Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator¿Las empresas están capitulando sobre los riesgos de ciberseguridad?

 ¿Las empresas están capitulando sobre los riesgos de ciberseguridad?

20 de agosto de 2018

En los últimos doce años más o menos, la ciberseguridad ha pasado de ser una misteriosa preocupación de Tecnología de la Información (TI) a las CSO (Jefe Oficial de Seguridad) y los CISO (Director de Seguridad de la Información) a una máxima prioridad para las juntas directivas y la gerencia ejecutiva. Sin embargo, el progreso ha sido dolorosamente lento para un problema que todos concuerdan en que está evolucionando a una velocidad vertiginosa.

Los informes de ciberataques de alto perfil ahora son rutinarios, y ningún sector o industria es inmune a la amenaza. De hecho, Privacy Rights Clearinghouse ha documentado más de 8,600 violaciones de datos desde 2005, incluidas 831 en 2017. El grupo, ubicado en el Centro de Derecho de Interés Público de la Facultad de Derecho de la Universidad de San Diego, admite que no captura todos los ciberataques exitosos. Aun así, se estima que se han violado más de 11 mil millones de registros desde que comenzó a realizar un seguimiento.

A pesar de eso, debo admitir que estoy preocupado cada vez que leo sobre ciberataques que podrían haberse evitado. Con demasiada frecuencia, los ataques exitosos implican fallas humanas, no tecnológicas. Esto es especialmente inquietante cuando se considera que la ciberseguridad se ubica en la cima o cerca de todas las encuestas de opinión sobre riesgos.

Estoy empezando a preguntarme si la enormidad de la ciberseguridad está alimentando la inacción dentro de algunas organizaciones. Me pregunto si las empresas simplemente tiran la toalla y aceptan lo que creen que será "inevitable". A pesar de saber que las violaciones de datos pueden causar un daño financiero y reputacional increíble, las organizaciones no toman todas las medidas razonables para protegerse. Peor aún, una visión derrotista o fatalista sobre la eventualidad de ser pirateada puede estar contribuyendo a controles débiles o ineficaces.

Dos encuestas recientes brindan ejemplos adicionales de nuestras luchas con la ciberseguridad. Una encuesta realizada por Spencer Stuart de las compañías Standard & Poor's 500 encontró que, aunque las juntas contrataron el año pasado una mayor cantidad de nuevos directores (397) desde 2004, un escaso 19% de ellos tenían experiencia en tecnología o telecomunicaciones. Esto sugiere que, si bien existe una conciencia cada vez mayor de la importancia de contar con directores que tengan conocimientos sobre Tecnología de la Información y Ciberseguridad, esa conciencia no se ha traducido en una mayor acción.

Un nuevo informe de la firma de servicios de seguridad de la información IOActive identificó vulnerabilidades de ciberseguridad en casi todas las 40 principales plataformas de negociación de acciones en línea que investigó. Las vulnerabilidades variaron en gravedad, desde el almacenamiento de contraseñas no cifradas hasta la promoción de características que son susceptibles a malware.

Esto refleja el desafío continuo de la ciberseguridad que no se integra en todas las áreas de la organización. Estoy seguro que ninguna de estas plataformas de negociación de acciones buscó establecerse como objetivo, pero con demasiada frecuencia el impulso de la conveniencia o las interacciones amistosas con los clientes se produce a costa de una mayor vulnerabilidad cibernética.

Si la administración está capitulando frente a los riesgos de ciberseguridad, los auditores internos no pueden darse el lujo de unirse a ellos. No solo debemos asegurarnos que tenemos el talento adecuado en nuestro personal para auditar los procesos y controles de TI, también debemos ser conscientes de cómo se ve la ciberseguridad en toda la organización. En resumen, parte del alcance de la auditoría interna debe ser evaluar la cibercultura de la organización y ayudar a construir una cultura que sea cibernética.

El talento fue una de las cuatro claves para transformar la auditoría interna sobre la que escribí en una publicación de blog a principios de este año. En resumen, la auditoría interna debe redefinir el talento, especialmente con respecto a la auditoría de TI.

De la publicación del blog:

El camino hacia adelante en talento puede ser el más desafiante. Por ejemplo, los Directores Ejecutivos de Auditoría reportan importantes desafíos en la contratación de personal con ciberseguridad y privacidad / extracción de datos y habilidades analíticas. Aun así, hay pasos claros que podemos tomar para asegurarnos de tener las personas adecuadas para cumplir con las demandas de las partes interesadas, innovar y ser ágiles.

[El Pulso de Auditoría Interna de América del Norte] identifica seis claves que respaldan el establecimiento de las personas adecuadas, incluido el desarrollo de una estrategia de talentos, la búsqueda de candidatos con diferentes antecedentes y la inclusión de capacitación y desarrollo enfocados en el futuro. Pero uno de los más importantes es asegurarse que el alcance de la auditoría interna impulse las competencias del personal. Con demasiada frecuencia, las funciones de auditoría interna del trabajo están dictadas por las habilidades que tienen en el personal. Esta es una práctica peligrosa que funciona en contra de la innovación y la agilidad.

El papel de la auditoría interna en la construcción de una cultura cibernética va de la mano con tener el talento adecuado en el personal. Del mismo modo que las funciones de auditoría interna pueden crear controles de cultura en cada compromiso que realizan, también pueden evaluar cómo la cultura contribuye a los éxitos y fracasos de la ciberseguridad.

La auditoría interna debería trabajar con los CSO y los CISO para identificar debilidades en los controles y prácticas de ciberseguridad de la organización. Es especialmente importante que la relación entre la auditoría interna y los líderes de TI sea sana y cooperativa. Después de todo, trabajan para el mismo objetivo de ciberseguridad efectiva.

En cualquier circunstancia, la auditoría interna debe proporcionar al Consejo una evaluación directa y objetiva sobre cómo se lleva a cabo la ciberseguridad dentro de la organización y si la cultura de la organización lo apoya o lo contrarresta. Igual de importante es que debemos garantizar la preparación de la organización para responder en caso de que ocurran violaciones a la ciberseguridad.

Me gustaría saber qué estás haciendo para evaluar la cultura de ciberseguridad de tu organización. Como siempre, espero sus comentarios.

Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.