A medida que los ciberdelincuentes reciben cada vez más atención, el Instituto Americano de Contadores Públicos (AICPA) propone dos conjuntos de criterios y orientaciones para evaluar los esfuerzos de gestión de riesgos de seguridad cibernética de una organización.
«En respuesta a la creciente demanda del mercado de información sobre la eficacia del programa de gestión del riesgo de seguridad cibernética de una entidad, la profesión de auditoría, a través de la AICPA, está desarrollando una base común a través de la emisión de criterios y orientación», dijo Susan Coffey, CPA, CGMA, vicepresidenta ejecutiva para la práctica pública en la AICPA, en una declaración preparada. «Nuestro objetivo principal es proponer un marco de información a través del cual las organizaciones puedan comunicar a las partes interesadas información útil sobre sus programas de gestión de riesgos de seguridad cibernética».
El primer borrador de exposición, Proposed Description Criteria for Management’s Description of an Entity’s Cybersecurity Risk Management Program , es un compromiso destinado a los directivos para que lo utilicen en el diseño y descripción de un programa de gestión de riesgos de seguridad cibernética, y a las empresas de contabilidad pública para que informen sobre la descripción de los directivos.
«Debido al compromiso de la profesión con la mejora continua, el servicio público y el aumento de la confianza de los inversores, este compromiso (denominado examen de seguridad cibernética) será voluntario, flexible y completo», dice la propuesta.
Para ayudar a los administradores con la orientación, la Junta de Normas de Auditoría de la AICPA está trabajando con el Comité Ejecutivo de Servicios de Garantía de la AICPA (ASEC) para elaborar una guía de certificación de la seguridad cibernética. El examen de seguridad cibernética que se describirá en la guía cumplirá con las normas de certificación.
«La existencia de múltiples y dispares marcos y programas para evaluar los programas de seguridad y su eficacia, así como las preferencias de las diferentes partes interesadas por cada uno de ellos, ha creado un entorno caótico que no hace sino aumentar la carga de las organizaciones que intentan comunicar cómo diseñan, implementan y mantienen un programa eficaz de gestión de riesgos de ciberseguridad», dijo Chris Halterman, presidente del Grupo de Trabajo sobre Ciberseguridad de la ASEC y director ejecutivo de servicios de asesoramiento de Ernst & Young LLP.
El segundo borrador de exposición, Propuesta de revisión de los criterios de servicios fiduciarios para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad , describe los criterios revisados de los servicios fiduciarios de la AICPA para su uso por parte de los contadores públicos que prestan servicios de asesoramiento o certificación para evaluar los controles y la privacidad de la información dentro de un programa de gestión de riesgos de seguridad cibernética. Los administradores pueden utilizar los criterios para evaluar los controles del programa.
Para permitir que los criterios se utilicen en los compromisos de toda la organización, se revisarán los criterios para que se ajusten mejor a los principios del Control interno – Marco integrado , un marco de control interno dado a conocer en 2013 por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO).
Aunque el marco del COSO suele utilizarse para evaluar los controles internos de la presentación de informes financieros, también tiene por objeto evaluar todos los objetivos de control interno de la presentación de informes, las operaciones y el cumplimiento, afirma la propuesta.
La propuesta incluye criterios suplementarios aplicables a los compromisos que utilizan los criterios de los servicios de confianza sobre la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad o la privacidad.
Los comentarios se solicitan para el 5 de diciembre. Los comentarios sobre los criterios de descripción propuestos deben enviarse a Mimi Blanco-Best a [correo electrónico protegido]. Los comentarios sobre la propuesta de revisión de los criterios de los servicios de fideicomiso pueden ser dirigidos a Erin Mackler a [email protegido].