Riesgo cibernético y auditoría interna: un llamado a la acción urgente

Riesgo cibernético y auditoría interna: un llamado a la acción urgente

La auditoría interna tiene un papel fundamental para ayudar a las organizaciones en la batalla continua de gestionar las amenazas cibernéticas, tanto al proporcionar una evaluación independiente de los controles existentes y necesarios, como al ayudar al comité de auditoría y al consejo a comprender y abordar los diversos riesgos del mundo digital.

La amenaza de los ciberataques es significativa y evoluciona continuamente. Muchos comités y juntas de auditoría han establecido una expectativa para que la auditoría interna comprenda y evalúe las capacidades de la organización en la gestión de los riesgos asociados. Nuestra experiencia muestra que un primer paso efectivo para la auditoría interna es llevar a cabo una evaluación del riesgo cibernético y resumir los hallazgos en un resumen conciso para el comité de auditoría y la junta que luego conducirá un plan de auditoría interna de seguridad cibernética de varios años basado en el riesgo.

Las unidades de negocio y la función de tecnología de la información (TI) integran la gestión del riesgo cibernético en la toma de decisiones y operaciones cotidianas y comprenden la primera línea de defensa de una organización. La segunda línea incluye líderes de gestión de riesgos de información y tecnología que establecen el gobierno y la supervisión, monitorean las operaciones de seguridad y toman medidas según sea necesario.

Cada vez más, muchas compañías reconocen la necesidad de una tercera línea de revisión independiente de ciberdefensa de las medidas de seguridad y el desempeño por parte de la función de auditoría interna. La auditoría interna debe desempeñar un papel integral en la evaluación e identificación de oportunidades para fortalecer la seguridad empresarial. Al mismo tiempo, la auditoría interna tiene el deber de informar al comité de auditoría y a la junta directiva que los controles de los cuales son responsables están implementados y funcionan correctamente, una preocupación creciente en las salas de juntas a medida que los directores enfrentan posibles responsabilidades legales y financieras.

Marco de evaluación de ciberseguridad

Varios factores son notables a medida que los profesionales de auditoría interna consideran y realizan una evaluación de seguridad cibernética:

  1. Involucre a las personas con la experiencia y las habilidades necesarias. Es fundamental involucrar a profesionales de auditoría con la profundidad adecuada de habilidades técnicas y conocimiento del entorno de riesgo actual. Un profesional de auditoría orientado a la tecnología y versado en el mundo cibernético puede ser un recurso indispensable.
  2. Evalúe el marco completo de ciberseguridad, en lugar de los elementos elegidos. Esta evaluación implica comprender el estado actual frente a las características del marco, hacia dónde se dirige la organización y las prácticas mínimas de seguridad cibernética esperadas en toda la industria o el sector empresarial.

La evaluación inicial debe informar más revisiones más exhaustivas. No pretende ser un análisis exhaustivo que requiera pruebas exhaustivas. Más bien, la evaluación inicial debería generar revisiones adicionales de inmersión profunda basadas en el riesgo de ciberseguridad.

Leave a Comment!