EFS de los EEUU ha celebrado un webinario del grupo de trabajo de la INTOSAI sobre la auditoría de las Tecnologías de la Información

El 11 de agosto de 2021 los representantes de la Dirección Controladora de los EEUU (EFS de los EEUU) han celebrado el webinario regular del Grupo de Trabajo de la INTOSAI sobre la audición de las Tecnologías de la Información en el marco de su plan de trabajo de 2020-22. Más de 200 representantes de la comunidad auditoria internacional participaron en el evento.

El tema del webinario fue “Audición de los sistemas de TI obsoletos”. El propósito del evento era elevar el nivel del conocimiento de la comunidad auditora en el ámbito de la auditoría de sistemas de información mediante la difusión de información en el marco de los webinarios trimestrales. Las EFS de la India y los EEUU son los codirectores del proyecto.

Los ponentes del webinario fueron trabajadores del departamento de TI y ciberseguridad de EFS de los EEUU:

• Kevin Walsh, director
• Jessica Vasselkow, ayudante del director
• Meredith Raymond, TI-analista en jefe.

Durante la sesión presentaron un informe de EFS de los EEUU sobre TI que utilizan lenguajes de programación obsoletos, equipamiento y software no soportables y/o en que pueden presentar vulnerabilidades en el ámbito de la seguridad.

En el informe preparado en 2019 se determinaron los sistemas obsoletos más importantes de los EEUU que necesitaban modernización, se valoraron planes de las agencias de su modernización, además se indicaron ejemplos de las iniciativas de la modernización de sistemas obsoletos en los 5 años anteriores que las agencias usuarias habían cualificado de exitosas.

En el ejercicio 2019 el gobierno de los EEUU planificaba gastar más de 90 mil millones de dólares estadounidenses para las Tecnologías de la Información, la mayoría se predestinaba a la explotación y mantenimiento de los sistemas existentes y obsoletos de seguridad. Estos sistemas pueden ser más caros de mantenimiento y más vulnerables frente a los hackers. Además, pueden dificultar el funcionamiento de las agencias usuarias que se toparían con las dificultades de búsqueda de trabajadores conocedores del sistema obsoleto y los códigos correspondientes del sistema.

La EFS de los EEUU analizó la actualidad de los sistemas de 65 entidades federales y determinaron los 10 sistemas más importantes de 10 entidades analizadas, desde el Ministerio de Defensa hasta la Tesorería. Estos sistemas contaban de 8 a 51 años, y eran de vital importancia para prestar servicios básicos tales como la gestión de  emergencias, sanidad y defensa. Tres agencias no disponían de planes de modernización documentados. Dos tenían planes para su actualización. Algunas de ellas también usaban un código obsoleto confiando en equipamiento y software que ya no recibe soporte de los fabricantes o presenta importantes riesgos de seguridad.

Sin embargo, las agencias revelaron al menos 94 ejemplos de modernización exitosa de sistemas obsoletos en los 5 años anteriores. Cinco muestras de iniciativas exitosas de modernización de tecnologías de la información seleccionadas por EFS incluían la transformación del código obsoleto en un lenguaje de programación más actual y el traslado del software obsoleto a la nube. Esto les permitió a las agencias usar las tecnologías de la información para el cumplimiento exitoso de sus propósitos y el alcance de un amplio abanico de ventajas, incluido el ahorro de medios.

En el informe de EFS se dan, en total, ocho recomendaciones para el desarrollo de planes departamentales para modernizar sistemas obsoletos. Ocho agencias aceptaron las conclusiones de EFS, y siete de ellas prepararon sus planes de cumplimiento de las recomendaciones.

La presentación del informe despertó un gran interés en los participantes del webinario. El número de preguntas era tan elevado que, dado el tiempo limitado del encuentro, los representantes de EFS prometieron  responderlas por escrito una vez terminado el webinario.