¿Cómo una función de Auditoría Interna combatirá los problemas de seguridad cibernética para su empresa CUANDO suceda en 2020?

¿Cómo una función de Auditoría Interna combatirá los problemas de seguridad cibernética para su empresa CUANDO suceda en 2020?

Ya no es una pregunta consultada en una sala de juntas por la alta gerencia de compañías multinacionales. ¿Podríamos ser pirateados? Ahora es una ocasión inevitable de cuándo seremos pirateados y cómo podemos combatir esta violación de datos. Dada la posible exposición y riesgo a los valiosos activos e información de una empresa, es obligatorio que el consejo de administración esté adecuadamente preparado para esta ocasión. ¿Cómo pueden prepararse para esto? Una herramienta importante disponible para ellos es un equipo de auditoría interna. La auditoría interna es indispensable para ayudar a las empresas a gestionar las amenazas de ciberseguridad y los programas preventivos. Aquí hay algunas sugerencias sobre cómo prepararse mejor.

1- Asegúrese de que su función de auditoría esté adecuadamente preparada con talento, recursos y presupuesto.
Puede ser responsabilidad de su departamento de recursos humanos asegurarse de que ha contratado al «Equipo ideal de auditoría de TI». No obstaculice esto al no aprobar los presupuestos de alquiler. A largo plazo, esto le costará más a su empresa en tiempo y en finanzas. El uso de firmas de búsqueda ejecutivas externas especializadas como La web de auditoría garantiza que encuentre la habilidad adecuada y la experiencia específica de la industria para facilitar mejor su empresa, ya que esto a menudo es un desafío, por lo tanto, la gerencia debe preparar a sus empresas para priorizar el desarrollo, la capacitación y la contratación adecuada de recursos para el equipo de auditoria interna.

2- Mantenga la comunicación abierta con su equipo de auditoría interna
Existe una importancia vital del compromiso entre el equipo de auditoría interna y el negocio al que sirve. Para comprender de dónde provienen los riesgos cibernéticos, debe apreciar cómo funciona el negocio. Esto incluiría evaluar firewalls, redes y aplicaciones, pero también comprender los procesos de la empresa y cómo interactúa con clientes y vendedores. Los riesgos de seguridad cibernética son objetivos móviles. La mayor parte de la exposición radica en el elemento humano de una empresa. Debe asegurarse de que sus equipos de auditoría interna tengan una comprensión clara y exhaustiva de las operaciones comerciales. La única forma en que esto realmente puede suceder es mantener una rotación continua del personal de auditoría interna en el negocio en varias funciones y unidades. Esto sirve para múltiples propósitos; asegura la retención de talentos valiosos en la empresa, ya que están satisfechos con su propia progresión profesional personal. Es un hecho bien conocido en el espacio de reclutamiento, este es uno de los impulsores clave para que los auditores abandonen su función, lo que a su vez termina costando el tiempo y los recursos de la compañía para reemplazar, capacitar y contratar nuevos talentos de auditoría. En segundo lugar, le brinda a sus auditores una mejor visión completa de la compañía y, por lo tanto, puede agregar más valor y mantenerse en sintonía con la compañía.
3- Asegurar la coordinación entre funciones: TI y Auditoría Interna
Otra parte integral de este problema es el nivel de coordinación entre el equipo de auditoría interna y otras funciones clave y esto es fundamental para el éxito de abordar sus problemas y riesgos cibernéticos. Debe asegurarse de que sus equipos de auditoría interna tengan acceso a otros miembros del equipo de Auditoría de TI. Esto puede incluir el director de información y el director de seguridad de la información, así como los recursos humanos, la adquisición de suministros y los líderes empresariales. La coordinación puede hacer o deshacer cualquier empresa importante, y la ciberseguridad no es una excepción.

4- ¿Dónde comenzar y qué preguntas hacer primero?
A continuación hay una sugerencia de dónde puede comenzar su comité de auditoría y qué problemas deben abordarse primero.
• Actualmente es importante preguntar, ¿qué interacción y coordinación tiene el equipo de auditoría interna con otras funciones corporativas (por ejemplo, tecnología de la información, seguridad de la información, operaciones, cadena de suministro, recursos humanos, etc.) relacionadas con asuntos de ciberseguridad?
• ¿Qué conjuntos de habilidades tiene su equipo de auditoría interna relacionados con la seguridad de la información? ¿La seguridad cibernética? ¿Cómo mantienen actualizados sus habilidades los miembros del equipo? ¿Cómo retiene a los miembros del equipo? ¿Necesitas contratar más talento para apoyarlos?
• ¿Realiza la empresa pruebas de penetración del sistema interno y / o externo? ¿Las pruebas son anunciadas o no anunciadas? ¿Qué papel, si corresponde, desempeña el equipo de auditoría interna? ¿Existe una comunicación abierta entre todas sus funciones para facilitar esto?
• ¿Qué tipos de pruebas de prevención, detección y reacción / respuesta realiza el equipo de auditoría interna en el ciclo de vida de gestión de amenazas y vulnerabilidades? De nuevo, ¿tiene suficiente talento interno para hacer frente a todos estos problemas? ¿Apoya a su equipo lo suficiente como para apoyar esto en términos de recursos y talento del equipo?
• ¿Qué papel, si corresponde, desempeña el equipo de auditoría interna durante una infracción? Las reuniones periódicas y la coordinación podrían desempeñar un papel integral para resaltar cómo estas funciones pueden apoyarse mutuamente si se produce una violación que luego puede conducir a una resolución más rápida del problema.
• ¿Qué papel, si corresponde, desempeña el equipo de auditoría interna después de que se haya producido una infracción?
• ¿Quién realiza investigaciones relacionadas con el ciber dentro de la organización? – ¿Subcontrata esta responsabilidad y, de ser así, valdría la pena contratar una función interna para abordar estos problemas?

Leave a Comment!