SEGURILATAM 006

50 Tercer cuatrimestre 2017 artículo técnico Ciberseguridad H acer frente a la cibercrimina- lidad no es una tarea única y exclusivamente reservada a los expertos de ciberseguridad ciberné- tica. Esta última debe considerarse de forma holística y sistémica, ya que los efectos de un manejo inefectivo de la misma pueden ir desde el robo de in- formación personal hasta el daño repu- tacional, pasando por la incapacidad de realizar transacciones básicas y la pér- dida de la propiedad intelectual. No es solamente un riesgo tecnológico; es un riesgo para los negocios y, a la hora de afrontarlo, los auditores internos tienen que asumir un rol crucial. Auditoría interna La auditoría interna no es una simple la- bor. Es mucho más que una profesión: una filosofía de trabajo, una doctrina, un credo… En pocas palabras: quienes nos dedicamos a ella somos una religión se- glar. Los auditores internos no somos un grupo técnico aislado, sino una amplia gama de profesionales que agrupa un conjunto de conocimientos claves para ayudar a las organizaciones a alcanzar el éxito. Los auditores internos no habla- mos un solo tipo de idioma de negocios; muy al contrario, formamos una unidad de habilidades, destrezas y capacidades. ¿Cómo podemos ayudar? La seguridad cibernética representa una oportunidad significativa para que los di- rectores de Auditoría Interna demues- tren su posición como asesores de con- fianza, yendo más allá de asegurarse de que las auditorías de seguridad ciber- nética se realicen según el plan y ofre- ciendo en su lugar un liderazgo de pen- samiento estratégico y preventivo para la compañía. Ello implica determinar el riesgo y el impacto de la seguridad ci- bernética en la estrategia y reputación de la empresa, dando lugar a debates oportunos y significativos entre la direc- ción y los directores superiores y abo- gando por la necesidad de un debido cuidado y una administración de los re- cursos. Los riesgos derivados de la cibersegu- ridad como fugas de información, frau- des, sabotajes, etc., pueden golpear du- ramente la reputación de las compañías, castigar económicamente en forma de sanciones y pérdidas o llegar a detener la operativa o prestación del servicio de las empresas. Incluso en países con una re- gulación avanzada los ciberataques pue- den conllevar condenas penales. Tanto el volumen como el impacto de las amenazas están aumentando expo- nencialmente en los últimos tiempos. Por ello, hay que extremar las medidas en materia de ciberseguridad y estable- cer todos los controles necesarios que permitan mitigar los riesgos en las orga- nizaciones. ¿Qué podemos hacer? Sobre cuál ha de ser el rol de la función de Auditoría Interna en una empresa en relación a la ciberseguridad, el Instituto de Auditores Internos de España, en su documento Ciberseguridad. Una guía de supervisión , presenta el listado que se muestra a continuación, con el que se pretende reflejar los principales aspec- tos en materia de seguridad que debe- rían ser preocupación y objeto de revi- sión por parte de Auditoría Interna: 1. Colaborar con la dirección de la com- pañía en la creación y desarrollo de una estrategia y política de ciberseguridad. 2. Asegurar que la organización cuenta con un correcto nivel de madurez y ca- pacidad para la identificación y mitiga- ción de los riesgos de ciberseguridad. 3. Verificar los mecanismos para recono- cer incidentes de ciberseguridad pro- cedentes de un empleado o provee- dor externo. 4. Aprovechar las relaciones con la direc- ción de la compañía para aumentar el nivel de concienciación de la junta y el consejo de la misma con los riesgos de ciberseguridad, así como su impli- cación y compromiso con cuestiones clave en esta materia como la actuali- zación de la estrategia de ciberseguri- dad de la organización. 5. La ciberseguridad se encuentra for- malmente cubierta e integrada en el Plan de Auditoría Interna. 6. Entender y desarrollar un perfil de riesgo en ciberseguridad de la compa- ñía teniendo en cuenta las nuevas tec- nologías y tendencias emergentes. 7. Evaluar el programa de ciberseguridad de la compañía con el marco de ciber- seguridad del Instituto Nacional de Es- tándares y Tecnología (NIST, por sus si- glas en inglés) y otros estándares como las normas ISO 27001 y 27002. 8. Identificar y evaluar las capacidades preventivas de control de la cibersegu- ridad en materia de educación, forma- ción y concienciación de usuarios, así como procesos y herramientas de con- trol y vigilancia digital. 9. Asegurar que la monitorización y ges- tión de ciberincidentes es considerada una prioridad en la compañía, exis- tiendo un proceso de escalado claro al respecto. 10. Identificar cualquier carencia o falta de personal de TI y Auditoría Interna que pueda representar un impedi- mento para alcanzar los objetivos y re- tos de ciberseguridad de la compañía. Nahun Frett Vicepresidente de Auditoría Interna de Central Romana Corporation ¿Cómo podemos luchar los auditores internos contra la cibercriminalidad?