Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno
REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

Search - Content

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

5 marcos de ciberseguridad que los auditores deben conocer[1]

 Hoy día las noticias sobre ataques cibernéticos son recurrentes. Las consecuencias pueden ser devastadoras. Ante ese escenario, es imperativo proteger los datos de las compañías. Pero en ese proceso, ¿por dónde iniciar?

Los marcos de ciberseguridad suministran información valiosa y útil en el diseño de los procesos de control y mitigación de riesgos de ciberseguridad. En ese orden de ideas, es importante que los auditores conozcan los principales marcos de referencia y en qué tipo de empresas es más conveniente su aplicación. A continuación, se presentan aquellos más reconocidos.

Cabe mencionar, no obstante, que los marcos deben emplearse como referencia y no como solución final. Siempre hay que tener presente el enfoque de riesgos. Si bien cada marco puede tener controles, habrá que decidir cuales son aplicables de acuerdo con las circunstancias y si es necesario efectuar ajustes o adaptaciones. Un buen criterio no puede ser sustituido.

1) NIST CSF (National Institute of Standards and Technology - Cybersecurity Framework) - Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología

Para quién es recomendable: Organizaciones de todos los tamaños en cualquier industria con sede en los Estados Unidos, aunque también puede ser utilizado por empresas multinacionales.

Este marco del Instituto Nacional de Estándares y Tecnología (NIST), una agencia no reguladora del Departamento de Comercio de los Estados Unidos, es un buen punto de partida para la mayoría de las organizaciones en los Estados Unidos.  Es un marco popular de ciberseguridad; según Gartner[2] (la firma de investigación y asesoría), para 2020, más del 50 por ciento de todas las organizaciones utilizarán el NIST CSF. Además de la Orden Ejecutiva 13800 (Fortaleciendo la Ciberseguridad de Redes Federales e Infraestructura Crítica) de los Estados Unidos que requiere que las agencias gubernamentales usen el NIST CSF, muchos examinadores reguladores de los EE. UU. (Por ejemplo, la Comisión de Bolsa y Valores, la Corporación Federal de Seguros de Depósitos, etc.) también lo aprovechan

El NIST CSF es exhaustivo y está basado en el riesgo, lo que lo hace conveniente para organizaciones en una amplia variedad de industrias. Debido a que el NIST CSF fue desarrollado por una agencia gubernamental de los EE. UU., Puede ser más adecuado para las organizaciones con sede en los EE. UU.; sin embargo, las organizaciones multinacionales que se expanden a los EE. UU. también podrían considerar el NIST CSF o la norma ISO / IEC 27001: 2013 para propósitos generales de ciberseguridad. 

2) ISO / IEC 27001: 2013

Para quién es recomendable: Organizaciones de todos los tamaños en cualquier industria que tengan una presencia multinacional

Este marco, creado y publicado por la Organización Internacional de Normalización (ISO), es un marco general que funciona bien para empresas de diversos tamaños en una variedad de industrias. Es similar al NIST CSF. El marco es respetado y ampliamente conocido internacionalmente. El enfoque de ISO 27001 es la protección de la confidencialidad, integridad y disponibilidad de la información en una empresa. Su filosofía se basa en la gestión de riesgos: investigar dónde están y luego tratarlos de manera sistemática.

3) COBIT (Objetivos de Control para Información y Tecnologías Relacionadas. En inglés: Control Objectives for Information and related Technology)

Para quién es recomendable: Organizaciones de tamaño mediano a grande, en la mayoría de las industrias 

COBIT fue desarrollado por ISACA, una organización global independiente sin fines de lucro que se enfoca en el gobierno de TI. Este marco es similar al marco de NIST e ISO, ya que es un marco más general que la mayoría de las organizaciones pueden usar. También está enfocado en el negocio y orientado a procesos. COBIT a menudo es adoptado por auditores de empresas públicas y se utiliza como una herramienta de cumplimiento para Sarbanes-Oxley.

 Es una guía de mejores prácticas, dirigida al control y supervisión de TI. Cuenta con una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo objetivos de control, mapas de auditoría, herramientas para su implementación y una guía de técnicas de gestión.

4) HITRUST CSF (Health Information Trust Alliance - Cybersecurity Framework)

Para quién es recomendable: Organizaciones en la industria de la salud, aunque podría ser utilizado por otras organizaciones

HITRUST CSF fue desarrollado por Health Information Trust Alliance (HITRUST) y es el marco de seguridad más adoptado en la industria de la salud de los Estados Unidos. HITRUST originalmente desarrolló su CSF (Cybersecurity Framework – Marco de ciberseguridad) para enfocarse en elementos clave y riesgos inherentes a la industria de la salud, como las consideraciones de HIPAA (Ley de Responsabilidad y Portabilidad de Seguros de Salud), pero desde entonces han actualizado el marco con controles más amplios que se aplicarían a cualquier organización.

HITRUST CSF es un marco basado en el riesgo y el cumplimiento y se actualiza con bastante frecuencia. También se puede adaptar según una variedad de factores, que incluyen el tipo de organización, el tamaño y los sistemas, así como los requisitos reglamentarios.

5) CSA Cloud Controls Matrix

Para quién es recomendable: Proveedores de nube de todos los tamaños y organizaciones que dependen de proveedores de nube

La Cloud Controls Matrix fue desarrollada por Cloud Security Alliance (CSA) específicamente para los proveedores de la nube. La estructura del almacenamiento de datos en la nube conlleva riesgos únicos que requieren controles de seguridad específicos, que se establecen en este marco. La matriz de controles de la nube se actualiza con frecuencia y es útil para los proveedores de la nube de cualquier tamaño. Las organizaciones que dependen en gran medida de los proveedores de la nube también pueden encontrar este recurso útil para evaluar la seguridad de sus proveedores de la nube. CSA CCM proporciona un marco de controles que ofrece una comprensión detallada de los conceptos y principios de seguridad que están alineados con la guía de Cloud Security Alliance en 13 dominios

CSA CCM fortalece los entornos de control de seguridad de la información existentes al enfatizar los requisitos de control de seguridad de la información empresarial, reduce e identifica las amenazas y vulnerabilidades de seguridad consistentes en la nube, proporciona seguridad estandarizada y gestión de riesgos operativos, y busca normalizar las expectativas de seguridad, taxonomía y terminología de la nube.

Aunque algunos marcos se adaptan a ciertos tipos de organizaciones, no hay una única alternativa para los marcos que debe usar una empresa. La estrategia puede variar en función de los clientes y de dónde espera crecer en el futuro. Si bien estos marcos ayudan a un buen comienzo, la clave para agregar valor es ajustar el marco al cliente, con un enfoque basado en el riesgo y buen juicio.

Finalmente, deber recordarse que el auditor debe mantenerse al tanto de la última actividad cibernética, a medida que se presentan nuevos riesgos cibernéticos.

 

[1] Basado en un artículo de Joel White. Senior Director – Internal Audit, Risk & Compliance, Association of International Certified Professional Accountants. Disponible en: https://blog.aicpa.org/2018/10/5-cybersecurity-frameworks-accountants-should-know-about.html#sthash.anN3kQTS.Y5EXZ9Tc.dpbs

[2] https://www.gartner.com/en

 

 

C.P. Iván Rodríguez -           

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia

 


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de los que pasa en el mundo de la Auditoría y el Control Interno. 

lateralG3.2