Crece la necesidad entre las compañías para identificar, evaluar y mitigar los riesgos de ciberseguridad

by  Publicado pordlabori@acfcs.org -

Las distintas organizaciones están experimentando un creciente número de desafíos y obstáculos en el campo de la ciberseguridad y los auditores internos juegan un papel clave para proveer seguridad a las organizaciones asegurando que el tema de la seguridad informática esté incluida en los procesos comerciales.

Una encuesta a unos 800 profesionales en el área de auditoría realizada por la firma Protiviti encontró que el 70% de estos auditores que trabajan en organizaciones que incluyen la ciberseguridad en sus planes de auditoría cuentan con una estrategia de riesgo de ciberseguridad, en comparación con el 42% de las compañías que no auditan su programa de ciberseguridad.

Los resultados de la encuesta Internal Audit Capabilities and Needs muestra que la ciberseguridad representan un factor muy importante en los programas de auditoría interna, a pesar de que no es el único tema importante entre las obligaciones de la función de la auditoría interna.

Entre algunos de los resultados luego de la encuesta se puede desprender que existe una creciente necesidad de mejorar la administración de riesgo de la ciberseguridad. Solo una de cada tres organizaciones se considera «muy eficiente» en la administración de riesgos de ciberseguridad.

Las compañías que obtuvieron un mejor rendimiento son las organizaciones que incluyen el tema del riesgo de ciberseguridad en sus planes de auditoría y aquellas cuyas juntas directivas se involucran en el tema de la seguridad informática. Los principales riesgos en ciberseguridad son la seguridad de datos corporativos, el daño reputacional y de la marca, el cumplimiento regulatorio, y la pérdida de información personal de los empleados

Compañías de todos los sectores y tamaños están experimentando un creciente número de desafíos en relación con el tema de la ciberseguridad y los departamentos de tecnología de la información tienen una muy importante responsabilidad para dar solución a esta problemática, sin embargo los auditores internos también juegan un papel clave para proteger a las organizaciones.

Entre los hallazgos de la encuesta a más de 800 profesionales se llega a la conclusión que cuando se trata de ciberseguridad, las compañías con mejores resultados son aquellas donde la alta gerencia y el directorio se involucran y participan en el tema y existen medidas definidas de ciberseguridad en los planes anuales de auditoría.

De acuerdo con los resultados de la encuesta continúan creciendo las prioridades de la auditoría interna, por ejemplo aparecen los riesgos de seguridad informática relacionados con tecnologías emergentes—como redes sociales, nubes informática y aplicaciones móviles—y también mayores presiones de cumplimiento regulatorio que llevan a los auditores internos a adaptarse y ser creativos para ayudar a sus organizaciones a hacer frente a nuevas demandas.

Las crecientes obligaciones, tareas y prioridades están llevando a las divisiones y profesionales de auditoría a invertir y utilizar cada vez más tecnología y otras herramientas que faciliten el trabajo del auditor.

Hay una clara necesidad entre la mayoría de las organizaciones para fortalecer sus capacidades para identificar, evaluar y mitigar los riesgos de ciberseguridad, se desprende de la encuesta.

En general más de la mitad de las organizaciones cuentan con una estrategia de riesgo en relación con la ciberseguridad. La mayoría de las organizaciones lidian con el tema del riesgo de ciberseguridad a través de la evaluación del riesgo. Entre estas compañías, las áreas de tecnología de la información, auditores externos, comité de auditoría y la gerencia son las que tienen la participación más importante en esta evaluación del riesgo.

Un 30% de las organizaciones encuestadas señalaron que no pueden solucionar áreas específicas de riesgos de ciberseguridad en forma cabal debido a la falta de recursos, mientras que un 20% de las organizaciones no lo han podido hacer debido a la falta de herramientas tecnológicas.

La ciberseguridad crece entre las prioridades de las funciones de auditoría interna

Diez medidas en relación con la ciberseguridad para los auditores:

  1. Trabajar con la gerencia y junta para desarrollar estrategias y políticas de ciberseguridad
  2. Tratar de que la organización sea «muy eficiente» para identificar, evaluar y mitigar los riesgos de la ciberseguridad, hasta un nivel aceptable
  3. Reconocer el alcance y perjuicio de una filtración de ciberseguridad por parte de un empleado o socio comercial
  4. Involucrar a la junta para que esté consciente de los riesgos de la ciberseguridad y asegurar que se involucre en asuntos de ciberseguridad
  5. Asegurar que el riesgo de ciberseguridad esté formalmente integrado en el plan de auditoría
  6. Entender y mantenerse actualizado sobre cómo las tecnologías emergentes y tendencias tecnológicas afectan la compañía y su perfil de riesgo frente a la ciberseguridad
  7. Reconocer que frente a la ciberseguridad, las medidas preventivas requieren una combinación de seguridad tecnológica con un importante factor humano–un mezcla de educación, consciencia, vigilancia y herramientas tecnológicas
  8. Hacer que el monitoreo de la ciberseguridad y una respuesta a un incidente cibernético sea una prioridad de la alta gerencia.
  9. Solucionar cualquier falta de recursos o personal en TI/auditoría, que representa un claro desafío en muchas organizaciones y puede dañar los esfuerzos para solucionar los temas de ciberseguridad.