finalidad de esta guía es asistir a los auditores internos para que alcancen el conocimiento
necesario que respalde sus servicios de asesoría y aseguramiento en el campo de Big Data,
de acuerdo con la Norma 1210, Aptitud, y la Norma 2201, Consideraciones de Planificación.
Este documento proporciona una visión general de Big Data para ayudar al lector a
comprender los conceptos relacionados y cómo alinear las actividades de auditoría interna de
modo de apoyar las iniciativas Big Data de la organización. Además, esta guía incluye un
marco de riesgos clave, desafíos y ejemplos de controles que deben considerarse al planificar
una auditoría de Big Data (ver la Norma 2100, Naturaleza del Trabajo).
Los auditores internos deben complementar esta GTAG con otras GTAG y programas de
trabajo técnico para llegar al modelo de cobertura Big Data más efectivo para la organización.
4
GTAG / Comprender y auditar Auditing Big Data
De acuerdo con ISACA (Big Data: Impacts and Benefits White Paper, marzo de 2013), "las
empresas que dominan la disciplina emergente de la gestión de Big Data pueden obtener
importantes recompensas y diferenciarse de sus competidores".
Ventaja competitiva
Mayores ingresos
Innovación y desarrollo más acelerado de productos
Predicción de demanda de mercado
Decisiones de negocio bien informadas
Eficiencia operativa
Además, los esfuerzos Big Data pueden mejorar la transparencia de una organización,
mejorar el análisis de gestión y los informes, y reducir los costos en apoyo de los programas
de mejora continua. A medida que los datos se centralizan y se consolidan para los esfuerzos
estratégicos de Big Data, se reduce sustancialmente el costo de realizar análisis
incrementales utilizando estos datos, de modo que toda la organización puede beneficiarse de
estas iniciativas.
5
GTAG / Comprender y auditar Auditing Big Data
Sin embargo, para aprovechar al máximo los beneficios del negocio de Big Data, las
organizaciones deben invertir en la creación del entorno apropiado, contratar y retener a
personas calificadas, definir e implementar procesos repetibles y desplegar tecnologías
adecuadas.
Aplicaciones prácticas
Todos los días, las organizaciones introducen formas creativas e innovadoras de usar Big
Data. Las aplicaciones prácticas de Big Data se pueden encontrar en organizaciones
minoristas, públicas, privadas y sin fines de lucro, entre otras.
Otro ejemplo de minoristas que usan Big Data para mejorar el servicio al cliente es el análisis
de las direcciones de origen y los datos demográficos de los clientes actuales y potenciales
para identificar la ubicación ideal para una nueva tienda.
Gobiernos ‒ Los gobiernos municipales pueden recopilar datos sobre la congestión del
tránsito utilizando múltiples fuentes (por ejemplo, sensores alrededor de la ciudad, autobuses
y taxis) y analizar los datos para identificar patrones. El análisis del tránsito puede usarse para
determinar las necesidades de expansión del transporte público o las carreteras, o para crear
sitios web que ofrezcan información de tránsito en tiempo real a los suscriptores, lo que puede
ayudarlos a determinar el itinerario de viaje más corto, evitar embotellamientos y estimar los
tiempos de llegada.
Big Data permite a las organizaciones recopilar datos de fuentes externas. Por ejemplo, un banco
puede recabar información de las redes sociales para identificar a los clientes que pueden estar
insatisfechos con otra institución financiera y que pueden estar buscando un nuevo proveedor de
6
GTAG / Comprender y auditar Auditing Big Data
servicios. Esta información se puede utilizar para crear mensajes de marketing específicos para
atraer a los clientes insatisfechos y ofrecer productos y servicios personalizados.
7
GTAG / Comprender y auditar Auditing Big Data
Sin embargo, dentro de las organizaciones está creciendo y es cada vez más común el uso de
datos no estructurados. Este tipo de datos no se limita a estructuras o restricciones de datos
tradicionales. Por lo general, son más difíciles de administrar, debido a su naturaleza cambiante e
impredecible, y generalmente provienen de fuentes de datos grandes, dispares y a menudo
externas. En consecuencia, se han desarrollado nuevas soluciones para gestionar y analizar este
tipo de datos. En el diagrama de la Figura 2 se muestra la diferencia entre datos estructurados y
no estructurados.
Almacenamiento de datos
Los data lakes se están convirtiendo en una solución cada vez más popular para dar soporte al
almacenamiento de datos grandes y el descubrimiento de datos. Los data lakes son similares a los
data warehouses porque almacenan grandes cantidades de datos de diversas fuentes, pero
también almacenan atributos de datos adicionales de los sistemas fuente a un nivel de
granularidad que normalmente se perdería en la agregación de datos para almacenes de datos.
Esto proporciona soluciones de Big Data con todos los elementos de datos disponibles en un nivel
suficiente de granularidad para realizar un análisis completo. Asimismo, ofrece a las
8
GTAG / Comprender y auditar Auditing Big Data
organizaciones la flexibilidad para resolver problemas imprevistos, ya que mantiene todos los
datos en un formato fácilmente disponible.
Las dimensiones o características más comunes de la administración de Big Data son volumen,
velocidad y variedad (las 3 V), pero dado que los sistemas se vuelven más eficientes y la
necesidad de procesar datos más rápidamente aumenta, las dimensiones originales de
administración de datos se expandieron para incluir otras características únicas de Big Data. De
hecho, Mark van Rijmenam propuso cuatro dimensiones adicionales en su publicación de agosto
de 2013 titulada "Por qué las 3V no son suficientes para describir Big Data".1 Las dimensiones
adicionales son veracidad, variabilidad, visualización y valor. La Figura 3 ilustra el "Conjunto
expandido de V de Big Data".
1
https://datafloq.com/read/3vs-sufficient-describe-big-data/166
9
GTAG / Comprender y auditar Auditing Big Data
Conforme los programas de Big Data se implementan y modifican a lo largo del tiempo, los
auditores internos deben seguir comprometidos y monitorear estos esfuerzos, de acuerdo con la
Norma 2010, Planificación, y la Norma 2030, Gestión de recursos. Al hacerlo, los auditores
internos deben mantener los conocimientos y las habilidades necesarias y modificar
dinámicamente su evaluación de riesgos y el modelo de cobertura de auditoría para dar cuenta
de los cambios (ver la Norma 1210, Aptitud). Big Data evoluciona rápidamente y continuará
presentando riesgos y oportunidades para las organizaciones y los auditores internos en el
futuro previsible.
Para que los programas de Big Data sean exitosos, se debe articular un caso de negocios claro
en alineación con la estrategia de la organización. El programa de Big Data debería tener
objetivos definidos, criterios de éxito y apoyo del nivel ejecutivo. El caso de negocios también
debe incluir un análisis de costo-beneficio de la implementación de un programa tan significativo
en comparación con el uso de herramientas y tecnologías existentes dentro de la empresa.
Un fuerte apoyo organizacional es crucial; sin este apoyo, la inversión sostenida de los recursos
necesarios y la priorización adecuada pueden fallar. El caso de negocios para un programa de
Big Data también debe incluir el apoyo del área de tecnología, con un examen adecuado de las
opciones y los costos presentados, así como una clara responsabilidad por la sostenibilidad de
la implementación del programa. Múltiples organizaciones ahora tienen directores de datos
(CDO), es decir, gerentes senior que se dedican a asegurar que los programas de Big Data
cuenten con el apoyo necesario.
Definir claramente los roles y las responsabilidades de los recursos y las funciones clave puede
acelerar y simplificar la implementación y el soporte de los programas de Big Data. Por ejemplo,
si una organización planea realizar análisis sobre las actividades y el comportamiento de los
empleados (como investigaciones de fraude de empleados), puede ser necesario consultar
Recursos Humanos y Legales. El personal de Marketing puede querer impulsar o participar
activamente en el análisis piloto del compromiso del cliente para medir la respuesta de los
clientes. Es posible que TI no pueda respaldar los esfuerzos planificados debido a las prioridades
10
GTAG / Comprender y auditar Auditing Big Data
en conflicto. Las funciones de riesgo, seguridad y privacidad pueden querer revisar y evaluar los
controles en el entorno de Big Data.
Si los stakeholders clave y consumidores en las áreas de negocio no se comprometen con sus
responsabilidades en el esfuerzo general, los conocimientos obtenidos de los datos podrían
quedar sin usar durante largos períodos después de implementada la iniciativa de Big Data. Por
lo tanto, antes de hacer una inversión significativa en esfuerzos de Big Data, las organizaciones
deberían involucrar a todos los stakeholders relevantes para asegurarse su apoyo, determinar el
valor, consultar sobre los requisitos, abordar preferencias, medir las posibilidades de promover
los planes a pesar de otras prioridades e impulsar la acción durante y después de la
implementación. Puede ser necesario un análisis formal de stakeholders para identificar a todas
las partes interesadas antes de implementar el programa. La Figura 4 muestra ejemplos de
stakeholders clave que pueden ayudar a impulsar y apoyar los esfuerzos de Big Data.
11
GTAG / Comprender y auditar Auditing Big Data
Recursos adecuados
Métricas de desempeño
Los criterios de éxito establecidos durante el diseño del programa deben rastrearse a través
de las métricas de desempeño acordadas. Estas métricas deben presentar un equilibrio
entre el rendimiento operacional y organizacional. También deberían proporcionar a la
administración información sobre el costo, el nivel de adopción, la disponibilidad y el uso de
la solución de Big Data en toda la empresa.
A menudo surgen riesgos cuando las métricas no están diseñadas de manera clara y
completamente en alineación con el caso de negocio. Algunas personas pueden dar una
mayor importancia o asignar mayores fondos a un aspecto del programa de Big Data a
expensas de otros debido a la definición inadecuada de medidas de desempeño o medidas
que pueden servir como un incentivo para la compensación. Por lo tanto, la administración
debe ser extremadamente diligente al establecer los criterios de éxito y definir las métricas
de respaldo de cualquier programa clave, incluidas las iniciativas de Big Data, ya que las
métricas pueden generar un comportamiento apropiado o inapropiado.
Herramientas y tecnologías
12
GTAG / Comprender y auditar Auditing Big Data
deberían permitir a la organización adquirir, procesar, analizar y usar datos de fuentes que
producen cantidades crecientes de datos estructurados y no estructurados. Por ejemplo, las
herramientas de generación de informes, análisis visuales, monitoreo y automatización de
trabajos pueden mejorar la experiencia del usuario y reducir el tiempo dedicado a mantener
los entornos. El almacenamiento adecuado también es imprescindible, ya que el volumen
de datos puede crecer de manera rápida y significativa a medida que el programa se
expande. Las soluciones tecnológicas deben estar alineadas con los requisitos comerciales
definidos, que dependen de diversas variables, incluidos los usos planificados y futuros de
la organización, el tamaño de la organización y muchos otros factores.
Soluciones de almacenamiento
Históricamente, el reto más importante con la cantidad cada vez mayor de datos ha sido la
creciente necesidad de almacenamiento adicional y suficientes capacidades de respaldo o
backup. Debido a las fuentes adicionales de datos y al aumento del apetito por los datos, la
necesidad de herramientas y tecnologías nuevas y más potentes se ha vuelto vital. Los
datos de nuevas fuentes y datos generados a partir de sistemas en lugar de seres
humanos, han desafiado las tecnologías y herramientas tradicionales al exigir nuevas
capacidades y soluciones para almacenar datos y ponerlos a disposición.
Entornos en la empresa y en la nube
Las plataformas y herramientas disponibles para las organizaciones cambiarán con el
tiempo; sin embargo, las consideraciones clave de tecnología a menudo permanecen
consistentes en todas las soluciones. Por ejemplo, las organizaciones deben elegir entre
entornos de Big Data in situ y basados en la nube y considerar la forma en que integrarán el
desarrollo analítico. Las soluciones in situ requieren una instalación capaz de alojar una
gran cantidad de servidores y un equipo de TI para admitir la infraestructura. La instalación
debe ser lo suficientemente grande como para admitir la escalabilidad a medida que
aumenta el uso de grandes cantidades de datos. La implementación de Big Data basada en
la nube sirve como otra opción que puede ser más rentable y acelerar el tiempo de entrega.
Sin embargo, las soluciones en la nube también exponen a la organización a riesgos
adicionales, que deben evaluarse por completo antes de decidir si usar la nube. Las
soluciones basadas en la nube "Big Data as a Service" (BDaaS) brindan una escalabilidad
total. Las soluciones de BDaaS pueden incluir:
IaaS — Infrastructure as a service (por ejemplo, hardware, dispositivos de
almacenamiento y componentes de red para Big Data).
PaaS — Platform as a service (por ejemplo, sistemas operativos, plataformas de
desarrollo y middleware).
SaaS2 — Software as a service (por ejemplo, aplicaciones para procesar Big Data o
realizar análisis e informes).
2
Por más información sobre computación en nube, ver la publicación especial del National Institute of Standards
and Technology (NIST) SP800-145 “The NIST Definition of Cloud Computing”,
http://dx.doi.org/10.6028/NIST.SP.800-145
13
GTAG / Comprender y auditar Auditing Big Data
Las organizaciones pueden elegir un servicio de nube (IaaS, PaaS o SaaS) para
complementar sus sistemas in situ, o integrar los tres servicios de nube para desarrollar la
solución Big Data completa.
Herramientas de descubrimiento de datos
La gran variedad y el volumen de datos disponibles en la actualidad son el resultado de un
almacenamiento exponencialmente más económico y de la recopilación de datos ubicua
que ha venido acompañada del rápido crecimiento de las plataformas de medios sociales,
los sensores y la multimedia. Desafortunadamente, los data warehouses tradicionales y las
soluciones de inteligencia empresarial no se construyeron para cumplir con los requisitos de
grandes volúmenes de datos y se han visto superados por la ola de almacenamiento de
datos y requisitos de procesamiento. En consecuencia, las organizaciones que todavía
usan data warehouses pueden estar operando y tomando decisiones basadas en datos
incompletos.
Hay tres elementos principales para el descubrimiento de Big Data: (1) entender qué datos
están disponibles; (2) adquirirlos; y (3) aprender de ello para desarrollar ideas significativas
que conduzcan a elementos accionables. Las organizaciones se encuentran en diferentes
niveles de madurez en términos de su capacidad para administrar y comprender datos
estructurados internos. Muchas organizaciones luchan de manera significativa con datos no
estructurados o datos fuera de la organización. En la información no estructurada y de
terceros es donde se destacan la tecnología Big Data y las organizaciones con programas
efectivos de Big Data. La identificación y adquisición de estos datos a menudo requiere
pensamiento creativo, desarrollo o configuración de interfaces de programación de
aplicaciones (API) y tarifas potenciales para la suscripción a proveedores de datos. La
adquisición de todos los datos disponibles es un enfoque, pero para organizaciones con
recursos limitados, puede ser mejor comenzar con un piloto de uso específico y hacer
crecer el programa gradualmente.
El procesamiento de datos distribuido3 y machine learning4 mejorado aumentan el valor de Big
Data. Estos avances de computación pueden ayudar a las organizaciones a identificar
patrones no reconocibles por humanos y aplicaciones de menor capacidad. Además, se están
incluyendo nuevas herramientas de visualización de datos como parte de soluciones Big Data
para proporcionar flexibilidad, interacción y capacidades de análisis ad-hoc.
3
El procesamiento de datos distribuidos se refiere a muchas computadoras ubicadas en el mismo lugar o en
lugares diferentes que comparten capacidad de procesamiento para acelerar la computación.
4
Machine learning se refiere a programas de cómputo capaces de aprender algoritmos sin necesidad de
interacción humana para programación.
14
GTAG / Comprender y auditar Auditing Big Data
Herramientas de supervisión
Es importante definir los indicadores clave del desempeño (KPI) para los sistemas de Big
Data y análisis durante la implementación, a fin de permitir la supervisión continua de la
producción. Deben usarse herramientas de supervisión para informar sobre el estado de
funcionamiento y de operación del entorno de Big Data y proporcionar la información
necesaria para identificar y mitigar proactivamente los riesgos operativos asociados con Big
Data. Las herramientas de supervisión deberían poder informar anomalías en varios
aspectos de la plataforma de Big Data, así como en el procesamiento de trabajos. Como se
indicó anteriormente, los KPI se deben crear para informar sobre la efectividad y el
rendimiento de los sistemas Big Data.
Adquisición de software
El desarrollo de software o las actividades de compra y personalización para Big Data son
muy diferentes de los sistemas tradicionales. Es posible descargar tecnología relevante de
código abierto en forma gratuita desde muchos sitios. Proveedores de valor agregado
ofrecen distribuciones adicionales de productos con y sin cargo. Aunque pueden ser
atractivas, las distribuciones descargables gratuitas de proveedores de valor agregado no
incluyen productos ni asistencia técnica.
Existen diferencias en las características y la funcionalidad de diversas ofertas de productos
y numerosas personalizaciones de proveedores de diferentes plataformas, lo que dificulta
su comprensión y diferenciación. Los componentes de software de consulta estructurados,
por ejemplo, no forman parte de todas las distribuciones, y algunos proveedores tienen
mejores características de seguridad que otros. Comprender estas diferencias y alinearlas a
los requisitos de un programa Big Data es imprescindible para seleccionar la distribución
apropiada de software. Ya sea que se implemente una solución in situ o basada en la nube,
los departamentos de TI deben evaluar cuidadosamente los requisitos de Big Data y evitar
la compra de software, capacidad de procesamiento y almacenamiento innecesarios.
Aunque el hardware de Big Data está comoditizado para el procesamiento distribuido, la
complejidad del software subyacente aumenta la importancia del diseño de la solución y la
fase de desarrollo. Las plataformas de Big Data casi siempre tienen módulos de software
adicionales instalados junto a ellas. Estos módulos de software adicionales proporcionan
funciones ampliadas sobre cómo administrar, interactuar y analizar datos, y cómo presentar
los resultados. Cada vez más, los programas de Big Data tienen un software de
visualización de datos especializado para presentar los resultados en paneles o
dashboards.
Los proveedores de Big Data han ayudado a las organizaciones a enfrentar el entorno
técnico, el grado de personalización, la abundancia de herramientas de software,
numerosas interfaces de datos y el modelado de datos complejos. Aun así, las
organizaciones tienen el desafío de identificar recursos internos (por ejemplo, gerentes de
programas de Big Data) con el conocimiento suficiente para trabajar y administrar
proveedores de Big Data durante el ciclo de vida de desarrollo. A menudo, se contratan
científicos de datos para ayudar a desarrollar los modelos analíticos.
15
GTAG / Comprender y auditar Auditing Big Data
Las soluciones de Big Data no están diseñadas para ser construidas y permanecer
estáticas, ni tampoco deben tener una sobrecarga de producción significativa. Aun así,
como ocurre con muchas tecnologías de código abierto, el rápido ritmo de cambio en el
entorno de Big Data crea desafíos que a menudo superan la capacidad de los arquitectos
de Big Data para mantenerse al día con docenas de nuevas herramientas, plug-ins y
versiones actualizadas de productos.
Como resultado, es necesario contar con el apoyo permanente de recursos internos o
proveedores para garantizar el éxito continuo del programa. Este soporte continuo incluye
operaciones de TI tradicionales, como planificación de capacidad (es decir, flexibilidad de
escala), supervisión de producción y planificación de recuperación ante desastres. Además,
hay fuentes de datos internas y externas que se agregan, eliminan o modifican
consistentemente. El soporte de infraestructuras de almacenamiento de datos y las
integraciones de datos relacionadas deben evaluarse y alinearse con estas actividades.
También se aplican las prácticas de cambio de aplicaciones y gestión de parches (ver
"GTAG: Controles de Gestión de Cambios y Parches: Críticos para el Éxito de la
Organización, 2da Edición"). Finalmente, los propios modelos analíticos deben ser
supervisados y mantenidos.
16
GTAG / Comprender y auditar Auditing Big Data
Gobierno de datos
La adopción de Big Data en una organización requiere un gobierno de datos fortalecido para
garantizar que la información siga siendo precisa, consistente y accesible. Hay varias áreas clave
en las que la administración de datos para Big Data es crítica; estos incluyen administración de
metadatos (es decir, datos sobre datos), seguridad, privacidad, integración de datos, calidad de
datos y administración de datos maestros. Las actividades clave de gobierno de datos tradicionales
para abordar estas áreas incluyen la identificación de propietarios de datos, consumidores,
elementos críticos de datos (CDE), requisitos especiales de manejo, linaje, datos maestros y
fuentes de datos autorizadas. Las organizaciones deben implementar los controles adecuados para
garantizar que todas las dimensiones de calidad de datos necesarias (por ejemplo, integridad,
validez, unicidad) se mantengan adecuadamente y que dichos controles protejan los CDE de la
misma manera. Algunos ejemplos de procesos de control relacionados con la calidad de los datos y
la protección de CDE incluyen identificación de defectos de datos y prevención de pérdida / fuga de
datos (DLP).
La diferencia clave entre el gobierno de datos en un contexto de Big Data y los programas de
gobierno de datos tradicionales se relaciona con la agilidad que las organizaciones deben tener a
lo largo del ciclo de vida de los datos para cumplir con las demandas de análisis. Los riesgos
asociados con la necesidad de agilidad de las organizaciones se combinan con las características
o requisitos comerciales para cada conjunto de datos, incluidos los de privacidad y seguridad, y las
características únicas que pueden requerirse para operaciones comerciales particulares.
Los propietarios de los datos deben asumir la responsabilidad de la calidad y seguridad de sus
datos, con un mayor enfoque en los elementos de datos más riesgosos. Los elementos más
riesgosos deben determinarse según los resultados de un proceso de evaluación de riesgos, que
pueden ser liderados por los propietarios de los datos u otras funciones dentro de la organización
(por ejemplo, seguridad de la información). Los propietarios de los datos deben asegurarse de que
los sistemas de registro estén definidos adecuadamente y que los procesos para actualizar los
CDE sean claros. Esto debería incluir la identificación de fuentes de datos autorizadas (es decir,
aquellas que definen qué datos del sistema tienen prioridad cuando los elementos de datos varían
o entran en conflicto entre dos o más sistemas). Algunas organizaciones han asignado
"administradores de datos" para ayudar en este y otros esfuerzos de gobierno de datos.
El análisis de Big Data puede implementarse para el uso interno de una organización (por
ejemplo, para impulsar decisiones comerciales relacionadas con operaciones, marketing,
recursos humanos o TI) o para satisfacer las necesidades del cliente (por ejemplo, analizar el
17
GTAG / Comprender y auditar Auditing Big Data
Al igual que con otros proyectos de TI, este proceso debe comenzar con la recopilación de
requisitos integrales para comprender las preguntas que el consumidor intenta responder o los
problemas que el consumidor intenta predecir. Involucrar a los consumidores internos en el
proceso de diseño y prueba les ayuda a desarrollar un sentido de propiedad en la solución.
Cualquier retroalimentación posterior a la implementación debe abordarse con prontitud para
mantener e incrementar la adopción. Las organizaciones también deben planificar campañas
de marketing y capacitación para compartir historias de éxito y educar a los consumidores
internos sobre el potencial del análisis de Big Data. Las encuestas a los stakeholders son una
herramienta eficaz para obtener feedback y lecciones aprendidas con el fin de mejorar los
procesos de desarrollo para implementaciones posteriores.
Analítica e informes
Los informes deben diseñarse con una flexibilidad adecuada para los parámetros de entrada (por
ejemplo, fechas de inicio y finalización, segmentos de clientes y productos), a fin de permitir que
los consumidores reduzcan o amplíen el enfoque de su análisis. Esta flexibilidad permite a los
consumidores hacer preguntas que podrían no haber sido anticipadas durante la fase de
desarrollo inicial y admite la adopción facultando a los consumidores con capacidades de
autoservicio, lo que ayuda a minimizar el ciclo de vida de desarrollo de informes tradicionalmente
lento y costoso. La granularidad disponible de los datos del informe para respaldar la Norma de
los consumidores o los informes detallados debe equilibrarse con los requisitos del consumidor,
las capacidades de procesamiento y las preocupaciones sobre la privacidad de los datos.
Las herramientas de autoservicio son importantes para actividades en las que intervienen
clientes, proveedores o empleados que necesitan tomar decisiones rápidas. Por ejemplo, un
representante de servicio al cliente puede usar Big Data y una aplicación de informes de
autoservicio para ver el historial de productos y servicios de un cliente en múltiples líneas
organizacionales en una pantalla. Esto reduciría la cantidad de llamadas telefónicas que el cliente
necesitaría hacer para responder consultas sobre productos. Los problemas de privacidad y
seguridad pueden abordarse restringiendo el acceso a campos de datos confidenciales solo a
aquellos consumidores que tienen una necesidad de negocios válida para ver esos campos de
datos.
Muchas personas están familiarizadas con el concepto de análisis predictivo, que intenta explicar
qué ocurrirá a continuación a partir de datos históricos. Por ejemplo, los hospitales utilizan
análisis predictivos para determinar qué pacientes pueden ser readmitidos para recibir
18
GTAG / Comprender y auditar Auditing Big Data
Los informes analíticos también pueden estar basados en alertas, para ayudar a los
consumidores a identificar qué acciones son necesarias para abordar una situación particular.
Por ejemplo, las técnicas de análisis de sensibilidad pueden aplicarse para determinar la
satisfacción de un cliente con un producto o servicio, según la información compartida por los
clientes a través de las redes sociales. Altos niveles de satisfacción pueden impulsar nuevas
estrategias de distribución, mientras que niveles bajos de satisfacción pueden requerir
acciones de reparación inmediatas para proteger la lealtad del cliente y la reputación de la
organización.
Otras técnicas analíticas avanzadas, como el análisis de enlaces, pueden ser utilizadas por
auditores internos e investigadores de fraudes para comprender mejor las relaciones entre
empleados, proveedores y clientes, a fin de descubrir el lavado de activos u otros esquemas
de fraude. Los escenarios analíticos son ilimitados y ofrecen amplias oportunidades para
agregar valor al consumidor final a través de varios canales y opciones de informes.
Procesos homogéneos
Los procesos definidos y bien controlados son necesarios para el éxito continuo de un
programa Big Data. Sin procesos definidos y consistentes, los entornos pueden volverse
inestables rápidamente y la confianza en los datos subyacentes puede perderse. Cuando los
informes analíticos diseñados para proporcionar información estratégica utilizan datos
inexactos o incompletos, su valor se ve inmediatamente disminuido. Si no se abordan riesgos
como estos, los programas de Big Data pueden perder rápidamente fondos y ser eliminados.
Por lo tanto, a medida que se desplieguen personas y tecnología, se debe prestar especial
atención a los procesos subyacentes y controles relacionados que respaldan el programa de
Big Data.
19
GTAG / Comprender y auditar Auditing Big Data
Riesgos clave
Los riesgos relativos a Big Data pueden deberse a muchos factores, tanto internos como externos
a la organización. Las siguientes categorías representan las principales áreas de riesgo:
Gobierno del programa
Disponibilidad y desempeño de la tecnología
Seguridad y privacidad
Calidad de datos, gestión e informes
20
GTAG / Comprender y auditar Auditing Big Data
Data.
El gobierno de datos debe ser parte de la
gobernanza empresarial general para garantizar que
los objetivos de Big Data estén alineados con los
objetivos estratégicos de la organización (ver Norma
2110 - Gobierno).
21
GTAG / Comprender y auditar Auditing Big Data
periódicamente.
22
GTAG / Comprender y auditar Auditing Big Data
A medida que se implementan programas de Big Data, de forma similar a otros programas a
gran escala, la actividad de auditoría interna debe considerar la participación a través de
evaluaciones formales y / o informales. Estos pueden incluir proyectos de asesoramiento,
revisiones previas o posteriores a la implementación y una participación adecuada en los
comités de gobierno y de dirección. Como se señala en Norma 2130, Control, "La actividad de
auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos,
mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora
continua". Por lo tanto, la auditoría interna debe evaluar los controles de procesos y
tecnología. La auditoría interna también debe enfocarse significativamente en cómo se
consumen los datos y las acciones que la organización está tomando en base a los resultados
obtenidos del análisis Big Data. Los auditores internos deben desempeñar un papel
fundamental en las iniciativas Big Data de una organización, y este rol puede ajustarse con el
tiempo a medida que las soluciones se implementan, maduran y evolucionan (ver Norma 2201
- Consideraciones de Planificación).
Los auditores internos también pueden aprovechar las soluciones de Big Data en apoyo de
sus esfuerzos de análisis de datos para proyectos de auditoría. Debido a que la organización
ya ha adquirido, consolidado e integrado los datos, la auditoría interna puede obtener
eficiencias significativas mediante el consumo de datos de un data warehouse o data lake, en
lugar de enfocarse en muchos sistemas fuente.
Los programas de auditoría de Big Data variarán según la organización y el uso. El gobierno
del programa es un componente clave de las auditorías de Big Data. Los auditores internos
deben verificar que los Objetivos de un programa Big Data se alineen con la estrategia
comercial de toda la empresa. Además, los auditores internos deben realizar pruebas para
garantizar que el programa Big Data proporcione valor y cuente con el pleno apoyo del
liderazgo apropiado de la organización. Si bien la tecnología específica y el nivel de
proveedores contratados para soluciones Big Data variarán según la organización, los
auditores internos deben garantizar que la confidencialidad, la integridad, la disponibilidad y el
rendimiento de los sistemas Big Data coincidan con los requisitos y las necesidades de
negocio identificadas por la administración.
23
GTAG / Comprender y auditar Auditing Big Data
Dado que los sistemas Big Data requieren grandes cantidades de datos para el análisis, los
programas de auditoría deben incluir pasos de prueba para garantizar la calidad, la seguridad
y la privacidad de los datos utilizados para el análisis, así como los resultados analíticos.
Debido a que Big Data consume datos de muchas fuentes diferentes para proporcionar una
visión más completa de un tema, los programas de auditoría deben proporcionar una
seguridad razonable de que los datos están a salvo de modificaciones no autorizadas y solo
pueden ser vistos por personas autorizadas. Los programas de auditoría también deben
probar los controles sobre la calidad de la entrada de datos en el sistema, así como la calidad
de los resultados y los informes del sistema; estos esfuerzos pueden incluir proporcionar una
cobertura de prueba sustantiva sobre la calidad de los datos del sistema clave y la
presentación de informes.
Los sistemas Big Data y los materiales de referencia cambian con frecuencia. Por lo tanto, la
función de auditoría interna debe seguir enfocada en utilizar la orientación más adecuada al
desarrollar y ejecutar planes de auditoría y modelos de cobertura Big Data dentro de cada
organización.
24
GTAG / Comprender y auditar Auditing Big Data
El director ejecutivo de auditoría debe establecer un plan basados en los riesgos, a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.
Interpretación:
Para desarrollar un plan basado en riesgos, el director ejecutivo de auditoría consulta con la alta
dirección y el consejo a fin de comprender las estrategias de la organización, sus objetivos de negocio
clave, los riesgos asociados y los procesos de administración de riesgos. El director ejecutivo de
auditoría debe revisar y ajustar el plan, según sea necesario, en respuesta a cambios en los negocios,
los riesgos, las operaciones, los programas, los sistemas y los controles de la organización.
25
GTAG / Comprender y auditar Auditing Big Data
El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean
apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.
Interpretación:
Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para
llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el
plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el
cumplimiento del plan aprobado.
26
GTAG / Comprender y auditar Auditing Big Data
Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su
alcance, objetivos, tiempo y asignación de recursos. El Plan debe considerar las estrategias,
los objetivos y riesgos relevantes para el trabajo.
Norma 2201 – Consideraciones sobre planificación
2201.C1 – Los auditores internos deben establecer un acuerdo con los clientes de
trabajos de consultoría, referido a objetivos, alcance, responsabilidades respectivas y
demás expectativas de los clientes. En el caso de trabajos significativos, este acuerdo
debe estar documentado.
27
GTAG / Comprender y auditar Auditing Big Data
2210.C2 – Los objetivos de los trabajos de consultoría deben ser compatibles con los
valores, las estrategias y los objetivos de la organización.
El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo.
2220.A1 – El alcance del trabajo debe tener en cuenta los sistemas, registros, personal
y bienes relevantes, incluso aquellos bajo el control de terceros.
Norma 2230 – Asignación de Recursos al Trabajo
Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los
objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada
trabajo, las restricciones de tiempo y los recursos disponibles.
Interpretación:
“Adecuados” se refiere al equilibrio entre conocimiento, aptitud y otras competencias necesarias para
realizar el trabajo. “Suficientes” se refiere a la cantidad de recursos que se necesitan para realizar el
trabajo con el cuidado profesional adecuado.
Los auditores internos deben preparar y documentar programas que cumplan con los objetivos
del trabajo.
Los auditores internos deben identificar información suficiente, fiable, relevante y útil, de
manera tal que les permita alcanzar los objetivos del trabajo.
Interpretación:
La información suficiente está basada en hechos, es adecuada y convincente, de modo que una
persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es
la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La
información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus
objetivos. La información útil ayuda a la organización a cumplir con sus metas.
28
GTAG / Comprender y auditar Auditing Big Data
29
GTAG / Comprender y auditar Auditing Big Data
Apéndice C. Glosario
Los términos marcados con un asterisco (*) fueron extraídos del Glosario del Marco
Internacional para la Práctica Profesional (MIPP) del IIA, edición 2017.
Añadir / agregar valor*: La actividad de auditoría interna añade valor a la organización (y sus
partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la
eficacia de los procesos de gobierno, gestión de riesgos y control.
Fuentes de datos fehacientes (ADS): Fuentes que proporcionan información “oficial” a otros
sistemas.
Consejo*: Cuerpo de gobierno de más alto nivel de una organización (por ejemplo: junta
directiva, consejo supervisor o administradores, patronato, directorio) que tiene la
responsabilidad de dirigir y/o supervisar las actividades y al que la alta dirección rinde
cuentas. Aunque el funcionamiento del Consejo varía entre jurisdicciones y sectores,
generalmente el Consejo incluye a miembros que no son parte de la dirección. Si no existe
Consejo, la palabra “Consejo” se refiere a un grupo o persona encargada del gobierno de la
organización. Además, el “Consejo” en las Normas puede referirse a un comité u otro cuerpo
en el que el órgano de gobierno haya delegado ciertas funciones (por ejemplo, comité de
auditoría).
Director Ejecutivo de Datos (chief data officer, CDO): Cargo de nivel ejecutivo responsable
del gobierno y la gestión de datos en toda la organización.
30
GTAG / Comprender y auditar Auditing Big Data
estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y
control de una organización, sin que el auditor interno asuma responsabilidades de gestión.
Algunos ejemplos son la orientación, el asesoramiento, la facilitación y la formación.
Control*: Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar
los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La
dirección planifica, organiza y dirige la realización de las acciones suficientes para
proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.
Elementos críticos de datos (CDE): Elementos de datos que son críticos para que los
usuarios o sistemas realicen cálculos o lleven a cabo las operaciones comerciales.
Elementos de datos: La menor unidad de datos que transmite información con significado
(por ejemplo, nombre, número de cuenta).
5
The DAMA [Data Management Association International] Guide to the Data Management Body of Knowledge
(DAMA-DMBOK), 1.° edición 2009, p.4
31
GTAG / Comprender y auditar Auditing Big Data
Objetivos del trabajo*: Declaraciones generales establecidas por los auditores internos que
definen los logros pretendidos del trabajo.
Opinión del trabajo*: La valoración, conclusión, y/u otra descripción de los resultados de un
trabajo de auditoria interna individual, relacionado con aquellos aspectos dentro de los
objetivos y el alcance del trabajo.
Extraer, cargar y transformar (Extract, load, and transform, ELT) – El proceso de trasladar
datos del sistema fuente a un data warehouse. ELT se refiere al orden de los pasos: extraer,
cargar y transformar. ELT usa el sistema objetivo para la transformación.
Fraude*: Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza.
Estos actos no requieren la aplicación de amenaza de violencia o de fuerza física. Los fraudes
son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios,
para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de
negocio.
Indicadores clave del desempeño (KPIs): Una medida que determina cuán bien está
desempeñándose un proceso para facilitar que se logre un objetivo definido.
Analítica predictiva: El proceso de intentar predecir el futuro sobre la base del análisis de
datos de acontecimientos pasados. El proceso puede usar múltiples técnicas para crear
predicciones (por ejemplo, minería de datos, estadísticas, modelado y machine learning).
6
http://www.edmcouncil.org/dataquality
32
GTAG / Comprender y auditar Auditing Big Data
ID radiofrecuencia (RFID): Pequeños dispositivos que contienen una antena y usan campos
electromagnéticos para etiquetar y rastrear elementos y transmitir información a dispositivos
capaces de leer sus señales.
Datos streaming: Información generada en forma continua por miles de fuentes de datos,
que en general los envían en registros de datos simultáneamente.7
Datos no estructurados: Esta información, que está creciendo y volviéndose más común
dentro de las organizaciones, no se limita a las estructuras de datos o las restricciones
tradicionales. Por lo general, es más difícil de administrar, debido a su naturaleza cambiante e
impredecible, y generalmente proviene de fuentes de datos grandes, dispares y a menudo
externas. En consecuencia, se han desarrollado nuevas soluciones para gestionar y analizar
esta información.
7
https://aws.amazon.com/streaming-data/
33
GTAG / Comprender y auditar Auditing Big Data
Como se describió anteriormente, las principales áreas de riesgo que afectan a Big Data son:
• Gobierno del programa.
• Riesgos de disponibilidad y desempeño de la tecnología.
• Seguridad y privacidad.
• Calidad de datos gestión e informes.
Los programas y entornos Big Data también deben estar sujetos a controles generales de TI.
(Ver “GTAG: Riesgo y Controles de Tecnología de la Información 2da Edición” para
información adicional sobre riesgos y desafíos relacionados con controles generales de TI.)
La Norma 2200 – Planificación del trabajo – indica que para cada trabajo, los auditores
internos deben desarrollar y documentar un plan, que incluya su alcance, objetivos, tiempo y
asignación de recursos. Una de las cosas más importantes que auditoría interna necesita
determinar al planear el trabajo es si la organización tiene una estructura de gobierno
unificada y cohesiva en marcha, incluso políticas y procedimientos, que proporcionen
orientaciones claras y concisas que puedan distribuirse a toda la organización. Un modelo de
gobierno fuerte proporcionará las políticas, los procesos y las herramientas que se necesitan
para administrar en forma coherente el entorno y controlar los riesgos relacionados con Big
Data, lo cual es esencial para una protección adecuada de la información de la organización.
Si bien múltiples funciones de la organización pueden ser responsables de la estrategia Big
34
GTAG / Comprender y auditar Auditing Big Data
Data, la clave a una auditoría exitosa en esta área consiste en identificar un único grupo de
stakeholders clave que puedan proporcionar la información necesaria para minimizar la
disrupción de negocios y optimizar los recursos de negocio y de auditoría.
De acuerdo con la Norma 2210 – Objetivos del trabajo— los auditores internos deben
establecer objetivos del trabajo para abordar los riesgos asociados a la actividad en revisión.
Deberá realizarse una evaluación de riesgos para contribuir a la definición de los objetivos
iniciales e identificar otras áreas significativas de preocupación.
El objetivo de auditoría para una auditoría de Big Data puede definirse de diversas maneras,
por ejemplo, puede definirse el objetivo como parte del plan de auditoría anual, o como
resultado de esfuerzos de administración del riesgo empresarial, hallazgos de auditorías
previas, requisitos regulatorios o necesidades de aseguramiento específicas del consejo o el
comité de auditoría.
Una vez identificados los riesgos, deberán determinarse los procedimientos a realizar y el
alcance (naturaleza, tiempo y extensión) del trabajo. Según la Norma 2220.A1, “El alcance del
trabajo debe tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso
aquellos bajo el control de terceros.”
El trabajo de auditoría debe abarcar estrategia y gobierno (que incluye políticas, normas y
procedimientos), concientización de empleados y capacitación. La auditoría interna debe
determinar las habilidades necesarias para completar el trabajo de auditoría y el número total
de recursos requeridos. El personal de auditoría interna debe tener el nivel de especialización,
conocimiento y habilidades necesarias para realizar el trabajo de auditoría, o deberán
utilizarse recursos externos con las competencias requeridas.
Puede ser difícil auditar el programa de Big Data completo. En cambio, el alcance del trabajo
de auditoría puede definirse por unidad de negocio, ubicación, objetivo estratégico o cualquier
otro criterio que sea significativo para la organización.
Programa de trabajo
De acuerdo con la Norma 2240.A1, “Los programas de trabajo deben incluir los
procedimientos para identificar, analizar, evaluar y documentar información durante la tarea.”
A continuación se incluye un modelo de programa de trabajo para Big Data. Los auditores
internos pueden usar este modelo como línea base para crear un programa de auditoría
específico que satisfaga las necesidades de su organización.
35
GTAG / Comprender y auditar Auditing Big Data
1.2.1 Identificar los riesgos de negocio asociados con Big Data que son de
interés para los responsables del negocio y los stakeholders clave.
1.2.2 Verificar que los riesgos de negocio estén alineados con los riesgos de TI
que están considerándose.
1.2.3 Evaluar el factor de riesgo general para realizar la revisión.
36
GTAG / Comprender y auditar Auditing Big Data
37
GTAG / Comprender y auditar Auditing Big Data
dificultades en el diseño de métricas para medir el costo y el valor de los programas Big Data.
El liderazgo ejecutivo puede optar por dejar de financiar un programa Big Data si el valor del
programa no se puede demostrar y comunicar adecuadamente.
La evolución tecnológica pone un mayor énfasis en las organizaciones para tomar la decisión
correcta sobre si construir o comprar soluciones y servicios Big Data. Las organizaciones que
subcontratan algunos o todos sus servicios Big Data se enfrentan a la gestión de proveedores
externos, la seguridad en la nube y los riesgos de privacidad.
Incluso con personas capacitadas y la tecnología en su lugar, las empresas deben tener
suficientes procesos de administración y gestión de datos para garantizar que las diversas
dimensiones de calidad de datos sean adecuadas para respaldar la toma de decisiones de la
organización. Los datos empresariales a menudo existen en silos, lo que aumenta la complejidad
de identificar e inventariar bases de datos críticas, elementos de datos y linaje de datos.
3.4 La organización debe Existe una estructura rectora a nivel organizacional para priorizar las
establecer una entidad de actividades de Big Data (por ejemplo, orden de integraciones de
gobierno para administrar la sistemas fuente, selección de analítica, desarrollo de informes) para
estrategia Big Data. abordar las preocupaciones derivadas de las prioridades en conflicto.
3.5 Debe haber SLA acordados Los SLA se diseñan e implementan para asegurar que las expectativas
entre el negocio y el área de TI de los clientes se administren proactivamente (por ejemplo,
38
GTAG / Comprender y auditar Auditing Big Data
39
GTAG / Comprender y auditar Auditing Big Data
El rendimiento y la disponibilidad de los sistemas Big Data se vuelven cada vez más
importantes a medida que la confianza de la organización en estos sistemas aumenta para la
toma de decisiones clave de ejecutivos y procesos de generación de ingresos. Los sistemas
de Big Data no pueden proporcionar resultados analíticos cuando los sistemas o las fuentes
40
GTAG / Comprender y auditar Auditing Big Data
Los programas Big Data pueden tener requisitos de almacenamiento y retención de datos
significativamente variables. Ciertos datos de streaming, por ejemplo, tal vez nunca necesiten
ser guardados o respaldados en los sistemas de una organización, pero podrían no ser
recuperables si los datos no son procesados y analizados inmediatamente. Sin embargo,
otras aplicaciones Big Data pueden requerir datos históricos significativos para comprender y
descubrir patrones o comportamientos durante largos períodos de tiempo.
Los data lakes, ya sean internos a la organización o en la nube, también plantean riesgos
significativos. Los data lakes representan una consolidación de datos detallados de muchos
sistemas organizativos diferentes en una ubicación centralizada, que puede servir como un
único punto de exposición de datos. Debido al hecho de que los data lakes aceptan todos y
cada uno de los datos en su formato nativo, es posible que no existan metadatos bien
definidos. Estos escenarios pueden generar confusión sobre el verdadero sistema de registro
de datos autorizados para su uso en análisis.
Las configuraciones de tecnología ineficaces pueden dar como resultado una experiencia
negativa del cliente, una disponibilidad del sistema reducida y un rendimiento degradado. Las
herramientas de ETL / ELT que no están configuradas adecuadamente pueden dar como
resultado que las plataformas Big Data pierdan volúmenes significativos de datos. El ancho de
banda de la red puede inhibir el movimiento de grandes cantidades de datos cuando las
configuraciones no están optimizadas. Analizar los impactos ascendentes y descendentes de
las actualizaciones y el mantenimiento de la plataforma puede ser un desafío debido a la
rápida evolución de la tecnología de hardware y software Big Data.
41
GTAG / Comprender y auditar Auditing Big Data
42
GTAG / Comprender y auditar Auditing Big Data
Además, las noticias sobre violaciones de datos del sector público y privado y el robo de datos
personales se han vuelto demasiado comunes, y los costos asociados a que una organización
no proteja la información personal de sus empleados, clientes y proveedores aumentan
constantemente. Las sanciones y multas de cumplimiento normativo, que varían según la
ubicación y la jurisdicción, pueden generar una responsabilidad legal y financiera significativa
para la organización. Además, las organizaciones que experimentan una violación de datos
43
GTAG / Comprender y auditar Auditing Big Data
pueden sufrir daños significativos a la marca y reputación, lo que lleva a la disminución de los
ingresos y al aumento de los costos.
Las amenazas y vulnerabilidades asociadas con el acceso interno inapropiado (por ejemplo,
empleados, consultores y proveedores de Big Data) son a menudo tan importantes como las
amenazas externas asociadas, dado el conocimiento y los privilegios inherentes que poseen
estos grupos. Dichas acciones internas pueden incluir el robo de datos confidenciales, la
obtención de secretos comerciales o la adopción de acciones inapropiadas basadas en el
conocimiento interno. Conocimientos obtenidos a partir de sistemas Big Data y robados para
beneficio personal a menudo no se detectan porque las compañías enfocan los esfuerzos de
ciberseguridad en las amenazas externas y pueden tener controles inadecuados para prevenir
y detectar la actividad interna. Los privilegios de la cuenta deben estar estrictamente limitados
al acceso necesario para llevar a cabo las responsabilidades laborales del individuo, y se
deben implementar controles adicionales para supervisar y detectar actividades sospechosas.
Asegurar que todos los sistemas se encuentren protegidos de forma adecuada y uniforme se
vuelve más desafiante a medida que los sistemas Big Data se tornan más complejos y
potentes y albergan grandes volúmenes de datos dispares. Las configuraciones inadecuadas
de parches o seguridad pueden abrir vulnerabilidades que pueden explotarse para ver o
modificar datos confidenciales. También pueden ocurrir interrupciones en el sistema, lo que
resulta en servicios no disponibles y pérdida de productividad.
Consulte la Guía de Práctica de IIA "Auditoría de Riesgos de Privacidad, 2da Edición" para
obtener información adicional sobre riesgos y desafíos de privacidad, ya que muchos de estos
son bastante relevantes para los entornos y programas Big Data. Además, consultar "GTAG:
Evaluación del riesgo de ciberseguridad: roles de las tres líneas de defensa" para conocer
riesgos y consideraciones adicionales relacionados con la seguridad.
44
GTAG / Comprender y auditar Auditing Big Data
45
GTAG / Comprender y auditar Auditing Big Data
Además, los datos que no se obtienen y analizan de manera oportuna pueden generar
resultados analíticos incorrectos, decisiones de gestión defectuosas o pérdida de ingresos.
Los datos que provienen de terceros deben ser oportunos, precisos, completos y de una
fuente respetable. Es posible que los datos de terceros que se encuentran en un formato
inapropiado no sean adecuados para el análisis y puedan retrasar la toma de decisiones
administrativas.
Una vez que se han recibido y analizado los datos, puede ser difícil garantizar que los
usuarios finales administren y protejan los datos. La falta de controles informáticos del usuario
final puede generar informes inexactos y pérdidas de datos. Los informes de producción del
usuario final, los informes ad hoc y los resultados analíticos predictivos deben ser revisados y
aprobados para limitar decisiones de gestión incorrectas. Los informes de Big Data también
deben cumplir con las políticas de clasificación de datos de una organización para garantizar
que solo se compartan los datos adecuados, tanto interna como externamente. Las opciones
de informe y los canales de distribución pueden ser apropiados solo para datos de tamaños y
formatos específicos. Las organizaciones pueden enfrentar obstáculos al determinar las
opciones y los canales de informe adecuados para cada resultado analítico.
46
GTAG / Comprender y auditar Auditing Big Data
6.5 Las herramientas y los Existen procedimientos para cuando se permiten informes ad hoc,
procedimientos de informes versus cuando se permite confiar en informes de producción
deben permitir flexibilidad e aprobados, que no pueden ser alterados sin pasar por procesos de
informes ad hoc. gestión del cambio y desarrollo de sistemas.
6.6 Deberá capacitarse Conforme se modifican los datos y métodos de informe, los usuarios
periódicamente a los usuarios finales se capacitan en los cambios resultantes y transfieren los
para maximizar el utilitario de impactos a sus informes, sistemas de usuario final, etc.
informes.
6.7 La selección del proveedor de Hay un proceso implementado para seleccionar opciones / canales
informes deberá estar alineada adecuados y preferidos de reporte (por ejemplo, Tableau®, Splunk®,
con las necesidades del Oracle® Business Intelligence Enterprise [OBIEE]) para los resultados
negocio. de analítica.
47
GTAG / Comprender y auditar Auditing Big Data
Contribuyentes
Brian Allen, CISA, CISSP
48
GTAG / Comprender y auditar Auditing Big Data
Para accede a otros materiales de orientación autorizados y suministrados por el IIA, visite nuestro sitio
www.globaliia.org/Normas-guidance o www.theiia.org/guidance.
Limitación de responsabilidad
El IIA publica el presente documento con fines informativos y educativos, y no pretende brindar una respuesta categórica a
interrogantes individuales y específicos. En este sentido, su única finalidad es servir de guía. El IIA recomienda solicitar siempre el
asesoramiento de expertos independientes relacionado con cualquier situación específica. El IIA no asume responsabilidad por
quien tome estas orientaciones como su única fuente confiable.
Copyright
Copyright© 2017 The Institute of Internal Auditors, Inc. Todos los derechos reservados. Por permiso para reproducir, contacte a
guidance@theiia.org.
La traducción al español de este documento fue autorizada por The Institute of Internal Auditors, Inc. y fue realizada por:
Fundación Latinoamericana de Auditores Internos (FLAI).
October 18
49