Ingrese o regístrese acá para seguir este blog.
Por: CP Iván Rodríguez. Colaborador de Auditool.
Una buena evaluación del riesgo de ciberseguridad se constituye en un desafío tanto para la alta dirección de las organizaciones como para los auditores. Esto ocurre pues al hablar de ciberseguridad y ciberespacio no se trata únicamente de un tema de TI. Los riesgos de ciberseguridad son riesgos empresariales más amplios. Esto se evidencia cuando se adoptan medidas para la prevención y más claramente, cuando se ha materializado algún riesgo y diferentes instancias de la organización deben afrontar las consecuencias. La ciberseguridad debe verse dentro del contexto de todo el negocio, no de manera aislada. Una manera es determinar el efecto potencial de la materialización de un riesgo de ciberseguridad en el logro de los objetivos de la empresa.
Al evaluar el riesgo empresarial relacionado con el ciberespacio, hay que buscar la respuesta a esa inquietud. Eso requiere la participación en el proceso de evaluación tanto del personal comercial como del técnico. Si se efectúa la evaluación del riesgo relacionado con el ciberespacio solo con personal técnico es muy poco probable que se haga un análisis completo. Sin embargo, en la literatura técnica, los estándares de riesgo cibernético más ampliamente aceptados son escritos por personal de seguridad de la información y suelen estar dirigidos a otros profesionales de la seguridad de la información.
Por ello se requiere que los auditores, al evaluar la gestión del riesgo de ciberseguridad, deban adoptar un enfoque más holístico, comenzando con las respuestas a la pregunta: ¿Cuál es el potencial efecto de una materialización de un riesgo de ciberseguridad en el logro de los objetivos de la empresa? Una auditoría probablemente deba incluir la participación de auditores financieros y operativos, y no limitarse a los expertos en seguridad de la información. De hecho, el primer paso en cualquier auditoría debería ser determinar si la gerencia conoce la respuesta. Luego analizar si continúan conociendo la respuesta a medida que cambian el negocio, la tecnología y el entorno (incluidas las herramientas, técnicas y objetivos favoritos de quienes cometen delitos informáticos).
Si la administración no ha completado y luego mantenido una evaluación de riesgos orientada al riesgo empresarial que esté integrada con la gestión de riesgos en conjunto y la toma de decisiones, el equipo de auditoría debe considerar la manera de actuar. Si la gerencia no sabe dónde están los riesgos, ¿qué garantía tiene y qué garantía puede proporcionar la auditoría, de que existen los controles y la seguridad adecuados?
Posteriormente, la auditoría debería determinara si el equipo de seguridad de la información tiene las capacidades, la posición y la autoridad necesarias para abordar esos riesgos. Sólo entonces debería considerar la posibilidad de evaluar si las medidas en vigor son suficientes y eficaces.
Habitualmente, la evaluación de riesgos de ciberseguridad comprende lo siguiente:
- Gobernanza de la ciberseguridad
- Inventario de activos de información
- Configuraciones de seguridad estándar
- Gestión del acceso a la información
- Pronta respuesta y corrección
- Monitoreo continuo
Sin embargo, suele ocurrir que se evalúan únicamente los riesgos para los activos de información, en lugar de los riesgos de TI que impactan el éxito del negocio. Normalmente se entiende por ciberseguridad al conjunto de las tecnologías, procesos y prácticas diseñadas para proteger los activos de información de una organización: computadoras, redes, programas y datos, de acceso no autorizado. En otras palabras, seguridad de la información de TI (protección de la confidencialidad, disponibilidad e integridad de la información). La ciberseguridad se centra en la seguridad en el medio informático, pero es habitual confundirla con la seguridad de la información, que trata sobre métodos y procesos que procuran proteger los archivos de información en sus diferentes formas y estados, que no son exclusivamente medios informáticos
La ciberseguridad es relevante para los sistemas que respaldan los objetivos de una organización relacionados con la efectividad y eficiencia de las operaciones, la confiabilidad de las operaciones internas e informes externos y el cumplimiento de las leyes y regulaciones aplicables. Las organizaciones generalmente diseñan e implementan controles de ciberseguridad para proteger la integridad, confidencialidad y disponibilidad de la información. Y aunque esto es válido, los controles deben diseñarse para abordar los riesgos para el logro de los objetivos empresariales, que es una dimensión más amplia.
De hecho, un incidente cibernético puede crear un riesgo de cadena de suministro, cumplimiento, operativo, financiero o de otro tipo, porque el riesgo está interrelacionado. Del mismo modo, un cambio en la cadena de suministro, como el uso de una nueva empresa de logística, o un cambio en las operaciones o el asesor financiero, puede cambiar los riesgos relacionados con la ciberseguridad.
La evaluación y el tratamiento de riesgos de ciberseguridad deben ser una parte integral del programa de gestión de riesgos empresariales (ERM) y la toma de decisiones de la organización, no una operación aislada. Si la ciberseguridad no está completamente integrada, entonces la Auditoría debería informarlo a la junta. Debería preocuparse por la capacidad de la organización para lograr sus objetivos a lo largo del tiempo.
Es importante que la auditoría verifique si la gerencia ha realizado o ha considerado realizar un análisis de impacto en el negocio (Business Impact Analysis – BIA). Si la gerencia no ha hecho un BIA que identifique cómo un incidente cibernético podría afectar el logro de sus objetivos, la auditoría debe llamar de inmediato la atención de la alta dirección y la junta como un problema grave. Es probable que cualquier evaluación de riesgos sea errónea. Si ha hecho un BIA que solo les ayude a priorizar los activos de información y no habilite múltiples fuentes de riesgo (por ejemplo, no solo cibernético sino también cumplimiento, recursos humanos, etc.) para ser considerados juntos al tomar una decisión, el problema sigue siendo grave, pero es más fácil de remediar.
Hay demasiado enfoque en evaluar qué controles están en su lugar y no lo suficiente sobre si la administración sabe que tienen el nivel correcto de ciberseguridad de manera permanente. Los auditores deberían ver si la administración no solo tiene las defensas correctas en el momento de su revisión, sino que tiene la capacidad de adaptarlas adecuadamente a medida que los riesgos cambien en el futuro. No solo deben revisar los procesos para la evaluación de riesgos cibernéticos (como parte integral de ERM), sino que también deben revisar si esa evaluación se actualiza continuamente.
Cualquier auditoría debe proporcionar una opinión profesional sobre si los procesos y controles de la administración proporcionan una garantía razonable de que existe una probabilidad baja (es decir, aceptable) de una materialización de riesgos con un efecto inaceptable en la organización y el logro de sus objetivos. Auditar para abordar los riesgos conocidos de hoy en día tiene un valor limitado. Los auditores deberían auditar si la administración tiene las capacidades adecuadas hoy y es razonablemente probable que las tenga en el futuro, para lograr una mejor evaluación y ofrecer recomendaciones más estructuradas y proactivas.
CP Iván Rodríguez
Auditor y consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia
