Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: C.P. Iván Rodríguez. Colaborador de Auditool

En el actual entorno de negocios, en que se procesa la información en un gran porcentaje mediante el empleo de recursos tecnológicos, es importante que los auditores conozcan algunas medidas de seguridad cibernética, que pueden ser tenidas en cuenta por las empresas y cuya implementación o uso fortalecen el sistema de control interno

1. Asignar responsabilidades

Es necesario determinar quienes son los responsables respecto de los riesgos tecnológicos, así como de los aspectos operativos en la gestión de la información. La responsabilidad general de la seguridad informática debe estar en cabeza de un alto directivo con una amplia visión sobre los riesgos cómo afrontarlos. Labores operativas tales como la instalación software de seguridad pueden estar a cargo de personas de otro nivel.

2. Proteger los recursos informáticos

Las amenazas están presentes de manera externa o interna en los negocios. Se requiere contar con cortafuegos (firewall), bloqueo a sitios potencialmente peligrosos (redes sociales y sitios de intercambio). El empleo de programas antivirus es básico y un software de monitoreo de actividad pueden ser conveniente

3. Actualización de equipos y dispositivos

Los proveedores de equipos y dispositivos, software y sistemas operativos emiten con frecuencia actualizaciones de sus aplicativos (parches) o software para corregir problemas menores (bugs) o mejorar la seguridad. Es esencial mantener todos las computadoras y dispositivos actualizados con las últimas versiones. Una computadora vulnerable pone a todos los demás equipos en riesgo.

4. Control de acceso de los empleados a equipos y documentos

Es recomendable proteger, tanto las cuentas de usuarios como la documentación sensible mediante contraseñas fuertes. Hay que limitar el acceso de usuarios a programas y reportes, mediante perfiles de acceso (sin acceso, solo consulta, modificación, etc.).  Si bien, por razones técnicas algunas personas tienen un acceso más amplio, su número debe ser el mínimo y debe contarse con el registro de sus actuaciones (hay software especializado para el efecto). Así mismo, el acceso a este registro debe ser limitado. 

5. Seguridad en la nube

Cada vez más empresas están utilizando servicios en la nube (software y almacenamiento) al cual se accede a través de internet. Es importante verificar que el proveedor es confiable y cuenta con medidas de seguridad robustas. Si el proveedor está en otro país, los requisitos legales pueden ser diferentes, por lo que se requiere claridad al respecto.

6. Seguridad fuera de la oficina

Los empleados de hoy a menudo trabajan desde casa o en otros sitios utilizando sus propios ordenadores portátiles, teléfonos y tablets. Aunque el riesgo permanece, se requiere contar con medidas de seguridad y políticas al respecto. Los equipos deben contar con software antivirus, protección de contraseña y de ser necesario un cortafuegos. Hay que evitar el acceso no autorizado a la información cuando un dispositivo se extravía o es robado; para el efecto, además de la protección con contraseñas hay software que permite el borrado remoto de la información. Los datos confidenciales deben estar encriptados. Hay que ser precavido al conectarse a wifi público no cifrado, puesto que los hackers pueden interceptar datos.

7. Manejo de unidades extraíbles

Discos externos y unidades extraíbles como memorias USB plantean riesgos de seguridad, especialmente cuando contienen sensible. información. Pueden introducir malware en las computadoras de la compañía, y pueden ser fácilmente extraviadas. Hay que asegúrese que, en la medida de lo posible, solo los discos y las unidades propiedad de su empresa se utilizan con las computadoras. Debe desalentarse a los empleados de usarlos en computadoras de terceros (en cibercafés, por ejemplo), y configurar software antimalware para escanearlos cada vez que Se utilizan en la oficina. Debe establecerse una política para su uso.

8. Capacitación

Resulta clave capacitar a los empleados acerca de la importancia de la seguridad informática. Son útiles sesiones de entrenamiento y documentos escritos, así como las políticas sobre el tema. Deben implementarse prácticas como los cambios regulares de contraseña o no hacer uso de enlaces web en correos electrónicos de una fuente desconocida.

Hay que estar atentos a los riesgos no técnicos, tales como la ingeniería social, donde los piratas informáticos intentan engañar a los empleados para hacer las computadoras vulnerables. Por ejemplo, pueden procurar obtener contraseñas. Hay que ser muy cautelosos en el uso de redes sociales para no suministrar información sensible o confidencial.

9. Contar con planes de contingencia

Cabe mencionar que, no obstante se tomen las precauciones debidas, no se puede estar 100% seguro, por lo que es vale la pena planificar que acciones seguir en caso de que algo falle. Las acciones estarán en función de la severidad del daño o falla. Deben definirse prioridades y la manera de atender las situaciones más críticas. Algunos procesos pueden efectuarse manualmente y en otros casos se requiere consultar expertos.  

Es importante estar atentos a las señales de alerta. Efectuar mantenimientos regulares, copias de seguridad e incluso activar contingencias para probar su funcionamiento. Así mismo, hay que tener claro quién es responsable de actuar en una emergencia. Es conveniente que el plan de contingencia esté documentado y sea de conocimiento de las personas interesadas.

10. Mantener registros

La seguridad es un proceso continuo, no una única solución, por lo que es importante mantener registros claros. Es importante mantener inventarios de hardware y software, pólizas de seguros, registros de actualizaciones y listas de dispositivos personales autorizados. También debe llevarse control sobre los incidentes que han ocurrido, como se atendieron y los resultados obtenidos.

 

C.P. Iván Rodríguez -   

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2