El Instituto Americano de Contadores Públicos (AICPA) ha introducido un marco voluntario de presentación de informes sobre gestión de riesgos en materia de seguridad cibernética para ayudar a las organizaciones a demostrar a los principales interesados la eficacia de sus preparativos en materia de seguridad cibernética.
«Las amenazas a la seguridad cibernética están aumentando, por lo que desconciertan a las juntas directivas, gerentes, inversores y clientes de empresas de todos los tamaños, ya sean públicas o privadas», dijo Susan Coffey, CPA, CGMA, vicepresidenta ejecutiva para la práctica pública en la AICPA, en una declaración preparada. «Aunque hay muchos métodos, controles y marcos para desarrollar programas de gestión de riesgos de seguridad cibernética, hasta ahora no ha habido un lenguaje común para que las empresas se comuniquen e informen sobre estos esfuerzos».
El 26 de abril se publicaron los dos siguientes recursos que apoyan la presentación de informes con arreglo al nuevo marco:
1. Criterios de descripción. Utilizado por la administración para explicar su programa de gestión del riesgo de seguridad cibernética de manera coherente y utilizado por los contadores públicos certificados para informar sobre la descripción de la administración.
2. Criterios de control. Utilizado por los contadores públicos que proporcionan servicios de asesoría o certificación para evaluar e informar sobre la efectividad de los controles dentro del programa de un cliente.
Un tercer recurso, una guía de certificación, se publicará este mes. La guía, Reporting on an Entity’s Cybersecurity Risk Management Program and Controls , ayudará a los contadores públicos contratados a examinar e informar sobre el programa de gestión de riesgos de seguridad cibernética de una entidad.
Tomando nota de la experiencia de los contadores públicos en la auditoría de los controles de la tecnología de la información, el Comité Ejecutivo de Servicios de Garantía de la AICPA identificó la necesidad de servicios de garantía relacionados con la seguridad cibernética. El objetivo era permitir a las empresas comunicar más eficazmente la solidez de sus programas de gestión de riesgos de seguridad cibernética a las principales partes interesadas, según la AICPA.
«El marco que hemos desarrollado servirá como un paso crítico para permitir un mecanismo consistente, basado en el mercado, para que las empresas de todo el mundo expliquen cómo están gestionando el riesgo de la ciberseguridad», dijo Coffey. «Creemos que los inversores, las juntas directivas, los comités de auditoría y los socios comerciales verán un enorme valor en la obtención de una mejor comprensión de los esfuerzos de gestión del riesgo de seguridad cibernética de las organizaciones».
Esa información, combinada con la opinión de la APC sobre la eficacia de los esfuerzos de gestión, aumentará la confianza de los interesados en el debido cuidado de las organizaciones en la gestión del riesgo de seguridad cibernética, añadió.
Para obtener más información y enlaces a valiosos recursos para los contadores públicos certificados que prestan servicios de asesoramiento y garantía en materia de seguridad cibernética, visite el Centro de Recursos de Seguridad Cibernética de la AICPA.
Artículo relacionado:
La AICPA establece criterios para la gestión del riesgo de seguridad cibernética