En un mundo ideal, los planes de seguridad cibernética están bien diseñados, probados rutinariamente y ejecutados sin problemas. Todo el mundo conoce su papel y sigue las políticas y prácticas diseñadas para proteger a la organización de los oscuros malhechores que acechan en el éter.
Las juntas y la administración reconocen rápidamente los cambios en el riesgo y la tecnología, y actúan con prontitud para modificar los planes, según sea necesario. Los esfuerzos en materia de ciberseguridad se apoyan y refuerzan en una sana cultura organizativa.
Por supuesto, no vivimos en un mundo ideal.
Las organizaciones deben vigilar constantemente las prácticas, políticas y planes de seguridad cibernética. Aquí es donde la auditoría interna desempeña un papel crucial. Una vez creados los planes de seguridad cibernética, las organizaciones deben recurrir a la auditoría interna para hacer lo que mejor saben hacer: comprobar la eficacia y la eficiencia de los controles y protocolos, y proporcionar a la junta y a la dirección garantías sobre esas protecciones.
Hay cuatro áreas en las que la auditoría interna se centra en la ciberseguridad:
1. Proporcionar seguridad sobre la preparación y la respuesta. Según el informe del Centro Ejecutivo de Auditoría del IIA 2016 North American Pulse of Internal Audit , sólo uno de cada cuatro encuestados que informaron tener un plan de continuidad de negocio dijo que proporcionaba «procedimientos claros y específicos para responder a un ciberataque». Es más, el 17 por ciento informó que sus planes no tenían ningún procedimiento de este tipo. Este es el tipo de datos que debería mantener la suite C y el tablero en la noche.
La auditoría interna puede ayudar a las organizaciones a revisar y probar los planes de seguridad cibernética, continuidad del negocio y recuperación de desastres. El potencial de daño a la reputación que crean las interrupciones de negocios mal gestionadas es significativo, y es mucho mejor encontrar fallas a través de ejercicios simulados que en un escenario de la vida real.
2. Comunicar a la junta y a la dirección ejecutiva el nivel de riesgo para la organización y los esfuerzos para hacer frente a esos riesgos. 3. Comprender el grado de riesgo que representan los ciberataques y lo que se está haciendo para mitigarlos es esencial para gestionar el riesgo.
3. Trabaje en colaboración con la TI y otras partes para construir defensas y respuestas efectivas. El riesgo cibernético es un riesgo comercial, no sólo un riesgo de la TI. Con demasiada frecuencia, se magnifica, modifica y desconcierta al ser apoyado únicamente por los sistemas de TI. La creación de relaciones sólidas y de colaboración entre la auditoría interna y la TI ayudará a garantizar que los esfuerzos de mitigación y las respuestas sean eficaces.
4. Asegurar la comunicación y la coordinación. Este puede ser el beneficio más valioso que la auditoría interna puede ofrecer. Debido a que una función de auditoría interna efectiva y con buenos recursos tiene una amplia perspectiva sobre los riesgos organizacionales, está en una posición ideal para promover la comunicación y coordinación sobre los riesgos cibernéticos en toda la organización.
Las batallas territoriales sobre quién «posee» el riesgo de seguridad cibernética son contraproducentes y debilitan los esfuerzos de la organización en materia de seguridad cibernética. Un esfuerzo unificado en el que las funciones estén claramente definidas crea las mejores condiciones para disuadir los ataques cibernéticos, ejecutar planes de continuidad de negocio cuando se produzcan infracciones cibernéticas y crear organizaciones ciberresistentes.
A pesar de su complejidad y su formidable reto, la seguridad cibernética efectiva está al alcance de la mayoría de las organizaciones. Mediante el uso de las «Cuatro R» -resistir, reaccionar, recuperar y reevaluar- las organizaciones pueden elaborar planes eficaces de ciberresistencia.
Resistir
El reciente ciberataque WannaCry dio una impactante señal de alarma de que incluso los ataques de phishing más básicos pueden tener efectos devastadores. El virus del rescate, que se cobró más de 200.000 víctimas en 150 países, podría haber sido rechazado con éxito con medidas básicas de seguridad cibernética.
- Instruye a los empleados en la ciber-educación defensiva y pide a la auditoría interna que compruebe su cumplimiento.
- Aproveche los marcos y orientaciones disponibles, como el Marco para la mejora de la ciberseguridad de las infraestructuras críticas del NIST o el Marco de responsabilidad de gestión de la privacidad del Nymity.
- Comprender el proceso y la importancia de las actualizaciones de software y de datos, y conseguir que la auditoría interna compruebe su cumplimiento.
- Pruebe los controles informáticos regularmente.
Reacciona
Cuando se produce una infracción cibernética, un plan de gestión de crisis es un componente esencial de la gestión eficaz de la continuidad de la empresa.
- Evalúe inmediatamente el alcance de la brecha y el método para abordarla.
- Asegurarse de que cada parte de la organización comprenda y cumpla su función en la gestión de crisis y los planes de continuidad de la actividad.
- Comunicarse con transparencia y con una sola voz.
- La auditoría interna debe supervisar y evaluar la respuesta.
Recuperar
Una sólida planificación de la continuidad de los negocios y una ejecución adecuada de esos planes pueden ayudar a una organización a recuperarse rápidamente de una infracción cibernética.
- Identificar los pasos necesarios para restablecer de forma segura y rápida las operaciones comerciales.
- Asegure las comunicaciones internas frecuentes durante la recuperación.
Reevaluar
El análisis de los procesos, procedimientos y su ejecución es esencial una vez que la crisis haya pasado y las operaciones se hayan restablecido y sean seguras.
- Busca formas de mejorar la respuesta a la crisis.
- Determinar las necesidades de entrenamiento y reentrenamiento.
- Considere el papel que la cultura corporativa desempeñó, si lo hubo, para contribuir a la brecha.
- Revise las políticas de privacidad de datos y seguridad.
- Considere el papel que, en su caso, desempeñaron los riesgos de terceros al contribuir a la infracción.
El éxito de la seguridad cibernética requiere un esfuerzo unificado y coordinado. La dirección y las juntas directivas pueden gestionar el esfuerzo con eficacia si comprenden el alcance del reto, comprometen los recursos necesarios para elaborar y ejecutar una estrategia bien fundamentada, apoyan la supervisión y el examen independientes de la auditoría interna y fomentan las comunicaciones abiertas y la cooperación entre los principales agentes.