Las organizaciones que representan a los contadores y auditores han dejado claro a tres organismos reguladores de la banca federal que un esfuerzo por mejorar las normas de gestión de riesgos de la seguridad cibernética debería centrarse en las mejores prácticas, pero dejar la aplicación a la industria financiera.
Es probable que la Junta de la Reserva Federal, la Oficina del Contralor de la Moneda y la Corporación Federal de Seguros de Depósitos estén muy ocupadas intentando elaborar lo que los organismos denominan «normas mejoradas de gestión de riesgos cibernéticos» para las grandes empresas interconectadas y sus proveedores de servicios.
El período de comentarios se cerró el 17 de enero para la notificación anticipada de la propuesta de elaboración de normas publicada en octubre de 2016, y 15 organizaciones ofrecieron sus comentarios.
AccountingWEB examinó cuatro de las respuestas. Lo esencial: Los principios y las mejores prácticas son bienvenidos, pero los reguladores no deben ser grandes empresas con reglas y requisitos.
El objetivo de los reguladores es aumentar la «resistencia operacional de estas entidades y reducir el impacto en el sistema financiero en caso de un evento cibernético». Las normas se escalonarían de manera que las organizaciones críticas para la funcionalidad del sector financiero se enfrentarían al más duro escrutinio.
Las organizaciones objetivo serían aquellas con activos consolidados totales de 50.000 millones de dólares o más en toda la empresa, porque los riesgos cibernéticos en una parte podrían exponer a otras partes de una organización a daños, según la propuesta. Y dado el tamaño de los activos, una violación de la seguridad en una o más de estas organizaciones «podría tener un impacto significativo en la seguridad y la solidez de la entidad, otras entidades financieras y el sector financiero de EE.UU.», dicen las agencias en la propuesta.
En la recién creada Asociación de Contadores Profesionales Certificados Internacionales, Susan Coffey, CPA, CGMA, vicepresidenta ejecutiva para la práctica pública, dijo que la agilidad está a la orden del día.
«Un conjunto coherente de principios de alto nivel o mejores prácticas (en contraposición a normas o requisitos específicos, detallados y prescriptivos) mantendría el enfoque en la agilidad y la capacidad de respuesta a un desafío en constante evolución: mantenerse un paso adelante y no atrás de los riesgos actuales y futuros», dijo Coffey en una declaración preparada.
Además, añadió, ya existen varios marcos voluntarios de gestión de riesgos de seguridad cibernética. Y el Instituto Americano de Contadores Públicos ha desarrollado un marco de información que complementa a los demás y permite a las empresas hacer saber a las partes interesadas cómo están manejando los riesgos de la ciberseguridad.
Del mismo modo, la Directora Ejecutiva del Centro de Calidad de las Auditorías, Cindy Fornelli, declaró que todos los interesados en la cuestión de la gestión de los riesgos de la ciberseguridad, incluidos los reguladores, están mejor servidos cuando las juntas directivas se encargan de la supervisión.
«Cada empresa es única y, por lo tanto, un enfoque de ‘talla única’ para la gestión de los riesgos de la ciberseguridad no sería lo suficientemente ágil para adaptarse a la variedad de riesgos cibernéticos a los que se enfrenta cada empresa», afirmó. «En consecuencia , creemos que las juntas directivas deben tener flexibilidad en cuanto a la forma de enfocar y ejecutar esa supervisión».
Fornelli añadió que la propuesta parece poner la gestión del riesgo de seguridad cibernética y la evaluación de los controles de seguridad cibernética en varias funciones que funcionan independientemente unas de otras, lo que podría dar lugar a «una redundancia de los esfuerzos que ya están bajo el ámbito de la auditoría interna».
Asimismo, Richard Chambers, presidente y director general del Instituto de Auditores Internos (IIA), declaró que la auditoría interna está «bien posicionada para ofrecer garantías» de lo que la propuesta busca «como lo demuestran las funciones de auditoría interna de alto rendimiento en la industria financiera que ya incorporan evaluaciones de la gestión del riesgo cibernético en sus planes generales de auditoría».
Los riesgos cibernéticos son dinámicos y las organizaciones que se verían afectadas por la propuesta son variadas en tamaño y función, dijo. Por consiguiente, las normas deberían permitir la flexibilidad para elaborar marcos.
Y como las normas se aplicarían a los proveedores de las instituciones financieras, el AII recomienda un nuevo tipo de informe de gestión de riesgos cibernéticos para los proveedores, «ya que esto reduciría en gran medida la carga que supone para estos proveedores el hecho de que varios clientes realicen evaluaciones individuales», declaró.
La Asociación de Gestión de Riesgos adoptó la postura de que las normas mejoradas no van lo suficientemente lejos. La industria financiera está en desventaja porque no tiene acceso rápido a la información sobre las ciberamenazas que tiene la policía.
«Debe existir un mecanismo que permita a las fuerzas del orden compartir información creíble sobre las amenazas para que las instituciones adopten las medidas necesarias para disuadir de la amenaza resultante», declaró Edward DeMarco Jr., asesor jurídico general y director de relaciones reglamentarias de la Asociación de Gestión de Riesgos.
Por lo tanto, cualquier norma debería ser una guía en lugar de una reglamentación, «dada la rápida velocidad con que está cambiando la industria, la presión concomitante para innovar y la naturaleza evolutiva de las amenazas cibernéticas, incluidas, entre otras, las intenciones de los actores», declaró.
La industria «no debería avanzar al mismo paso hacia un estado de preparación particular que pueda tener la consecuencia no deseada de crear una vulnerabilidad común y a gran escala que podría ser explotada por malos actores», declaró DeMarco. «En resumen, la comunidad de supervisores no quiere frustrar inadvertidamente la ingeniosidad y la solución de problemas que han puesto en práctica diversos participantes de la industria mediante un enfoque prescriptivo, por escrito, de la promulgación de normas mejoradas».
Artículo relacionado:
La AICPA establece criterios para la gestión del riesgo de seguridad cibernética