A menudo, me encuentro hablando con la prensa sobre el papel de la auditoría interna en relación con los riesgos, en particular la seguridad cibernética. Recientemente, un representante me preguntó acerca de un nuevo informe investigativo de la Comisión de Valores de EE. UU. (SEC), “Fraudes relacionados con el ciberespacio cometidos contra empresas públicas”. El informe describe las investigaciones en nueve empresas que cotizan en bolsa que fueron víctimas de fraude cibernético.

En cada caso estudiado por la SEC, los empleados fueron engañados para enviar grandes sumas a cuentas bancarias controladas por estafadores. Algunas de las estafas continuaron durante meses y, a menudo, se detectaron solo después de la intervención de la policía o de otras partes externas. Las nueve compañías transfirieron un total de casi $ 100 millones a los criminales, la mayoría de los cuales no se pudieron recuperar, según la SEC.

Como resultado de su investigación, la SEC advirtió a las compañías públicas que consideren las amenazas cibernéticas cuando implementen controles internos contables. Es un buen consejo. Pero, como auditores internos, sabemos que la preparación para la seguridad cibernética no es solo un problema cuando se implementan controles contables. Es una faceta de vital importancia en la gestión de riesgos todos los días, en cada parte de las organizaciones a las que servimos.

Iniciativas como el Mes Nacional de Concientización sobre la Seguridad Cibernética de octubre han hecho importantes avances para mejorar la concientización sobre las amenazas cibernéticas, pero existe una gran diferencia entre la concientización sobre la seguridad cibernética y la preparación para la seguridad cibernética. En muchas de nuestras organizaciones, existen vacíos en nuestra preparación. Por ejemplo, más del 90 por ciento de los participantes en el pulso de la auditoría interna norteamericana de 2018, la encuesta del Centro de Auditoría Ejecutiva del IIA dijo que su organización tenía un plan de continuidad comercial, pero en lo que respecta a los ataques cibernéticos, muchos de esos planes ofrecían poco más que una falsa sensación de seguridad. Solo una cuarta parte de los participantes de la encuesta dijo que sus planes proporcionaban procedimientos claros y específicos para responder a un ataque cibernético, y el 17% de los encuestados informó que sus planes de continuidad no incluían ningún procedimiento para una respuesta.

Como auditores internos, reconocemos la importancia de los controles preventivos y de detección que ayudan a proteger a nuestras organizaciones contra los ataques cibernéticos. Pero tarde o temprano, esos controles fallarán. Incluso los controles más cuidadosamente elaborados se rompen de vez en cuando, y hay un fuerte consenso entre los expertos de que se trata de cuándo, y no si, nuestras organizaciones sufrirán un ataque exitoso. La prevención y la detección son importantes, pero también debemos ayudar a garantizar que, después de un ataque, nuestras organizaciones puedan recuperarse de manera eficiente, efectiva y rápida.

La resistencia cibernética toma en cuenta la capacidad de la organización para operar durante un ataque, y para adaptarse y recuperarse después del ataque. Permite a nuestras empresas ofrecer resultados esperados a pesar de los eventos cibernéticos adversos. Pero hacer la transición de la ciberseguridad a la verdadera resistencia cibernética no será fácil. Los cambios en la cultura nunca son fáciles, y los cambios que reúnen las áreas de seguridad de la información, continuidad del negocio y resiliencia son especialmente desalentadores. Es por eso que la resistencia cibernética es un problema “de todos los miembros del equipo” que merece la atención de las tres líneas de defensa.

En algunas empresas, existe la opinión de que los problemas de ciberseguridad deberían residir en el dominio de los expertos en TI y seguridad, y la auditoría interna no ofrece más que apoyo. Pero parte del alcance de la auditoría interna debe ser evaluar la cultura cibernética de la organización y ayudar a construir una que sea cibernética. De acuerdo con la Guía de auditoría de tecnología global (GTAG) del IIA, “Evaluación del riesgo de ciberseguridad “, la auditoría interna desempeña un papel crucial en la evaluación de los riesgos de ciberseguridad de una organización al considerar:

  • ¿Quién tiene acceso a la información más valiosa de la organización?
  • ¿Qué activos son los objetivos más probables para los ataques cibernéticos?
  • ¿Qué sistemas causarían la interrupción más significativa si se comprometieran?
  • ¿Qué datos, si son obtenidos por partes no autorizadas, podrían causar pérdidas financieras o competitivas, ramificaciones legales o daños a la reputación de la organización?
  • ¿Está la administración preparada para reaccionar de manera oportuna si ocurre un incidente de ciberseguridad?

Los riesgos de la ciberseguridad aumentan implacablemente y las posibles consecuencias se extienden mucho más allá del ámbito de la TI. De acuerdo con un informe del Consejo de Asesores Económicos, la actividad cibernética maliciosa le costó a la economía de los Estados Unidos entre $ 57 mil millones y $ 109 mil millones solo en 2016. Los riesgos de reputación pueden ser incluso más altos que los riesgos financieros. En palabras de Stéphane Nappo, Directora de Seguridad de la Información de Societe Generale Global, “se necesitan 20 años para construir una reputación y unos minutos de ciberincidente para arruinarla.”

Las Normas Internacionales para la Práctica Profesional de la Interna Auditoría del IIA requieren que los directores ejecutivos de auditoría informen periódicamente a la alta dirección y el consejo sobre asuntos significativos de riesgo y control. La frecuencia y el contenido de esos informes deben depender de la importancia de la información que se va a comunicar y de la urgencia de las acciones relacionadas que deben tomar la alta gerencia y / o la junta directiva. Si usted, como la mayoría de los auditores internos, trabaja en una organización que no tiene procedimientos claros y específicos para responder y recuperarse de los ataques cibernéticos, puede ser el momento de aumentar la frecuencia y el contenido de las comunicaciones con respecto a las amenazas cibernéticas y sus posibles consecuencias. Los riesgos son demasiado altos para ignorarlos.

El reciente informe de la SEC debería servir como otro recordatorio de los controles internos relacionados con la ciberseguridad. Este riesgo siempre presente debe estar en nuestro radar, pero cuando la SEC habla, deberíamos duplicar nuestra cobertura de ciberseguridad.

Espero sus pensamientos sobre este importante tema.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna. ç

Fuente: https://global.theiia.org/knowledge/chambers-spanish/Pages/Cuando-la-Comision-de-Valores-de-los-Estados-Unidos-Habla-Sobre-la-Ciberseguridad-Todos-Deberiamos-Escuchar.aspx