¿QUÉ SUCEDE CUANDO SE IGNORA LA AUDITORÍA INTERNA? SUCEDE CON DEMASIADA FRECUENCIA
Estándar
Los blogs de Auditor Interno reflejan los puntos de vista y opiniones personales de los autores. Estas opiniones pueden diferir de las políticas y declaraciones oficiales del Instituto de Auditores Internos y sus comités, y de las opiniones respaldadas por los empleadores de los blogueros o los editores de Auditor Interno.
Richard Chambers |26 agosto 2019
El New York Times informó la semana pasada en lo que se llama un “verano de ataques paralizantes” ransomware en las ciudades de Texas. Los piratas informáticos mantienen simultáneamente sistemas informáticos de rehenes en 22 ciudades de todo el estado y exigen millones de dólares. La mayoría de los objetivos son ciudades pequeñas con recursos limitados y es menos probable que actualicen sus sistemas de ciberseguridad o respalden sus datos, según elTimes .
Este es otro recordatorio de la vulnerabilidad de los sistemas de TI. Los presupuestos ajustados de ciberseguridad en el sector público hacen que esos sistemas sean particularmente susceptibles a las infracciones. A la luz de estas últimas incidencias, aquí hay una publicación de blog que publiqué el año pasado sobre un ataque de ransomware en el sistema de TI de Atlanta. Entonces y ahora, ofrece varias lecciones y conocimientos valiosos para auditores internos.
En el verano de 2017, los auditores internos de la ciudad de Atlanta advirtieron a los funcionarios que sus sistemas de TI podrían verse fácilmente comprometidos si no se corrigieran de inmediato. El informe de auditoría no omitió palabras, destacando la falta de recursos (herramientas y personas) disponibles para abordar las “miles de vulnerabilidades” y caracterizando la situación como un “nivel significativo de exposición al riesgo evitable”, según informes de los medios de comunicación.
Aparentemente, la ciudad comenzó a implementar ciertas medidas de seguridad, pero fue un caso clásico de muy poco, demasiado tarde. Un ataque de ransomware, esencialmente una extorsión digital, paralizó la red de computadoras de la ciudad y llevó a muchos departamentos a la “Edad Oscura” de la pluma y el papel. La violación incluso cerró el servicio de Wi-Fi en el Aeropuerto Internacional de Atlanta. Afortunadamente, los servicios críticos como los que brindan asistencia a los servicios de emergencia (y los vuelos en el aeropuerto más activo del país) no se vieron afectados.
Fue un ejemplo de libro de texto de un ataque de ransomware. Y después de años de tales violaciones en todo el mundo, la respuesta de la ciudad a las advertencias de los auditores internos también debería haber sido un libro de texto. Claramente no lo era.
¿Que pasó? ¿Por qué Atlanta, incluso con una amplia advertencia, no implementó los controles recomendados para fortalecer sus sistemas?
Si bien las razones son indudablemente numerosas y complejas, todo apunta a una anulación del modelo de gestión de riesgos de tres líneas de defensa. El modelo requiere que la administración, la primera línea de defensa, posea y administre los riesgos manteniendo y ejecutando controles internos efectivos, incluidas las acciones correctivas que la auditoría interna identifica para abordar las deficiencias del proceso y el control.
La segunda línea abarca las funciones de riesgo y cumplimiento. Estos varían según la industria y afectan la naturaleza de sus responsabilidades exactas. Sin embargo, en general, admiten la primera línea al ayudar a construir o monitorear los controles de la primera línea.
La tercera línea, como sabemos, es la auditoría interna, que proporciona al organismo rector y a la alta gerencia una garantía integral sobre la efectividad de la gobernanza, la gestión de riesgos y los controles internos, incluidas las recomendaciones para abordar las vulnerabilidades. Es un modelo efectivo, pero solo cuando las tres líneas juegan su papel, y la gerencia escucha la tercera línea.
En el caso de Atlanta, la administración falló en su responsabilidad de abordar rápidamente las recomendaciones hechas por la auditoría interna, haciendo que el modelo sea ineficaz. Por supuesto, la auditoría interna a veces puede contribuir a la dificultad del papel de la administración al no comunicar el valor o la importancia de una recomendación, priorizar los informes de acuerdo con los riesgos más críticos o ganar la aceptación de la administración al principio del proceso.
Pero es por eso que en la profesión de auditoría interna debemos hacer lo necesario para que sea fácil, casi inevitable, que la gerencia comprenda la magnitud de tales riesgos, reconozca nuestras recomendaciones y las ponga en marcha.
La capacidad de una organización para actuar sobre lo que sabe se vuelve aún más importante a medida que la frecuencia y el impacto de los ataques cibernéticos continúan aumentando. No mucho después del ataque de ransomware de Atlanta, supimos que una violación de datos de la aplicación MyFitnessPal de Under Armour comprometió potencialmente 150 millones de cuentas. Los correos electrónicos de phishing son ampliamente reconocidos como un vehículo común de entrega de virus, sin embargo, algunas empresas no educan a los empleados sobre qué buscar y cómo responder a un mensaje sospechoso.
Muchas compañías saben que los piratas informáticos encuentran y explotan incesantemente vulnerabilidades de software, por lo que los desarrolladores del software emiten parches tan pronto como se descubre cada nuevo “crack”. Aún así, los parches a menudo no se aplican. También se sabe que las contraseñas son una puerta abierta a las infracciones de datos (de acuerdo con el Informe de investigaciones de violación de datos 2017 de Verizon, el 80 por ciento de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas, débiles o adivinables), sin embargo, algunas organizaciones no establecen una política que requiera contraseñas seguras, cambiadas con frecuencia.
Es fácil suponer que la piratería es algo que le sucede a otra persona: “Somos demasiado pequeños para atraer la atención de los piratas informáticos”. “No tenemos ninguna información que valga la pena robar”. Pero ese es el pensamiento clásico de “cabeza en la arena”. Prácticamente cualquier organización que tenga datos está en riesgo, lo que significa que todas las organizaciones están en riesgo, menos una en una isla pequeña y aislada que ha encontrado una manera de mantenerse fuera de la red.
Hace casi dos años, después de un ataque cibernético aún mayor que golpeó las redes de computadoras en todo el mundo, escribí una publicación en el blog titulada “¿La cultura cibernética de su organización lo hace #Wannaaudit?” Escribí entonces: “Es insondable para mí que tales ataques continúen teniendo éxito”. En estos días, la posibilidad de un ataque cibernético debe estar continuamente en nuestro radar, y las recomendaciones de auditoría interna cuando se encuentran vulnerabilidades deben escucharse y recibir atención inmediata.
A medida que las organizaciones continúan sufriendo las consecuencias de los ataques cibernéticos, lo menos que podemos hacer es sacar algunas lecciones de su experiencia:
- Instituya un modelo de defensa en profundidad en su organización. Asegúrese de que todos conozcan sus responsabilidades y se adhieran a ellas.
- Asegure la experiencia o contrate buenas personas para los equipos de auditoría interna y seguridad de la información y responda con prontitud a sus inquietudes y sus acciones de mitigación recomendadas.
- Aplique medidas de seguridad fundamentales, como parches, endurecimiento de contraseñas, cifrado de datos y autenticación multifactor.
- Enseñe a los empleados cómo reconocer y responder a los intentos de piratería.
Las organizaciones enfrentan suficientes riesgos para los cuales no tienen mecanismos de advertencia o defensa. El cibercrimen no necesita ser uno de ellos.
Como siempre, espero sus comentarios.
Auditor Interno se complace en brindarle la oportunidad de compartir sus opiniones sobre estas publicaciones de blog. Algunos comentarios pueden ser reimpresos en otro lugar, en línea o sin conexión.
Autor
No hay comentarios.:
Publicar un comentario