¿CUÁL ES EL PAPEL DE LA AUDITORÍA INTERNA EN LA SEGURIDAD CIBERNÉTICA?

Estándar

Publicado por Katrina Opgenorth el Vie, Jun 09, 2017

Las corporaciones hoy están pensando en cómo proteger los activos. Algunos de los problemas de la delincuencia de cuello blanco incluyen hacking / intrusions (vulnerabilidad cibernética), comercio de información privilegiada / outsider (convergencia de delitos cibernéticos y financieros), la Ley de Prácticas Corruptas en el Extranjero (FCPA) , pesca de lanza (compromiso de correo electrónico) y espionaje económico. Deben considerar la posibilidad de corrupción interna o corrupción externa, y factores ambientales como la cultura y la competencia que contribuyen a estos crímenes. Como protección, las organizaciones pueden utilizar la seguridad cibernética, las pruebas de lápiz y las tácticas de prevención de pérdida de datos.

¿QUÉ ES LA SEGURIDAD CIBERNÉTICA?

La seguridad cibernética es el cuerpo de tecnologías, procesos y prácticas diseñados para proteger redes, computadoras, programas y datos contra ataques, daños o acceso no autorizado. El término “seguridad cibernética” se refiere a la función comercial y las herramientas tecnológicas utilizadas para proteger los activos de información. Los datos se digitalizan cada vez más y se está utilizando Internet para guardar, acceder y recuperar información vital. Proteger esta información ya no es una prioridad, pero se ha convertido en una necesidad para la mayoría de las empresas y agencias gubernamentales de todo el mundo.

Estas son algunas otras definiciones clave:

Las infracciones de datos se producen con mayor frecuencia. Cada vez hay más presión para que las empresas intensifiquen sus esfuerzos para proteger la información personal y prevenir las violaciones.

Los ciberdelincuentes atacan para obtener ventaja política, militar o económica. Usualmente roban dinero o información que puede ser monetizada (por ejemplo, números de Seguro Social, historial de crédito, tarjetas de crédito, registros de salud, etc.).

Los ataques cibernéticos pueden provenir de personas foráneas maliciosas, pérdidas accidentales, iniciados maliciosos, hacktivistas y actores patrocinados por el estado. 

 

DEFINICIÓN DEL PAPEL DE LA AUDITORÍA INTERNA EN LA SEGURIDAD CIBERNÉTICA

Cuando se trata de seleccionar un marco de control de seguridad cibernética, la orientación y los marcos no necesitan ser reinventados. Las organizaciones deben elegir la que funciona para ellos (por ejemplo, ITIL o COBIT), agregar a ella y asumir la responsabilidad por ella. Éstos son algunos de los marcos para elegir:

• Marco NIST para mejorar la ciberseguridad de las infraestructuras críticas
• ISACA COBIT 5 y el Ciber Nexus Emergente
• Instituto SANS y los 20 principales controles críticos de seguridad
• Catálogo de control PCI DSS
• ISO / IEC 27001
• Otros marcos específicos de la industria: FFIEC, HITRUST, etc.

Riesgo Cibernético: Roles y Responsabilidades

La gestión eficaz del riesgo es el producto de múltiples capas de defensa del riesgo. La auditoría interna debe apoyar a la junta en la comprensión de la eficacia de los controles de seguridad cibernética.

Estas tres líneas de defensa de los riesgos de la seguridad cibernética pueden utilizarse como el principal medio para demostrar y estructurar las funciones, responsabilidades y rendición de cuentas para la toma de decisiones, los riesgos y los controles para lograr una gestión y un control eficaces del riesgo de gobernanza.

Las operaciones comerciales llevan a cabo actividades cotidianas de gestión de riesgos, como la identificación de riesgos y la evaluación del riesgo de TI . Proporcionan respuestas de riesgo definiendo e implementando controles para mitigar los riesgos clave de TI, e informando sobre el progreso. Un entorno de riesgo y control establecido ayuda a lograr esto.

La gestión de riesgos es el proceso de elaboración e implementación de políticas y procedimientos , velar por que los procedimientos existentes se mantengan actualizados, responder a nuevas prioridades y riesgos estratégicos, supervisar el cumplimiento de las políticas actualizadas y supervisar la eficacia de los controles de cumplimiento Incorporado en el negocio.

A medida que la 3 ª línea de defensa, ¿qué medidas puede tomar la auditoría interna?

1. Trabajar con la dirección y la junta directiva para desarrollar una estrategia y política de seguridad cibernética.
2. Identificar y actuar sobre las oportunidades para mejorar la capacidad de la organización para identificar, evaluar y mitigar el riesgo de seguridad cibernética a un nivel aceptable.
3. Reconocer que el riesgo de seguridad cibernética no es sólo externo; Evaluar y mitigar las amenazas potenciales que podrían resultar de las acciones de un empleado o socio comercial.
4. Aprovechar las relaciones con el comité de auditoría y el consejo para aumentar la conciencia y el conocimiento sobre las amenazas cibernéticas y asegurarse de que la junta se mantiene altamente comprometida con los asuntos de ciberseguridad y hasta la fecha sobre la naturaleza cambiante del riesgo de seguridad cibernética.
5. Asegurar que el riesgo de seguridad cibernética se integre formalmente en el plan de auditoría.
6. Desarrollar y mantener una comprensión actual de cómo las tecnologías emergentes y las tendencias están afectando a la empresa y su perfil de riesgo de seguridad cibernética.
7. Evaluar el programa de seguridad cibernética de la organización contra el Marco de Seguridad Cibernética del NIST , reconociendo que debido a que el marco no llega al nivel de control, el programa de ciberseguridad puede requerir evaluaciones adicionales de ISO 27001 y 27002.
8. Busque oportunidades para comunicar a la gerencia que, en lo que respecta a la seguridad cibernética, la capacidad preventiva más fuerte requiere una combinación de seguridad humana y tecnológica, una combinación complementaria de herramientas de educación, sensibilización, vigilancia y tecnología.
9. Hacer hincapié en que la vigilancia de la seguridad cibernética y la respuesta a los incidentes cibernéticos deberían ser una prioridad de la alta dirección; Un claro protocolo de escalada puede ayudar a defender y sostener esta prioridad.
10. Abordar cualquier escasez de personal de TI y auditoría y escasez de recursos, así como la falta de tecnología / herramientas de apoyo, cualquiera de las cuales puede impedir los esfuerzos para gestionar el riesgo de seguridad cibernética

Áreas de enfoque de auditoría interna

Hay cinco componentes clave cruciales para la preparación cibernética. Así es como la auditoría interna puede contribuir a cada uno:

Protección: La auditoría interna proporciona un enfoque holístico para identificar dónde una organización puede ser vulnerable. Tanto si está probando las políticas de traer su propio dispositivo (BYOD) como si revisa los contratos de terceros para cumplir con los protocolos de seguridad, la auditoría interna ofrece información valiosa sobre los esfuerzos de protección. Tener una gobernanza de TI efectiva también es crucial, y la auditoría interna puede proporcionar servicios de aseguramiento para esa área también.

Detección: Los buenos análisis de datos a menudo proporcionan a las organizaciones la primera pista de que algo anda mal. Cada vez más, la auditoría interna está incorporando análisis de datos y otras tecnologías en su trabajo. La encuesta de practicantes de CBOK de 2015 encontró que cinco de cada 10 encuestados usan minería de datos y análisis de datos para monitoreo de riesgo y control, así como identificación de fraude.

Continuidad del Negocio : Una planificación adecuada es importante para tratar y superar cualquier cantidad de escenarios de riesgo que podrían afectar las operaciones en curso de una organización, incluyendo un ataque cibernético, un desastre natural o una sucesión.

Gestión de Crisis / Comunicaciones: La preparación en la gestión de crisis y las comunicaciones de crisis pueden impactar de manera significativa y positiva a los clientes, accionistas y reputación de la marca de una organización. La auditoría interna puede ayudar con el desarrollo del plan, proporcionar verificaciones de aseguramiento de su eficacia y puntualidad, y en última instancia ofrecer análisis y críticas después de que los planes se ejecutan.

Mejora Continua: La auditoría interna puede aportar el mayor valor al aportar información obtenida de su amplio alcance de trabajo. La preparación cibernética asume la supervivencia de un ataque cibernético, pero no sirve de nada si la organización no evoluciona y mejora sus estrategias y protocolos para estar mejor preparados para el próximo ataque.

Esta información se detalla en la Guía de la  Auditoría Interna en la Seguridad Cibernética , que incluye el papel de la auditoría interna con el consejo y ejemplos de seguridad cibernética que hay que buscar.

Otros recursos relacionados en KnowledgeLeader:

• Gestionar la matriz de control de riesgos de seguridad y privacidad (RCM)
• Gestionar las amenazas cibernéticas con confianza
• Política de seguridad de la información del usuario
• 10 consejos para que las empresas aumenten la conciencia cibernética entre los empleados
• Política de Infraestructura: Respuesta a Incidentes
• Memo de notificación de infracción de datos 

Temas: gestión empresarial de riesgos , auditoría interna , control interno , evaluación de riesgos , la seguridad cibernética , los controles de TI