25 FORMAS PROBADAS PARA CONVERTIRTE EN UN ASESOR CIBERNÉTICO DE CONFIANZA
Estándarlunes, 24 de abril de 2017
¿Cómo puede un auditor interno convertirse en un asesor cibernético de confianza?
El Instituto de Auditores Internos Global establece en la 4ta. Edición de su Guía Percepciones y Perspectiva Globales, que los auditores internos para poder convertirse en asesores cibernéticos deben dar un paso más allá en las siguientes áreas:
Concientización y prevención
- Expandir las capacidades de auditoría de TI actuales para proporcionar perspectivas proactivas y prácticas sobre seguridad cibernética.
- Mantener un conocimiento operativo sólido de los próximos cambios en la normativa, nuevos requisitos de cobertura de seguro, nuevas demandas colectivas y otras tendencias.
- Asegurarse de que los programas de auditoría consideres estas tendencias.
- Proporcionar asesoramiento estratégico a los líderes funcionales sobre sus roles y responsabilidades cibernéticos.
- Garantizar las competencias en seguridad cibernética para el DAI y el personal por medio de programas eficaces de desarrollo profesional o gestión de talentos.
- Aprovechar estratégicamente la tercerización para asegurarse de que el talento y la competencia adecuados están disponibles en la medida necesaria.
Gestión de riesgos
- Permanecer al corriente con la frecuencia y magnitud de los fallos en la seguridad cibernética.
- Comprender el impacto total de las amenazas cibernéticas en la organización e integrarlo en el plan de auditoría.
- Identificar de forma proactiva los riesgos emergentes de seguridad cibernética.
- Comprender la postura de riesgo de la organización para combatir las amenazas cibernéticas.
- Realizar una auditoría continua sobre los controles de la seguridad cibernética de la dirección para evaluar la adecuación y eficacia.
- Colaborar con el CIO o CISO para evaluar a los candidatos externos.
- Contribuir con los perfiles de riesgo de los candidatos externos.
- Asesorar sobre la compatibilidad de terceros con la estrategia o filosofía de seguridad cibernética.
Aseguramiento
- Proporcionar una revisión independiente de la estrategia de seguridad cibernética antes de que se desarrollen las políticas y los procedimientos.
- Ser parte de los equipos de implementación de proyectos tecnológicos para asegurarse de que se están abordando e integrando los riesgos cibernéticos, en lugar de agregarlos más adelante.
- Realizar una evaluación comparativa y probar la adecuación y eficacia de las políticas y los procedimientos en comparación con los marcos correspondientes.
- Evaluar los resultados de la formación y la retención de los conocimientos.
- Proporcionar perspectivas sobre cómo alinear la formación con la estrategia de seguridad cibernética.
- Aprovechar las capacidades de auditoría interna con resistencia existente en la primera y segunda líneas de defensa sin dejar de mantener la objetividad.
- Liderar los esfuerzos colaborativos de seguridad cibernética en las tres líneas de defensa.
- Proporcionar perspectivas sobre la coordinación de planes y la alineación con la estrategia de la empresa.
- Según corresponda, prepararse para que el personal de auditoría interna pueda intervenir y ayudar cuando sea necesario durante una crisis.
- Involucrar a la dirección y al comité de auditoría o el consejo de administración en los debates sobre el futuro, ayudándolos a considerar las vulnerabilidades cibernéticas que enfrenta la organización.
- Facilitar o asesorar sobre un proceso para establecer el grado de aceptación de riesgos de seguridad cibernética de la organización.
No hay comentarios.:
Publicar un comentario