Artículo
En primera línea : cuándo involucrar a la junta directiva en el riesgo de ciberseguridad
La junta directiva debe comprender y ser consciente de los principales riesgos relacionados con los ataques cibernéticos.
No hay duda de si la seguridad cibernética es un riesgo importante que las organizaciones de hoy deben considerar. Imagínese si un ataque cibernético contra los principales procesos automatizados de su organización deja inoperables sus sistemas informáticos e interrumpe la infraestructura crítica y los servicios vitales. ¿Qué sucede si los ciberdelincuentes capturan datos relacionados con los empleados, la propiedad intelectual, la calidad y seguridad de los productos, la planificación estratégica o los datos financieros y piden una gran cantidad de dinero para evitar que los datos se publiquen o destruyan? Hay muchas formas en que los ataques cibernéticos pueden ocurrir y destruir organizaciones.
Naturalmente, no todas las organizaciones son iguales, ni enfrentan ni toleran el mismo riesgo. Las organizaciones deben establecer sus objetivos, identificar los riesgos internos y externos que enfrentan para lograr estos objetivos y establecer planes, basados en la evaluación de riesgos, para guiar los esfuerzos para lograrlos.
El gobierno efectivo requiere que la junta directiva identifique y gestione todos los riesgos al establecer metas y estrategias. Por lo tanto, la junta directiva debe comprender y ser consciente de los principales riesgos relacionados con los ataques cibernéticos. Es la junta directiva y la alta dirección quienes son los responsables en última instancia de la gestión eficaz de los riesgos de ciberseguridad y de tomar medidas para mitigar los mismos riesgos. Además, para ser eficaz, la gestión de riesgos debe permitir que los riesgos de ciberseguridad se capturen y comuniquen oportunamente en toda la organización.
La junta, la alta gerencia y las partes interesadas necesitan los servicios de aseguramiento independientes, objetivos y competentes de la actividad de auditoría interna para verificar si los controles de las operaciones de seguridad cibernética están bien diseñados y se llevan a cabo de manera eficiente. Aunque la función tiene un papel muy importante en la gestión de riesgos, la auditoría interna, como el riesgo, a menudo se malinterpreta. En ocasiones, la profesión se ha visto de manera negativa, a menudo vista como un organismo policial que preferiría atrapar a alguien haciendo algo mal que trabajar de manera proactiva para ayudar. La auditoría interna puede ayudar a la organización al alertar a la gerencia sobre los nuevos riesgos de ciberseguridad, así como los riesgos de ciberseguridad que no se han mitigado adecuadamente, y brindar recomendaciones para una respuesta de riesgo adecuada. Para poder ayudar a las organizaciones a lidiar con la ciberseguridad,
Cuando la gerencia capturó y comunicó oportunamente los riesgos significativos relacionados con la seguridad cibernética en toda la organización y empleó políticas, procesos, herramientas y personal para garantizar que los recursos de información de una organización estén adecuadamente protegidos contra muchos tipos de ataques, la auditoría interna debe evaluar la idoneidad y Oportunidad de la respuesta al riesgo. La auditoría interna también debe determinar si la aceptación de los riesgos de seguridad cibernética está de acuerdo con el apetito/tolerancia al riesgo de la organización y si se comunica a toda la organización.
Los riesgos de ataques como ransomware, phishing, piratería, amenazas internas y fuga de datos, según la importancia y la confidencialidad de los datos, pueden ser muy peligrosos y tener un gran impacto en las organizaciones. Cuando las observaciones del trabajo de auditoría no muestran control o controles débiles contra estos riesgos, y cuando el riesgo puede dañar seriamente a la organización, el DEA debe actuar de inmediato y comunicar oralmente la observación o la información a la alta dirección y al directorio. La función puede entonces preparar un informe provisional para el caso. Sin embargo, antes de comunicar la observación "peligrosa" a la alta dirección y al directorio, la función de auditoría primero debe comunicarse con la parte que conoce y es responsable de la actividad bajo revisión.
Dependiendo de la magnitud de los riesgos, algunos ejemplos de controles de ciberseguridad débiles incluyen la falta de software de protección antivirus y malware; una incapacidad para recuperar datos; falta de cortafuegos de red y seguridad de acceso a datos; y sin software de cifrado con el uso de dispositivos de almacenamiento portátiles.
En el caso de que los gerentes responsables de la implementación de la acción correctiva relacionada con una observación de auditoría no estén tomando medidas para el riesgo, y es inaceptable de acuerdo con el apetito de riesgo de la organización, el caso debe elevarse a la junta directiva.
Milaim Abduraimi, CIA, CIPFA
Jefe de la división de auditoría interna, Agencia de Servicios de Medios de Audio y Audiovisuales en Skopje, Macedonia del Norte.