A lo largo de octubre, el Auditor Interno examina las áreas clave que los profesionales deben explorar mientras buscan ayudar a proteger sus organizaciones.  

El costo promedio de una violación de datos es de $ 3.86 millones, según un estudio global de IBM de 2020. Además, las infracciones causadas por ataques maliciosos son las más comunes y las más caras. Octubre es el Mes de la Concientización sobre la Ciberseguridad. La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) enfatiza la responsabilidad personal en el tema de este año: “#DoYourPart. #BeCyberSmart”. CISA proporciona enlaces a recursos  específicos  para el mes, incluidas hojas de consejos y una presentación lista para  usar  (PDF), así como un  Cyber ​​Resource Hub que  ofrece una gran cantidad de evaluaciones, pruebas y herramientas de evaluación.

Auditor internoLa serie de ciberseguridad de cuatro semanas, con cinco preguntas para considerar cada semana y una lista de recursos sugeridos, busca alentar a los profesionales a ayudar a las organizaciones a fortalecer sus defensas contra malware, ingeniería social, ciberataques físicos y otras vulnerabilidades. Ciertamente, COVID-19 ha hecho que la ciberseguridad sea más relevante que nunca para el gobierno organizacional, ya que las tecnologías digitales y basadas en la nube facilitan la capacidad de los empleados para trabajar de forma remota; mientras que los centros de operaciones de seguridad internos y externos monitorean, evalúan y responden de manera remota a las vulnerabilidades y amenazas. Los líderes de auditoría interna han aumentado sus planes de auditoría para considerar específicamente actividades para la continuidad del negocio, gestión de incidentes, evaluaciones de riesgos actualizadas, cambios en los enfoques de gestión de riesgos debido a cambios en la organización. s perfil y apetito por el riesgo, y la provisión remota de aseguramiento independiente. La ciberseguridad es parte integral de todas estas actividades, y hacerlo bien es esencial para el bienestar y el éxito de la organización.

Semana 2: Preguntas para hacer en cada auditoría

No es ningún secreto que los ciberdelincuentes buscarán acceder a una organización a través de sus puntos débiles. Como un castillo fortificado en una colina, una organización puede considerarse a sí misma bien protegida, pero todo lo que se necesita es una “puerta trasera” sin vigilancia para darle una oportunidad a un intruso. 

Los auditores internos pueden ayudar a sus organizaciones a identificar los agujeros en las defensas de la ciberseguridad haciendo las preguntas correctas e investigando los procedimientos y controles de mantenimiento de TI. Al igual que la adición de una nueva puerta o ventana en un castillo, la introducción de un nuevo proceso, aplicación o sistema podría hacer que la infraestructura de una organización sea más vulnerable a los ataques si no está protegida, parcheada y monitoreada. 

Y no es suficiente inspeccionar una aplicación o un sistema una vez y luego dejarlo ir. La auditoría interna debe realizar la debida diligencia para ver qué ha cambiado desde el último trabajo. Del mismo modo, es importante determinar quién tiene las “llaves” del castillo, en forma de revisiones de derechos, y buscar un proceso sólido de transferencia y terminación para garantizar que los derechos de acceso sean apropiados cuando alguien cambia de rol o se va. 

Las organizaciones deben tener una estrategia sólida para ganar en el ajedrez de ciberseguridad. Como parte del Mes de Concientización sobre Ciberseguridad, aquí hay cinco preguntas que los auditores internos deben hacer durante cada trabajo de auditoría:

  1. ¿Qué protecciones de datos se han implementado para este proceso / aplicación / sistema?
  2. ¿Cuál es el programa de respaldo y retención para la aplicación / sistema?
  3. ¿Cuál es el estado de los parches, la corrección de vulnerabilidades y la corrección de hallazgos de auditoría para este proceso / sistema / aplicación?
  4. ¿Se ha implementado alguna actividad relacionada con este proceso o aplicación / sistema desde la última revisión? ¿Cuál ha sido el impacto relacionado con la seguridad de cualquier cambio de tecnología o proceso desde la última auditoría?
  5. ¿Cuáles fueron los resultados de la revisión de derechos relacionada más reciente en términos de usuario, sistema, red, sistema operativo y acceso a la base de datos (incluido el acceso privilegiado, de proveedor y superusuario) y la última revisión de derechos de roles y sus actividades correspondientes?

Y aquí hay cinco preguntas adicionales para ayudar a los auditores internos #BeCyberSmart este mes:

  1. ¿Cómo puede asegurarse de que los programadores están siguiendo las técnicas de codificación segura y el ciclo de vida de desarrollo de software de la organización?
  2. ¿Cómo puede asegurarse de que se mantenga la separación de tareas (SoD) adecuada para los usuarios, los bots y los roles de seguridad de las aplicaciones? ¿Cómo se mantiene SoD dentro de los flujos de trabajo automatizados?
  3. ¿Qué tipos de reglas de detección de intrusiones, prevención de intrusiones y prevención de fugas de datos / información se han implementado para proteger los datos y los activos de información del acceso inadecuado?
  4. ¿Cómo se accede al sistema (mediante inicio de sesión único a través de una red privada virtual, directo al sitio web, etc.)? ¿Quién es el administrador? ¿Cómo se controlan sus actividades?
  5. ¿Cómo se monitorea el sistema? ¿Por quién? ¿Quién está informado de las excepciones? ¿Cómo se les informa y en qué circunstancias?

Semana 1: Preguntas para el C-suite

Un elemento vital de la ciberseguridad organizacional es evaluar y mitigar los riesgos que podrían afectar los procesos comerciales críticos. La alta dirección, los propietarios de procesos, la actividad de auditoría interna y la junta deben considerar las amenazas cibernéticas que podrían causar la interrupción o falla de los procesos comerciales críticos y su infraestructura asociada. Esto incluye evaluar si las políticas, los procedimientos y los controles están diseñados de manera adecuada y funcionan de manera efectiva para proteger los datos y los activos de información de la organización, especialmente con más funciones que acceden a estos datos e información de forma remota.

Los líderes deben considerar, por ejemplo, si las políticas, los procedimientos y los controles se han actualizado para tener en cuenta los entornos de trabajo desde el hogar y monitorear los cambios en la cadena de suministro, las relaciones con terceros y otras áreas de mayor riesgo. Para coordinar la cobertura y proporcionar garantía independiente a la junta, auditoría interna debe reflexionar sobre estas preguntas con el C-suite:

  1. ¿Qué brechas o debilidades relacionadas con la seguridad se descubrieron en la evaluación de este año de los riesgos relacionados con los procesos comerciales críticos?
  2. Según la evaluación de riesgos más reciente, ¿cómo se ajustaron los procesos comerciales críticos para salvaguardar los datos y los activos de información contra las amenazas cibernéticas en entornos de trabajo desde casa?
  3. Según la evaluación de riesgos más reciente, ¿cómo se ajustaron las políticas y los procedimientos corporativos (o departamentales) para garantizar la protección de datos?
  4. ¿Cómo obtiene usted, como propietario de los datos o del proceso, la seguridad de que sus datos o sistema tienen los controles adecuados para prevenir, detectar y defenderse de posibles ciberataques?
  5. ¿A qué amenazas cibernéticas cree que sus procesos o datos críticos son susceptibles y, de ellos, cuáles son los que tienen más probabilidades de afectar los datos o procesos de la organización?

Recursos adicionales

Estos recursos de contenido y capacitación pueden ayudar a los profesionales en su búsqueda de apoyo a los esfuerzos de ciberseguridad organizacional.

Guia

Guía de auditoría de tecnología global (GTAG): Evaluación del riesgo de ciberseguridad: funciones de las tres líneas de defensa

Boletín IIA

Seguridad en la nube, amenazas internas y riesgo de terceros (PDF)

Repensar la preparación: pandemias y ciberseguridad (PDF)

Fundación de Auditoría Interna

Privacidad y protección de datos – Parte 1: El papel de la auditoría interna en el establecimiento de un marco resiliente

El futuro de la ciberseguridad en la auditoría interna

Revista Auditor Interno

Una cuestión de privacidad

Cuidado con las estafas de coronavirus

Cuando la SEC habla de ciberseguridad, es mejor que escuchemos

Formación

Evaluación del riesgo de ciberseguridad: funciones de las tres líneas de defensa

Auditoría de ciberseguridad en un mundo inseguro

Fundamentos de la auditoría de TI

Cursos de tecnología bajo demanda

Controles generales de TI

Otro

El intercambio global de recursos de ciberseguridad del IIA 

Fuente: https://iaonline.theiia.org/2020/Pages/Cybersecurity-Awareness-Month-20-Questions-Internal-Auditors-Should-Be-Asking.aspx