SEGURILATAM 006

Tercer cuatrimestre 2017 51 artículo técnico Ciberseguridad alinear la formación con la estrategia de seguridad cibernética. Aprovechar las capacidades de audito- ría interna con resistencia existente en la primera y segunda líneas de defensa sin dejar de mantener la objetividad. Liderar los esfuerzos colaborativos de seguridad cibernética en las tres líneas de defensa. Proporcionar perspectivas sobre la coordinación de planes y la alineación con la estrategia de la empresa. Según corresponda, prepararse para que el personal de auditoría interna pueda intervenir y ayudar cuando sea necesario durante una crisis. Involucrar a la dirección y al comité de auditoría o el consejo de adminis- tración en los debates sobre el futuro, ayudando a que consideren las vulne- rabilidades cibernéticas que enfrenta la organización. Facilitar o asesorar sobre un proceso para establecer el grado de aceptación de riesgos de seguridad cibernética de la compañía. rity Officer) para evaluar a los candida- tos externos. Contribuir con los perfiles de riesgo de los candidatos externos. Asesorar sobre la compatibilidad de terceros con la estrategia o filosofía de seguridad cibernética. Aseguramiento Proporcionar una revisión indepen- diente de la estrategia de seguridad ci- bernética antes de que se desarrollen las políticas y los procedimientos. Ser parte de los equipos de implemen- tación de proyectos tecnológicos para asegurarse de que se están abordando e integrando los riesgos cibernéticos en lugar de agregarlos más adelante. Realizar una evaluación comparativa y probar la adecuación y eficacia de las políticas y los procedimientos en com- paración con los marcos correspon- dientes. Evaluar los resultados de la formación y la retención de los conocimientos. Proporcionar perspectivas sobre cómo En cuanto a cómo puede un auditor interno convertirse en un asesor ciber- nético de confianza, el Instituto de Au- ditores Internos Global establece en la cuarta edición de su Guía de Percepcio- nes y Perspectivas Globales que dicha fi- gura profesional debe avanzar en las áreas que se detallan a continuación. Concienciación y prevención Expandir las capacidades de auditoría de TI actuales para proporcionar pers- pectivas proactivas y prácticas sobre seguridad cibernética. Mantener un conocimiento operativo sólido de los próximos cambios en la normativa, nuevos requisitos de cober- tura de seguro, nuevas demandas co- lectivas y otras tendencias. Asegurarse de que los programas de auditoría consideren estas tendencias. Proporcionar asesoramiento estraté- gico a los líderes funcionales sobre sus roles y responsabilidades ciber- néticos. Garantizar las competencias en seguri- dad cibernética para el director de Au- ditoría Interna y el personal por medio de programas eficaces de desarrollo profesional o gestión de talentos. Aprovechar estratégicamente la terce- rización para asegurarse de que el ta- lento y la competencia adecuados es- tán disponibles en la medida necesaria. Gestión de riesgos Permanecer al corriente con la frecuen- cia y magnitud de los fallos en la segu- ridad cibernética. Comprender el impacto total de las amenazas cibernéticas en la organiza- ción e integrarlo en el plan de auditoría. Identificar de forma proactiva los ries- gos emergentes de seguridad ciber- nética. Comprender la postura de riesgo de la organización para combatir las amena- zas cibernéticas. Realizar una auditoría continua sobre los controles de la seguridad ciberné- tica de la dirección para evaluar la ade- cuación y eficacia. Colaborar con el CIO (Chief Information Officer) o CISO (Chief Information Secu- La seguridad cibernética representa una oportunidad significativa para que los directores de Auditoría Interna demuestren su posición como asesores de confianza