Edición 4 PERCEPCIONES Y PERSPECTIVAS...

Edición 4

PERCEPCIONES Y PERSPECTIVAS GLOBALES:

auditoría interna como asesor cibernético de confianza

globaliia.org

Perspectivas globales: auditoría interna como asesor cibernético de confianza

2

Índice

Auditoría interna como asesor cibernético de confianza ....................... 4

Un esfuerzo de equipo ..................................................................... 5

Apoyo de la dirección ....................................................................... 6

Cuestiones relacionadas ................................................................... 7

Conclusión ...................................................................................... 9

Anexo 1: Los DEA eficaces se diferencian al formar relaciones de asesoramiento con las partes interesadas ....................... 10

Anexo 2: Ser un asesor cibernético de confianza .............................. 13

ContribuyentesCiudad del Cabo – Sudáfrica Lindiwe Ndaba, CIA, Directora ejecutiva de auditoría Etienne Postings, CIA, CCSA, CISA, Gerente de auditoría de rango superior: sistemas de información Andre Stelzner, Director, sistemas de información y tecnología

FirstRand Ltd – Sudáfrica Jenitha John, CIA, QIAL, CA(SA), Directora ejecutiva de auditoría

Insurance Australia Group Limited – Australia Jeff Jacobs, Director de seguridad de la información Lee Sullivan, Director ejecutivo de auditoría

RSM US LLP – Estados Unidos Daimon Geopfert, Líder nacional de servicios de seguridad y privacidad

Saudi Basic Industries Corporation (SABIC) – Arabia Saudita Gregory Grocholski, CISA, Vicepresidente, Director ejecutivo de auditoría

The Institute of Internal Auditors – Estados Unidos Greg Jaynes, CIA, CRMA, CFE, CGFM, Director ejecutivo de auditoría Charles Redding, Vicepresidente ejecutivo y Director de tecnología de la información

Universidad de Los Andes – Colombia Jeimy Cano, CFE, certificado de Cobit5 Foundation, Profesor distinguido, Facultad de derecho

University of Virginia – Estados Unidos Jason Belford, Director de seguridad de la información Gerald Cannon, CISA, CRISC, Director de auditorías de TI Virginia Evans, Directora de tecnología de la información Ron Hutchins, Vicepresidente de TI Carolyn Saint, CIA, CRMA, CPA, Directora ejecutiva de auditoría

globaliia.org


3

Consejo AsesorNur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – IIA–Malasia

Lesedi Lesetedi, CIA, QIAL – IIA de la Federación Africana

Hans Nieuwlands, CIA, CCSA, CGAP – IIA–Países Bajos

Karem Obeid, CIA, CCSA, CRMA – Member of IIA–Emiratos Árabes Unidos

Carolyn Saint, CIA, CRMA, CPA –

IIA–América del Norte

Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA–Colombia

Opiniones de los lectoresEnvíe sus preguntas o comentarios a [email protected].

Copyright © 2016 del The Institute of Internal Auditors, Inc., (“The IIA”) estrictamente reservado. Toda reproducción del nombre o logotipo del IIA llevará el símbolo de registro de marca federal de los EE. UU. ®. No se puede reproducir ninguna parte de este material de ninguna forma sin el permiso por escrito del IIA.

Auditoría interna como asesor cibernético de confianzaAunque no sería práctico que alguien sepa todo sobre un tema tan complejo y que cambia con tanta rapidez como la seguridad cibernética, que un director ejecutivo de auditoría (DEA) o jefe de auditoría interna sea experto en seguridad cibernética es esencial en la actualidad. De hecho, dada la naturaleza dinámica de los riesgos y las exposiciones que representa lo cibernético, un DEA bien informado podría posicionar a auditoría interna para que sea el asesor de confianza de la organización en esta área difícil e importante.

Las estadísticas son impactantes:

En 2015, el costo promedio total de una vulneración de datos era de USD 3,79 millones, lo que representó un aumento en relación los USD 3,52 millones de 2014 y un incremento del 23 por ciento en relación con 2013. El costo refleja el volumen anormal de clientes, el aumento de actividades de captación de clientes, las pérdidas de reputación y la disminución del fondo de comercio.1

Los atacantes habían accedido a los entornos de las organizaciones durante un promedio de 205 días antes de que los descubrieran, e incluso 69 por ciento de las organizaciones víctimas descubrieron que se vieron comprometidas no por un miembro de su propio personal, sino por un tercero.2

En la primera mitad de 2015, se vulneraron casi 246 millones de registros de 888 incidentes divulgados. En al menos la mitad de esos incidentes divulgados, la cantidad de registros vulnerados no se pudo determinar.3

Las vulneraciones se producen en todo el mundo. En la primera mitad de 2015, la mayoría se produjo en América del Norte (707 incidentes), seguido del Reino Unido (94) y Asia (63). Cinco de las 10 vulneraciones principales, por cantidad de registros de datos comprometidos, se produjeron en organizaciones no estadounidenses.4

A la vista de estadísticas como estas, no es sorprendente que Amit Yoran, presidente de RSA, haya dicho “El sector económico de la seguridad [cibernética] está fracasando. Ha fracasado”.5

1 IBM y Ponemon Institute, 2015 Cost of Data Breach Study: Global Analysis (Estudio de costo de vulneración de datos: análisis global), basado en un estudio de 350 empresas de 11 países.

2 Mandiant, “M-Trends 2015: A View from the Front Lines” (M-Trends 2015: una vista desde el frente de batalla), basado en una destilación de las investigaciones de respuestas a incidentes de Mandiant en más de 30 sectores económicos.

3 Gemalto, Índice de nivel de vulneraciones (Breach Level Index, BLI), una base de datos que registra todas las vulneraciones reportadas públicamente a nivel global.

4 Ibídem.

5 Hackett, R.; “‘Security Has Failed’: Exclusive Preview of RSA President’s Conference Preview” (La seguridad ha fracasado: adelanto exclusivo del avance de la conferencia del presidente de RSA) Fortune, 21 de abril de 2015.

globaliia.org


4

Sin embargo, nadie duda la importancia de la seguridad cibernética: las medidas implementadas para prevenir la pérdida, la destrucción, el acceso no autorizado o el uso indebido de la información en sistemas conectados a Internet. Muchas personas inteligentes y sensatas se han enfocado en este tema durante años. Sus expectativas son realistas: no hay una creencia generalizada de que los ataques cibernéticos se puedan eliminar por completo. Como Jeimy Cano, profesor distinguido de la Facultad de Derecho de la Universidad de los Andes, observa, el entorno digital actual está impregnado con la “inevitabilidad del fracaso”. La seguridad cibernética es un juego de minimización de daños. El objetivo es bloquear la mayor cantidad de ataques posibles y, en la instancia inevitable de que alguien traspase, encontrar a los atacantes antes de que lleguen a las “joyas de la corona”.

Un esfuerzo de equipoEsta no es una tarea únicamente para los expertos en seguridad cibernética. La seguridad cibernética debe considerarse de forma holística y sistémica, dado que los efectos del fracaso pueden ir desde la incapacidad de realizar transacciones básicas y la pérdida de propiedad intelectual hasta el daño a la reputación. No es solamente un riesgo tecnológico; es un riesgo para los negocios y, como tal, los auditores internos tienen que asumir un rol crucial. El éxito al hacerlo depende en gran medida del énfasis que pone el consejo de administración o el comité de auditoría en el tema, así como el enfoque que asume el DEA. La seguridad cibernética ofrece una oportunidad significativa para que los DEA demuestren su posición como asesores de confianza, yendo más allá de simplemente asegurarse de que las auditorías de seguridad cibernética se realicen según el plan, y ofreciendo en su lugar un liderazgo de pensamiento estratégico y preventivo para la empresa. Esto implica determinar el riesgo e impacto de la seguridad cibernética en la estrategia y reputación de la empresa; lo que permite debates oportunos y significativos entre la dirección y los directores superiores; y aboga por la necesidad de un debido cuidado y administración de recursos de los mismos.

Al DEA también le es útil establecer relaciones productivas y de mucha colaboración con el director de tecnología de la información (CIO) y con el director de seguridad de la información (CISO). Estas relaciones pueden abordar la comprensión (que no siempre es perfecta) de lo que los equipos de seguridad y de TI desean y necesitan, y de lo que auditoría interna puede proporcionar. Según Jenitha John, DEA de FirstRand Ltd, los CISO quieren una visión honesta y proactiva de auditoría interna sobre las tendencias actuales y los temas emergentes y de actualidad que son frecuentes en el entorno: la visión proactiva y hacia el futuro de un asesor de confianza. Cree que auditoría interna debe “articular los temas en relación con la exposición y el impacto actuales que enfrenta la organización”.

Los CIO tienen necesidades que son similares a las de los CISO, pero distintas, según Charles Redding, vicepresidente ejecutivo y CIO del IIA. Remarca que los CIO tienden a ver la seguridad cibernética desde el lado técnico. Auditoría interna amplía la perspectiva al proporcionarle a la alta dirección la información que “nos ayude a evaluar el riesgo y definir cuál debería ser el nivel de tolerancia al riesgo”. La función de auditoría interna a la que se refiere Redding está encabezada por Greg Jaynes, DEA del IIA, quien confirma la cooperación entre auditoría interna y el CIO: “Cuando Charles y yo estamos en la oficina, no pasa ni un día en el que no hablemos sobre riesgo y seguridad cibernética. No veo como los DEA pueden ser eficaces si no están completamente comprometidos con su CIO”.

globaliia.org


5

Gregory Grocholski, vicepresidente y DEA de Saudi Basic Industries Corporation (SABIC), está de acuerdo con la importancia del esfuerzo de equipo, pero señala que el rol del DEA en relación con la seguridad cibernética va un poco más allá del fomento de cooperaciones dentro de la organización. El DEA debe comprender que los datos existen en modo estructurado (aplicaciones desarrolladas) y modo no estructurado (Excel, Word, etc.), y ambos podrían ser de interés para las partes indeseadas.

El DEA debe estar familiarizado con todas las rutas cibernéticas que entran a la organización y salen de esta, y asegurarse de que esas rutas reciben la consideración adecuada en todos los niveles de la organización en relación con sus necesidades, controles adecuados, impactos de riesgos y tolerancia de riesgos. El DEA debería estar concentrado en todo momento en prever y no solo prepararse reaccionar.

Apoyo de la direcciónEn prácticamente todas las organizaciones, para cada gran proyecto es crucial el respaldo de la dirección. No obstante, los consejos de administración han sido reacios a demostrar su apoyo total a los esfuerzos de seguridad cibernética. Según un estudio reciente, 26 por ciento de las personas encuestadas indicaron que su CISO o director de seguridad (CSO) realiza una presentación de seguridad ante consejo de administración solo una vez al año; aproximadamente un porcentaje igual (28 por ciento) reportó que no se hace ninguna presentación. Casi un tercio dijo que no había ningún comité ni miembro del consejo de administración trabajando en el riesgo cibernético; solo 15 por ciento indicó un compromiso por parte del comité de auditoría con el riesgo cibernético.6

Pero la tradicional reticencia a trabajar en la seguridad cibernética parece estar desapareciendo. Los consejos de administración están comenzando a solicitar más información sobre seguridad cibernética y riesgos relacionados dentro de sus organizaciones. Esto no solo se debe a que han reconocido la posible magnitud del daño que puede causar un ataque; las presiones normativas también están en la mente del consejo de administración. En junio de 2014, el comisionado, Luis Aguilar de la Comisión del Mercado de Valores de EE. UU. anunció “La vigilancia por parte del consejo de administración de la gestión del riesgo cibernético es crucial para asegurarse de que las empresas están tomando las medidas adecuadas para prevenir los daños que pueden producirse por esos ataques y prepararse para ellos. …los consejos de administración que deciden ignorar o minimizar la importancia de la responsabilidad de vigilancia de la seguridad cibernética lo hacen para su propio perjuicio”.7

6 PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey” (Seguridad cibernética en EE. UU.: progreso estancado, hallazgos clave de la encuesta del estado de los delitos cibernéticos de 2015 de EE. UU.), julio de 2015.

7 Security Intelligence, “Why is Your Board of Directors Finally Asking about Cyber Risks?” (¿Por qué su consejo de administración finalmente pregunta sobre los riesgos cibernéticos?), 13 de octubre de 2015.

globaliia.org


6

Los consejos de administración, los comités de auditoría y los altos ejecutivos necesitan información para cumplir con sus responsabilidades de forma eficaz. Auditoría interna, con su acceso privilegiado a estos grupos, puede ayudar a mantener a la seguridad cibernética en su agenda. John cree que el rol de los DEA es claro. “Los DEA deben posicionar los hallazgos de auditoría de forma adecuada en los niveles de gobierno correctos para que reciban la atención requerida y luego supervisar y proporcionar actualizaciones sobre los esfuerzos de corrección”. Lee Sullivan, DEA de Insurance Australia Group Limited (IAG), dice que sus informes le proporcionan al consejo de administración “una visión independiente del estado real de la preparación de IAG para las amenazas cibernéticas”.

Los DEA podrían descubrir que son más eficaces en sus responsabilidades de generación de informes relacionados con la seguridad cibernética al enfocarse en las tendencias del sector económico, como los próximos cambios en la normativa, nuevos requisitos de cobertura de seguro y nuevas demandas colectivas, y cómo estas tendencias se están usando como una consideración al momento de delimitar el alcance de las auditorías internas. También es probable que deseen proporcionar aseguramiento de que están las personas y los equipos adecuados (equipos de respuesta ante incidentes y terceros que realizan evaluaciones de riesgo, por ejemplo) para abordar las especialidades de la seguridad cibernética.

Los DEA además deben asesorar sobre proyectos actuales de seguridad cibernética y si estos proyectos son eficaces en la tarea de mitigar los riesgos que se enfrentan, si hacen uso eficaz de los recursos para dirigir los esfuerzos a los riesgos más importantes y si son suficientemente sólidos y rigurosos para prevenir y detectar amenazas. Carolyn Saint, DEA en la University of Virginia, observa que la participación de auditoría interna en los proyectos de seguridad cibernética puede beneficiar los esfuerzos de la dirección al amplificar el mensaje acerca de la gestión de las necesidades a los niveles más altos de la organización.

Cuestiones relacionadasLos desafíos inherentes en la seguridad cibernética han hecho surgir un enfoque en la resistencia cibernética: actividades realizadas antes, durante y después de los incidentes para hacer que los sistemas de información y comunicaciones (y aquellos que dependen de ellos) sean resistentes frente a los ataques constantes en los recursos relacionados con lo cibernético. Estas actividades incluyen mejorar los conocimientos y la concientización sobre la seguridad cibernética en todos los empleados, de modo tal que el personal de la organización comprenda mejor la naturaleza y el impacto de los riesgos relacionados y forme un frente de batalla más firme contra los ataques cibernéticos. El DEA puede liderar el camino a través de esfuerzos para aumentar el conocimiento y la concientización sobre la seguridad cibernética en el personal de auditoría interna. Según la encuesta “North American Pulse of Internal Audit” (El pulso de auditoría interna en América del Norte) de 2016 del IIA, la falta de conocimientos sobre seguridad cibernética en el personal de auditoría interna es el principal obstáculo que afecta la capacidad de este departamento de abordar el riesgo para la seguridad cibernética.8

8 El IIA, “2016 North American Pulse of Internal Audit” (El ritmo de auditoría interna en América del Norte de 2016), febrero de 2016.

globaliia.org


7

Jason Belford, CISO de la University of Virginia, considera que la resistencia cibernética es un precepto básico de la seguridad cibernética, que se aborda por separado, pero no como un esfuerzo autónomo principal. Ron Hutchins, vicepresidente de TI en la universidad, concuerda. “Apuntamos a tener una alta disponibilidad y alta fiabilidad, pero también comprendemos que no todos los servicios requieren el mismo nivel de protección”.

Además, Andre Stelzner, director de sistemas de información y tecnología para Ciudad del Cabo (República de Sudáfrica), resume el concepto detrás perfectamente: “Una organización con resistencia cibernética es aquella que sabe cuán vulnerable es”. Claramente, la mejor forma para estar seguros y ser resistentes es comenzar por conocer sus vulnerabilidades y las acciones que se están realizando para mitigarlas y establecer planes para reaccionar ante ataques cibernéticos y recuperarse de los mismos.

La privacidad y la confidencialidad también son elementos clave de la seguridad cibernética en términos de cuáles datos se están manejando, cuáles se están almacenando, dónde se están almacenando y quién accede a ellos a través de cuál medio. En Insurance Australia Group Limited, mantener la confianza de los clientes es tan crucial, el director de clientes también trabaja con el director de privacidad y el CISO para proteger los datos de los clientes. En muchas organizaciones, la función de privacidad también asiste en la tarea de definir las normas relevantes de la organización y desarrollar políticas y procedimientos; con frecuencia también es responsable por educar a los empleados sobre temas de seguridad cibernética.

Auditoría interna debería ver a aquellos responsables de la privacidad como partes interesadas clave, y el cumplimiento de la legislación relacionada con la privacidad debería ser un elemento clave en todas las auditorías relevantes. Si se realiza una investigación y observación de la función de privacidad, se pueden obtener pistas adicionales sobre la resistencia de la seguridad cibernética dentro de la organización. Los propietarios de la información, los dueños de la tecnología y el equipo legal o de privacidad deberían hablar entre ellos y trabajar juntos dentro del marco más amplio que está implementando la organización. Si no lo hacen, podría ser un hallazgo que vale la pena investigar.

globaliia.org


8

ConclusiónLas opiniones de los DEA y los ejecutivos de seguridad o tecnología de la información son claras: la seguridad cibernética es un tema que no va a desaparecer. Es, según Cano, “una nueva revolución industrial y una nueva era de transformación dominada por lo digital, lo disruptivo y resistente”. Las organizaciones que esperan evitar convertirse en otra estadística más de vulneración de datos deben asegurarse de adquirir los conocimientos adecuados, financiar sus esfuerzos de defensa, mantenerse al tanto de las normativas pertinentes, seguir las tendencias de ataques cibernéticos globales y trabajar con todas las partes interesadas en un esfuerzo implacable para combatir la puesta en peligro o pérdida de datos. Ningún esfuerzo menor será suficiente.

Al cumplir con el rol de asesor de confianza, el DEA tiene un papel significativo en la tarea de facilitar este resultado. El DEA cumple este rol al alcanzar y demostrar pericia en seguridad cibernética, desarrollar la confianza y usar la diplomacia y la concientización política para realizar las preguntas correctas a las audiencias correctas en el momento correcto. ¿La empresa demuestra una filosofía consistente en relación con la seguridad cibernética? ¿Las políticas y los procedimientos respaldan la filosofía? ¿Qué están haciendo las demás organizaciones? ¿Dónde estamos en comparación con ellas? Las preguntas deben ir acompañadas por una escucha activa y atenta, seguida por la aplicación de conocimientos del sector económico, agudeza en los negocios y perspectivas tecnológicas en busca de respuestas.

El éxito en la seguridad cibernética requiere el reconocimiento de que hay gente dentro de la organización y fuera de esta que se dedicará a adquirir información de la empresa. No cederán. Tampoco deberían hacerlo las organizaciones que atacan. Las palabras de Grocholski forman un mantra muy adecuado para la realidad actual: “Vivimos en un mundo digital. Proteja sus activos como protegería a su hogar y su familia”.

Para más informaciónOrganización Internacional de Normalización, “ISO/IEC 27001 – Information security management” (ISO/IEC 27001: gestión de seguridad de la información), 2013 (www.iso.org)

Instituto Nacional de Normas y Tecnología, “Framework for Improving Critical Infrastructure Cybersecurity” (Marco para mejorar la seguridad cibernética de la infraestructura crítica), febrero de 2014 (www.nist.gov)

Privacy by Design, (www.ipc.on.ca/english/Privacy/Introduction-to-PbD)

El IIA, “Cybersecurity: Keeping IP Under Lock and Key” (Seguridad cibernética: mantener la IP bajo llave) Tone at the Top, febrero de 2014 (www.globaliia.org/Tone-at-the-Top)

El IIA, “The Cybersecurity Imperative” (Lo esencial de la seguridad cibernética), Internal Auditor, agosto de 2015 (https://iaonline.theiia.org)

El IIA, “Logging In: Auditing Cybersecurity in an Unsecure World” (Iniciar sesión: cómo auditar la seguridad cibernética en un mundo inseguro), 2016 (www.theiia.org/AuditingCybersecurity)

globaliia.org


9

Anexo 1

Los DEA eficaces se diferencian al formar relaciones de asesoramiento con las partes interesadas

Insurance Australia Group

En Insurance Australia Group Limited (IAG), el CISO Jeff Jacobs es responsable global de la gestión de la seguridad cibernética en la organización. Para reducir la exposición de IAG a riesgos para la seguridad cibernética, trabaja de cerca con el DEA Lee Sullivan, función de riesgo de segunda línea, y con el equipo que se enfoca en la privacidad.

Sullivan y Jacobs recientemente colaboraron en la creación de una estrategia de seguridad cibernética. Jacobs lideró la creación del contenido para la estrategia, que implicó una evaluación de la capacidad de estado actual, la articulación de los riesgos emergentes, una descripción de las exigencias estratégicas y un plan de acción detallado para tratar con estos riesgos. Sullivan asignó a un equipo para que revise de forma independiente los resultados de la estrategia poco tiempo después de su desarrollo. Acordaron usar el mismo marco de seguridad cibernética para garantizar la consistencia del lenguaje y los mensajes para los ejecutivos y el consejo de administración y colaboraron a lo largo del proceso de revisión.

Entre los desafíos abordados en la estrategia están:

■ La importancia de marcar correctamente las bases: el mejor ejemplo es un conjunto de principios que guiarán a la organización sobre lo que es aceptable y lo que no lo es desde una perspectiva de seguridad cibernética.

■ La necesidad de mejorar la detección y la respuesta en lugar de solo enfocarse en la protección: ya dejamos atrás los días en los que asumíamos que la organización se podía proteger al invertir el dinero en herramientas de protección. La verdad, según Jacobs, es que “nunca podemos estar completamente protegidos, por lo que debemos mejorar en la detección y luego en la respuesta si hemos sufrido una vulneración”.

■ Garantizar la seguridad cibernética por diseño: con demasiada frecuencia la seguridad cibernética es algo en lo que pensamos tarde. Los diseñadores y desarrolladores deben incorporar la seguridad a sus soluciones desde el principio.

■ Concientización sobre seguridad cibernética: incluso aunque estén implementados la mejor tecnología, los mejores procesos y los mejores expertos, el eslabón más débil es siempre la gente. El desafío es lograr que piensen en la seguridad, de modo tal que conozcan más los peligros y puedan tratar las amenazas de la forma adecuada.

Hay un consenso dentro de IAG de que la amenaza externa está aumentando y se torna más sofisticada cada día y de que se necesita un marco adecuado para las amenazas cibernéticas, pero se reconoce que no siempre es claro cuánto se debería invertir en mejorar la capacidad cibernética cuando se la compara con construir otras partes de la estrategia. Está el riesgo de que algunos en la organización puedan estar preocupados de que un enfoque en la seguridad cibernética vaya a desacelerar la transformación digital planificada. Jacobs no está de acuerdo: “No se trata de uno o del otro, se trata de cómo debemos hacer ambos”.

globaliia.org


10

La Universidad de Virginia

El equipo de la Universidad de Virginia de Carolyn Saint, DEA, Virginia Evans, CIO, Jason Belford, CISO, Ron Hutchins, vicepresidente de TI, y Gerald Cannon, director de auditorías de TI, se centra en lo que Hutchins describe como el enfoque de “banco de tres patas” hacia la seguridad cibernética: establecer la política, implementar la política y auditar el cumplimiento de la política. La clave es que todas las funciones involucradas en cada etapa sean independientes, pero trabajen juntas. Como observa Evans “La una forma en la que la seguridad cibernética funcione bien es si trabajamos como equipo”.

Saint asume un enfoque guiado por el marco en la auditoría interna para que proporcione una cobertura amplia y estandarizada de los esfuerzos de seguridad cibernética y que garantice que auditoría interna evalúa la eficacia de los controles, no solo su existencia. Evans confirma “El equipo anterior de auditoría se ocupaba completamente del cumplimiento. Ahora nos enfocamos más en encontrar de forma proactiva los riesgos”.

Belford, Hutchins y Evans también concuerdan en que el rol colaborativo y consultivo que adopta auditoría interna ahora es extremadamente beneficioso. Lo ven más como un enfoque de colaboración, un sentido de estar “en el mismo equipo” y no con la reputación tradicional de auditoría interna de, en palabras de Belford, “buscar formas para que el otro quede mal”.

Saint admite que concientizar al CIO y CISO sobre el rol y valor de auditoría interna en la seguridad cibernética es un proceso educativo, pero considera que es una de las responsabilidades del DEA. Añade que “Parte del rol del DEA es asegurarse de que el riesgo está en la agenda en todos los niveles de la organización”.

Los esfuerzos actuales de la universidad con los requisitos de la Ley Federal sobre Gestión de Seguridad de la Información de EE. UU. (FISMA, en inglés) han reunido el equipo, además de otros representantes interfuncionales, por encima de los esfuerzos usuales de seguridad cibernética. Se está progresando, pero el desafío de usar un enfoque programático para construir un entorno escalable para cumplir con los requisitos de FISMA es abrumador.

Aun así, el esfuerzo combinado debe hacerse. Como señala Saint, “El riesgo cibernético es el principal riesgo en cada plan de auditoría interna y probablemente lo sea en los años venideros”.

globaliia.org


11

Ciudad del Cabo

El equipo en Ciudad del Cabo (República de Sudáfrica) entiende que la tecnología siempre avanzará más rápido que los controles de mitigación, así que hay una necesidad de continuar invirtiendo en el desarrollo de medidas preventivas, correctivas y de detección. Incluso así, no hay garantía de escapar al ataque, así que el éxito dependerá de la rapidez con la cual el equipo pueda detectar una vulneración de la seguridad y la eficacia, eficiencia y economía con las que pueda mitigar la amenaza.

El equipo está formado por Lindiwe Ndaba, DEA, Etienne Postings, gerente de auditoría de rango superior: sistemas de información, y Andre Stelzner, director de tecnología y sistemas de información. Su enfoque para la seguridad cibernética se basa en el riesgo. La primera consideración es determinar el tipo de riesgos de TI identificados dentro de la organización por diversos proveedores de aseguramiento o fuentes. Esto se complementa con un debate detallado entre auditoría de TI y el CIO sobre las tendencias de los riesgos cibernéticos dentro de la organización, los riesgos relacionados externos a la organización y las tendencias globales que podrían tener un impacto en la organización.

Stelzner observa que lograr una seguridad cibernética requiere que cada miembro del equipo aporte sus fortalezas. Por esta razón, cree que auditoría interna necesita ser un proveedor independiente de aseguramiento sobre la postura de seguridad de la organización y revisar las políticas, los sistemas y los servicios implementados por la organización de TI para mitigar la amenaza. No obstante, admite que en este punto “Lo logramos en cierta medida, pero solo hasta el nivel de evaluar la adherencia a las políticas propias de TI, en lugar de realizar una prueba de fuerza bruta de las medidas de seguridad implementadas”.

El compromiso del esfuerzo de equipo se refleja en la colaboración cercana entre auditoría interna y el equipo de seguridad. Auditoría interna asiste a las reuniones del foro de seguridad, donde se debaten los problemas comunes y las soluciones formuladas. Todos están dedicados al mismo objetivo: hacer que las tareas, los sistemas y los procesos sean los más seguros que sea posible.

Haciendo eco del comentario de Saint sobre la importancia de la seguridad cibernética en los planes continuos de auditoría interna, Ndaba y Postings confirman que, en Ciudad del Cabo, “La seguridad cibernética y la auditoría de TI siempre serán una parte integral de la agenda estratégica de auditoría interna”.

globaliia.org


12

Anexo 2

Ser un asesor cibernético de confianzaComo asesor cibernético de confianza, el DEA está posicionado para impulsar el cambio en la organización. Un esfuerzo centrado en la concientización y comprensión, la gestión de riesgos y las actividades de aseguramiento puede ayudar a los DEA a avanzar para convertirse en asesores cibernéticos de confianza.

SER UN ASESOR CIBERNÉTICO DE CONFIANZA ES MÁS QUE... TAMBIÉN SIGNIFICA...

CO

NC

IEN

TIZA

CIÓ

N Y

CO

MP

RE

NS

IÓN

Comprender los conceptos, el funcionamiento y los elementos de la seguridad cibernética.

q Expandir las capacidades de auditoría de TI actuales para proporcionar perspectivas proactivas y prácticas sobre seguridad cibernética.

q Mantener un conocimiento operativo sólido de los próximos cambios en la normativa, nuevos requisitos de cobertura de seguro, nuevas demandas colectivas y otras tendencias.

q Asegurarse de que los programas de auditoría consideres estas tendencias.

Colaborar con las funciones correspondientes dentro de la organización para abordar la concientización cibernética.

q Proporcionar asesoramiento estratégico a los líderes funcionales sobre sus roles y responsabilidades cibernéticos.

Depender solo del personal de TI para que proporcione conocimientos sobre seguridad cibernética a la organización.

q Garantizar las competencias en seguridad cibernética para el DEA y el personal por medio de programas eficaces de desarrollo profesional o gestión de talentos.

q Aprovechar estratégicamente la tercerización para asegurarse de que el talento y la competencia adecuados están disponibles en la medida necesaria.

GE

STI

ÓN

DE

RIE

SG

OS

Realizar una evaluación de riesgo para determinar la probabilidad de los riesgos cibernéticos y su posible impacto en la organización.

q Permanecer al corriente con la frecuencia y magnitud de los fallos en la seguridad cibernética.

q Comprender el impacto total de las amenazas cibernéticas en la organización e integrarlo en el plan de auditoría.

q Identificar de forma proactiva los riesgos emergentes de seguridad cibernética.

Saber cómo la organización aborda la seguridad cibernética y las acciones que ha tomado la dirección para mitigar los riesgos relacionados.

q Comprender la postura de riesgo de la organización para combatir las amenazas cibernéticas.

q Realizar una auditoría continua sobre los controles de la seguridad cibernética de la dirección para evaluar la adecuación y eficacia.

Revisar los informes de auditoría de terceros. q Colaborar con el CIO o CISO para evaluar a los candidatos externos.

q Contribuir con los perfiles de riesgo de los candidatos externos.

q Asesorar sobre la compatibilidad de terceros con la estrategia o filosofía de seguridad cibernética.

globaliia.org


13

SER UN ASESOR CIBERNÉTICO DE CONFIANZA ES MÁS QUE... TAMBIÉN SIGNIFICA...

AS

EG

UR

AM

IEN

TO

Evaluar el cumplimiento con las políticas y los procedimientos relacionados con lo cibernético.

q Proporcionar una revisión independiente de la estrategia de seguridad cibernética antes de que se desarrollen las políticas y los procedimientos.

q Ser parte de los equipos de implementación de proyectos tecnológicos para asegurarse de que se están abordando e integrando los riesgos cibernéticos, en lugar de agregarlos más adelante.

q Realizar una evaluación comparativa y probar la adecuación y eficacia de las políticas y los procedimientos en comparación con los marcos correspondientes.

Evaluar el cumplimiento de los requisitos de formación sobre seguridad cibernética para empleados.

q Evaluar los resultados de la formación y la retención de los conocimientos.

q Proporcionar perspectivas sobre cómo alinear la formación con la estrategia de seguridad cibernética.

Proporcionar aseguramiento sobre el programa de seguridad cibernética de la organización.

q Aprovechar las capacidades de auditoría interna con resistencia existente en la primera y segunda líneas de defensa sin dejar de mantener la objetividad.

q Liderar los esfuerzos colaborativos de seguridad cibernética en las tres líneas de defensa.

Proporcionar aseguramiento sobre la respuesta a incidentes, recuperación de desastres y planes de continuidad de los negocios.

q Proporcionar perspectivas sobre la coordinación de planes y la alineación con la estrategia de la empresa.

q Según corresponda, prepararse para que el personal de auditoría interna pueda intervenir y ayudar cuando sea necesario durante una crisis.

Reportar los resultados de los trabajos relacionados con la seguridad cibernética a la dirección y al comité de auditoría o el consejo de administración.

q Involucrar a la dirección y al comité de auditoría o el consejo de administración en los debates sobre el futuro, ayudándolos a considerar las vulnerabilidades cibernéticas que enfrenta la organización.

q Facilitar o asesorar sobre un proceso para establecer el grado de aceptación de riesgos de seguridad cibernética de la organización.

globaliia.org


14

2016-0637

globaliia.org

Edición 4 PERCEPCIONES Y PERSPECTIVAS...

Documents

Transcript of Edición 4 PERCEPCIONES Y PERSPECTIVAS...