Por: CP Iván Rodríguez. Colaborador de Auditool.
Cada organización se enfrenta a una variedad de riesgos cibernéticos que pueden provenir de fuentes externas e internas. Por ello, es necesario evaluarlos y determinar la posibilidad de que ocurra un evento que afecte negativamente el logro de los objetivos. Los actores que están detrás de los ataques cibernéticos normalmente están motivados por obtener una ganancia financiera y tienden a operar sobre una base de costo/recompensa y es posible ubicarlos en alguna de las siguientes categorías:
- Espías de estados y naciones: Ciertos ciudadanos de naciones extranjeras hostiles que buscan propiedad intelectual y secretos comerciales para el ejército y ventaja competitiva.
- Delincuentes organizados: perpetradores que utilizan herramientas sofisticadas para robar dinero o información privada y confidencial de los clientes de una entidad (por ejemplo, robo de identidad).
- Terroristas: grupos o individuos deshonestos que buscan usar Internet u otros medios para lanzar ataques cibernéticos contra infraestructura crítica, incluidas las instituciones financieras.
- Hackers activistas: individuos o grupos que desean hacer una declaración social o política robando o publicando información confidencial de una organización.
- Insiders: personas de confianza dentro de la organización que venden o comparten la información confidencial de la organización.
Si bien los resultados de la evaluación de riesgos impulsan en última instancia la asignación de recursos de la entidad destinados a las actividades de control que previenen, detectan y gestionan el riesgo cibernético, las inversiones también deben dirigirse al propio proceso de evaluación de riesgos. Un auditor debe entender que las organizaciones tienen recursos limitados y sus decisiones de invertir en actividades de control deben tomarse sobre información relevante y de calidad, para poder priorizar el financiamiento a los sistemas de información que son los más críticos para la entidad.
La evaluación de riesgos cibernéticos de una organización debe comenzar primero por comprender qué sistemas de información son valiosos para la organización. El valor debe medirse en función del impacto potencial en los objetivos de la entidad.
El Marco de 2013 proporciona varios puntos de enfoque, dentro del Principio 6[2], que proporcionan información a las organizaciones sobre cómo evaluar sus objetivos de una manera que podría influir en el proceso de evaluación de riesgos cibernéticos. Estos puntos de enfoque se definen en las siguientes categorías:
- Objetivos de las operaciones
- Objetivos de información financiera externa
- Objetivos de información externa no financiera
- Objetivos de informes internos
- Objetivos de cumplimiento
Con base en la evaluación del riesgo cibernético, la administración toma decisiones en relación con las actividades de control implementadas en los sistemas de información que respaldan los objetivos de una entidad; por lo tanto, es importante que la alta dirección y otras partes interesadas críticas impulsen el proceso de evaluación de riesgos para identificar lo que debe protegerse en consonancia con los objetivos de la entidad. Hay organizaciones (y auditores) que no dedican suficiente tiempo a comprender qué sistemas de información son realmente críticos para la organización y también pueden tener dificultades para comprender dónde y cómo la información se almacena. Esta situación puede llevar a intentos de proteger todo, lo que lleva a sobreproteger ciertos sistemas de información y a descuidar otros.
Ahora bien, cuando una empresa gestiona el riesgo cibernético empleando el marco COSO, se facilita que la junta directiva y los altos ejecutivos comuniquen mejor sus objetivos comerciales, su definición de sistemas de información críticos y los niveles de tolerancia al riesgo relacionados. Esto le permite a otras personas dentro de la organización, incluido el personal de TI, realizar un análisis detallado de riesgos cibernéticos mediante la evaluación de los sistemas de información que tienen más probabilidades de ser atacados, los ataques probables y los métodos y los puntos de explotación previstos. A su vez, se pueden poner en marcha actividades de control adecuadas para hacer frente a esos riesgos.
Por ejemplo, los componentes Entorno de control y Actividades de monitoreo son fundamentales cuando se considera el riesgo cibernético. Para que las organizaciones se vuelvan seguras, vigilantes y resistentes, estos componentes del control interno deben estar presentes y funcionando; de lo contrario, es probable que una organización no pueda comprender los riesgos cibernéticos lo suficiente, implementar actividades de control diseñadas de manera efectiva, y responder adecuadamente para abordar los riesgos cibernéticos.
Con el fin de gestionar los riesgos cibernéticos de una manera segura, vigilante y resistente, las organizaciones pueden ver su perfil cibernético a través de los componentes del control interno, de la siguiente manera:
- Entorno de control: ¿Entiende la junta directiva el perfil de riesgo cibernético de la organización y está informada de cómo la organización está gestionando la evolución de los riesgos cibernéticos que enfrenta la administración?
- Evaluación de riesgos: ¿Ha evaluado la organización y sus partes interesadas críticas sus operaciones, informes y objetivos de cumplimiento y ha recopilado información para comprender cómo el riesgo cibernético podría afectar dichos objetivos?
- Actividades de control: ¿Ha desarrollado la entidad actividades de control, incluidas las actividades de control general sobre la tecnología, que permitan a la organización gestionar el riesgo cibernético dentro del nivel de tolerancia aceptable para la organización? ¿Se han desplegado esas actividades de control mediante políticas y procedimientos formalizados?
- Información y comunicación: ¿Ha identificado la organización los requisitos de información para gestionar el control interno sobre el riesgo cibernético? ¿Ha definido la organización canales y protocolos de comunicación internos y externos que apoyen el funcionamiento del control interno? ¿Cómo responderá, gestionará y comunicará la organización un evento de riesgo cibernético?
- Actividades de monitoreo: ¿Cómo seleccionará, desarrollará y realizará evaluaciones la organización para determinar el diseño y la efectividad operativa de los controles internos que abordan los riesgos cibernéticos? Cuando se identifican las deficiencias, ¿cómo se comunican y priorizan estas deficiencias para la acción correctiva? ¿Qué está haciendo la organización para monitorear su perfil de riesgo cibernético?
Luego de considerar el riesgo cibernético desde la óptica del marco COSO, muchas organizaciones pueden reconsiderar cómo pueden influir para mejorar los controles que mitigan los impactos del riesgo cibernético en los objetivos de la organización. Hay que considerar que, si los riesgos cibernéticos se abordan mediante una gestión reactiva, el daño de un ataque cibernético podría ser tan grave que la organización podría dejar de existir y operar. El riesgo cibernético solo continuará siendo más difícil de manejar a medida que pase el tiempo, la tecnología evolucione y los piratas informáticos se vuelvan más sofisticados. Por ello, la gestión del riesgo cibernético es una prioridad que debe recibir la misma atención que otros objetivos que son estratégicos para la organización y es un tema que debe ser considerado por el auditor en sus evaluaciones.
[1] Artículo basado en: https://www.coso.org/SharedDocuments/COSO-in-the-Cyber-Age.pdf
[2] El principio 6(uno de los 17 principios de control interno del marco COSO 2013) dice: La organización especifica los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con los objetivos. Está asociado al componente de Evaluación de Riesgos.
CP Iván Rodríguez
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia