Saltar al contenido

El riesgo de la ciberseguridad se convierte en un elemento fijo de los planes de auditoría interna

Las empresas han hecho importantes progresos en el último año incorporando el riesgo de seguridad cibernética en sus planes de auditoría interna, según una nueva encuesta de la empresa consultora mundial Protiviti.

Casi tres de cada cuatro (73 por ciento) funciones de auditoría interna evalúan y auditan el riesgo de ciberseguridad como parte de sus planes anuales de auditoría, en comparación con el 53 por ciento en 2015, según los 1.333 profesionales de auditoría interna que participaron en la Encuesta sobre Capacidades y Necesidades de Auditoría Interna 2016: Llegando al punto de inflexión de la auditoría interna en medio de la transformación empresarial .

El riesgo de la ciberseguridad se convierte en un elemento fijo de los planes de auditoría interna
El riesgo de la ciberseguridad se convierte en un elemento fijo de los planes de auditoría interna

“Esto sin duda refleja un mayor interés y preocupación entre las organizaciones por las amenazas cibernéticas que ahora encuentran a diario”, afirma el informe. “Además, es probable que muchas organizaciones estén siendo influenciadas por sus auditores externos que están poniendo un mayor escrutinio en el programa de seguridad cibernética de la administración. Esto está siendo impulsado por el actual entorno de ciberamenazas, junto con las obligaciones de divulgación de la Comisión de Valores y Bolsa de los EE.UU. emitidas en 2011 en relación con los riesgos de seguridad cibernética y los ciberincidentes, que establecen el escenario para los desarrollos del mercado que estamos presenciando hoy en día”.

El daño a la marca y la reputación, las fugas de datos (información personal de los empleados) y la seguridad de los datos (información de la empresa) se consideran los niveles más significativos de riesgo de seguridad, según el informe. En cuanto al valor que se deriva de abordar los riesgos de seguridad cibernética, las empresas consideran que su capacidad para identificar los problemas, el riesgo o el control de los problemas en una fase temprana es lo más importante, junto con la vigilancia del riesgo de reputación y la mejora del rendimiento operativo.

Además, el 57% de los profesionales de auditoría interna dijeron que sus empresas han recibido consultas de clientes o proveedores de seguros sobre la forma en que abordan la seguridad cibernética.

Prioridades para los EAC y la auditoría interna

Protiviti descubrió que hay dos factores críticos de éxito a la hora de establecer y mantener un plan de seguridad cibernética eficaz:

  • Un alto nivel de compromiso de la junta directiva en los riesgos de seguridad de la información.
  • Incluir la evaluación del riesgo de seguridad cibernética en el actual plan de auditoría.

Las empresas que cuentan con al menos uno de estos factores de éxito tienen una mejor capacidad para combatir las ciberamenazas, según Protiviti. Por ejemplo, el 92 por ciento de las organizaciones con un alto nivel de participación de la junta directiva en los riesgos de seguridad de la información tienen una estrategia de riesgo de seguridad cibernética en marcha, en comparación con el 77 por ciento de otras organizaciones. Del mismo modo, el 83 por ciento de las empresas que incluyen el riesgo de seguridad cibernética en sus planes anuales de auditoría tienen una política de riesgo de seguridad cibernética, frente al 53 por ciento que no la tienen.

“Cuando se trata de procesos de ciberseguridad y auditoría, las organizaciones de mayor rendimiento tienen comités y juntas de auditoría que participan activamente en la función de auditoría interna durante el descubrimiento y la evaluación de estos riesgos”, dijo Brian Christensen, vicepresidente ejecutivo de auditoría global de Protiviti, en una declaración escrita. “Sin embargo, todavía es evidente que es esencial seguir trabajando para construir estas capacidades de auditoría interna. Las compañías deben tomar medidas más fuertes para establecer estos imperativos”.

Entonces, ¿qué medidas deben tomar los jefes de auditoría para abordar la ciberseguridad? Protiviti proporcionó los siguientes 10:

  1. Trabaje con la dirección y el consejo de administración para desarrollar una estrategia y una política de seguridad cibernética.
  2. Identificar y actuar sobre las oportunidades para mejorar la capacidad de la organización para identificar, evaluar y mitigar el riesgo de seguridad cibernética a un nivel aceptable.
  3. Reconocer que el riesgo de seguridad cibernética no es sólo externo; evaluar y mitigar las posibles amenazas que podrían derivarse de las acciones de un empleado o un socio comercial.
  4. Aprovechar las relaciones con el comité de auditoría y la junta para aumentar la conciencia y el conocimiento sobre las amenazas cibernéticas, y asegurar que la junta se mantenga muy comprometida con los asuntos de seguridad cibernética y actualizada sobre la naturaleza cambiante del riesgo de seguridad cibernética.
  5. Asegurarse de que el riesgo de seguridad cibernética se integre formalmente en el plan de auditoría.
  6. Desarrollar y mantener al día una comprensión de cómo las tecnologías y tendencias emergentes están afectando a la empresa y su perfil de riesgo de seguridad cibernética.
  7. Evaluar el programa de seguridad cibernética de la organización con respecto al Marco de Seguridad Cibernética del Instituto Nacional de Normas y Tecnología, reconociendo que debido a que el marco no llega hasta el nivel de control, su programa de seguridad cibernética puede requerir evaluaciones adicionales de las normas ISO 27001 y 27002.
  8. Busque oportunidades para comunicar a la administración que, en lo que respecta a la seguridad cibernética, la capacidad preventiva más sólida requiere una combinación de seguridad humana y tecnológica, una combinación complementaria de herramientas de educación, concienciación, vigilancia y tecnología.
  9. Destacar que la vigilancia de la seguridad cibernética y la respuesta a los incidentes cibernéticos debe ser una prioridad máxima de la administración; un protocolo de escalada claro puede ayudar a defender y mantener esta prioridad.
  10. Abordar cualquier escasez de personal y recursos de TI/auditoría, así como la falta de tecnología/herramientas de apoyo, cualquiera de las cuales puede obstaculizar los esfuerzos por gestionar eficazmente el riesgo de seguridad cibernética.

Las siguientes son cinco prioridades de seguridad cibernética para la auditoría interna:

  1. Comprender los riesgos estratégicos actuales de la empresa y anticipar cómo serán los principales riesgos estratégicos dentro de 12 meses.
  2. Desarrollar y fortalecer las relaciones de colaboración con las partes interesadas en toda la empresa para abordar de manera proactiva un conjunto dinámico y amplio de riesgos comerciales.
  3. Reconocer el impacto estratégico de la ciberseguridad, colaborar con las partes interesadas en toda la empresa para evaluar y supervisar su naturaleza cambiante e invertir en las herramientas y los conocimientos técnicos necesarios para hacerlo.
  4. Ayudar a garantizar que el enfoque de la empresa para gestionar la seguridad cibernética y otras tecnologías cada vez más importantes (por ejemplo, la tecnología móvil, la analítica, la Internet de las cosas) sea amplio y basado en el riesgo.
  5. Asegurar que las actividades de detección y prevención de fraudes sigan siendo suficientes, dados los cambios tecnológicos, estructurales, estratégicos y de personal que se producen en toda la organización.

“Con la auditoría interna ahora en un punto de inflexión, estas prioridades son más importantes que nunca”, dijo Christensen. “Si la función de auditoría interna no sigue el ritmo de crecimiento e innovación de las empresas, se quedará atrás. El momento de actuar es ahora”.