Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator¿Las empresas están capitulando sobre los riesgos de ciberseguridad?

¿Las empresas están capitulando sobre los riesgos de ciberseguridad? 

La última violación cibernética está creando conciencia sobre las vulnerabilidades que involucran servicios en la nube, amenazas internas y riesgos de terceros, lo que refleja cuán complejos y entrelazados pueden ser los riesgos de seguridad cibernética. Le corresponde a todas las organizaciones tener una comprensión profunda de los riesgos cibernéticos en toda la empresa, incluida la comprensión de sus culturas cibernéticas.

En esta publicación de blog de 2018, reviso la importancia de la relación de auditoría interna con los líderes de TI y el valor en la comprensión de la cultura cibernética.

En los últimos doce años más o menos, la ciberseguridad ha pasado de ser una misteriosa preocupación de TI que se deja en manos de los directores de seguridad (CSO) y los jefes de seguridad de la información (CISO) a una prioridad máxima para los directorios y la administración ejecutiva. Sin embargo, el progreso ha sido dolorosamente lento para un problema que todos coinciden en que está evolucionando a una velocidad vertiginosa.

Los informes de ciberataques de alto perfil ahora son rutinarios, y ningún sector o industria es inmune a la amenaza. De hecho, Privacy Rights Clearinghouse ha documentado más de 8,600 violaciones de datos desde 2005, incluyendo 831 en 2017. El grupo, ubicado en el Centro de Derecho de Interés Público de la Facultad de Derecho de la Universidad de San Diego, reconoce que no captura todos los ataques cibernéticos exitosos. Aún así, estima que se han violado más de 11 mil millones de registros desde que comenzó a realizar un seguimiento.

Aun así, debo admitir que estoy preocupado cada vez que leo sobre ataques cibernéticos que podrían haberse evitado. Con demasiada frecuencia, los hacks exitosos involucran fallas humanas, no tecnológicas. Esto es especialmente inquietante cuando se considera que la ciberseguridad se ubica en la parte superior de cada gestión y encuesta de la junta sobre los riesgos.

Estoy empezando a preguntarme si la magnitud de la ciberseguridad está alimentando la inacción dentro de algunas organizaciones. Me pregunto si las empresas simplemente tiran la toalla y aceptan lo que creen que será "inevitable". A pesar de saber que las violaciones de datos pueden causar un daño financiero y de reputación increíble, las organizaciones no toman todas las medidas razonables para protegerse. Peor aún, una visión derrotista o fatalista sobre la eventualidad de ser pirateado puede estar contribuyendo a controles débiles o ineficaces.

Dos encuestas recientes proporcionan ejemplos adicionales de nuestras luchas con la ciberseguridad. Una encuesta realizada por Spencer Stuart de las compañías S&P 500 descubrió que, aunque las juntas contrataron en 2017 al mayor número de nuevos directores (397) desde 2004, un escaso 19 por ciento de ellos tenían experiencia en tecnología o telecomunicaciones. Eso sugiere que, si bien existe una creciente conciencia de la importancia de tener directores con conocimientos sobre TI y ciberseguridad, esa conciencia no se ha traducido en una mayor acción.

Otro informe, de la firma de servicios de seguridad de la información IOActive, identificó vulnerabilidades de ciberseguridad en casi todas las 40 principales plataformas de negociación de acciones en línea que investigó. Las vulnerabilidades variaron en gravedad, desde el almacenamiento de contraseñas sin cifrar hasta la promoción de características que son susceptibles al malware (software espía).

Eso refleja el desafío continuo de que la ciberseguridad no se integre en todas las áreas de la organización. Estoy seguro de que ninguna de estas plataformas de negociación de acciones buscaba convertirse en objetivos, pero con demasiada frecuencia el impulso por la conveniencia o las interacciones amigables con el cliente tiene el precio de una mayor vulnerabilidad cibernética.

Si la administración capitula frente a los riesgos de seguridad cibernética, los auditores internos no pueden permitirse unirse a ellos. No solo debemos asegurarnos de tener el talento adecuado en nuestro personal para auditar los procesos y controles de TI, sino que también debemos ser conscientes de cómo se ve la ciberseguridad en toda la organización. En resumen, parte del alcance de la auditoría interna debe ser evaluar la cultura cibernética de la organización y ayudar a construir una cultura que sea cibernética.

El talento se encontraba entre las cuatro claves para transformar la auditoría interna sobre las que escribí en una publicación de blog a principios de 2017. En resumen, la auditoría interna debe redefinir el talento, especialmente con respecto a la auditoría de TI.

De esa publicación de blog:

El camino hacia el talento puede ser el más desafiante. Por ejemplo, los CAE informan desafíos significativos en la contratación de personal con ciberseguridad y privacidad / minería de datos y habilidades analíticas. Aún así, hay pasos claros que podemos tomar para asegurarnos de contar con las personas adecuadas para satisfacer las demandas de las partes interesadas, innovar y ser ágiles.

[El pulso de la auditoría interna de América del Norte] identifica seis claves que respaldan la creación de las personas adecuadas, incluido el desarrollo de una estrategia de talento, la búsqueda de candidatos con diferentes antecedentes y la capacitación y el desarrollo centrados en el futuro. Pero uno de los más importantes es asegurarse de que el alcance de la auditoría interna impulse las competencias del personal. Con demasiada frecuencia, el trabajo que asumen las funciones de auditoría interna está dictado por las habilidades que tienen en el personal. Esta es una práctica peligrosa que va en contra de la innovación y la agilidad.

El papel de la auditoría interna en la construcción de una cultura cibernética va de la mano con tener el talento adecuado en el personal. Así como las funciones de auditoría interna pueden incorporar controles culturales en cada trabajo que realizan, también pueden evaluar cómo la cultura contribuye a los éxitos y fracasos de la seguridad cibernética.

La auditoría interna debe trabajar con las OSC y los CISO para identificar las debilidades en los controles y prácticas de seguridad cibernética de la organización. Es especialmente importante que la relación entre la auditoría interna y los líderes de TI sea saludable y cooperativa. Después de todo, están trabajando por el mismo objetivo de la ciberseguridad efectiva.

En todas las circunstancias, la auditoría interna debe proporcionar a la junta una evaluación directa y objetiva sobre cómo se lleva a cabo la ciberseguridad dentro de la organización y si la cultura de la organización lo apoya o trabaja en contra de ella. Igual de importante, debemos garantizar la preparación de la organización para responder en caso de que se produzcan infracciones de ciberseguridad.

Me gustaría saber qué está haciendo para evaluar la cultura de seguridad cibernética de su organización. Como siempre, espero sus comentarios.

Declaración:
Richard F. Chambers, Presidente y Director General del Instituto Global de Auditores Internos, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de Auditoría Interna.