Identificarse


 

 

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: CP Iván Rodríguez. Colaborador de Auditool  

La ciberseguridad se ha constituido en una de las mayores preocupaciones de las empresas, puesto que casi cualquier compañía puede ser vulnerable a un ciberataque y los costos potenciales son altos. Es así que cada empresa necesita adoptar una postura proactiva y crear un plan para minimizar el riesgo cibernético y de esta manera mitigar el riesgo y evitar pérdidas.

Algunas medidas que pueden sugerir los auditores, para que sean consideradas por las compañías para fortalecer su esquema de ciberseguridad son las siguientes:

Responsabilidad y capacitación

Si bien la seguridad es responsabilidad de todos, la gestión de riesgos debe asignarse a un empleado en particular. En un esquema maduro de ciberseguridad está definido quien es el responsable de administrar los riesgos cibernéticos de manera continua y la presentación de informes a las instancias respectivas.

De otra parte, los empleados deben tener clara su postura frente a la seguridad cibernética. Si los usuarios no se toman en serio la seguridad, entonces las medidas de seguridad empresarial serán deficientes. Es conveniente entonces capacitar a los empleados en cuanto a las medidas de protección adecuadas y mantenerlos actualizados sobre el tema.

Cultura del riesgo

La compañía, en su gestión de ciberseguridad, debe poseer una cultura de riesgo bien desarrollada, lo que permite a todos los empleados tener claridad sobre los riesgos a los que se enfrentan y los alienta a alinear los riesgos con los objetivos estratégicos. Si no existe una fuerte cultura de riesgo, las decisiones adoptadas podrían interferir con los objetivos estratégicos, tácticos y operativos.

Actualización de equipos y programas

Los equipos y programas deben estar debidamente actualizados. Esto aplica para servidores, almacenamiento, estaciones de trabajo y otros dispositivos de red. No exclusivamente para los computadores portátiles o de escritorio. Hay muchos otros equipos, por ejemplo, en las líneas de producción o en los sistemas de vigilancia. Los programas y sistemas operativos deben contar con las últimas actualizaciones y parches. Los equipos deben ser compatibles y encontrarse en buen estado para garantizar un buen funcionamiento.

Adecuada gestión de datos

La información es vital para las empresas. Uno de los elementos más críticos en el tema de ciberseguridad son las copias de seguridad fiables y frecuentes de los datos críticos. Hay todo un conjunto de medidas respecto del almacenamiento de copias de seguridad, desde su ubicación fuera de las oficinas y preferiblemente en la nube para mayor seguridad y redundancia. Además, deben ser inaccesibles desde la red de la empresa.

Los datos de trabajo deben poderse consultar de una manera ágil y segura. La información confidencial debe estar debidamente protegida y su acceso debe ser limitado y controlado. Así mismo, hay que garantizar la calidad de la información almacenada

La empresa debe contar con medidas seguras de identificación de los usuarios de los programas, aplicativos y archivos. Filtros, contraseñas e identidades digitales son recursos que mitigan el riesgo de acceso a la información de personas no autorizadas.

Plan de recuperación

Aunque muchas empresas hoy día cuentan con plan de recuperación, es probable que no lo hayan probado en escenarios críticos pero posibles. Por ejemplo, simular el caso de un ataque ransomware o secuestro de datos que implique la restauración de una copia de seguridad sin conexión es una buena prueba. (en general las pruebas que impliquen restaurar copias de seguridad son buenas). Probar el funcionamiento de centros de respaldo también es útil.

Sitios de internet similares

Un tema que a veces se pasa por alto es la existencia de sitios de internet con nombres parecidos a los de la compañía, en los que se pretende efectuar suplantación y fraude. Si se aprecia que hay diversos sitios web con direcciones similares, esto puede indicar un problema de phishing o suplantación que puede afectar la reputación de la compañía, por lo que es conveniente efectuar un monitoreo regular y acudir a las autoridades pertinentes, según el caso.

Si bien las anteriores medidas no son exhaustivas, su aplicación contribuye a fortalecer el sistema de control interno y a mejorar el esquema de ciberseguridad. El auditor debe estar atento a su existencia o a efectuar las recomendaciones del caso, según corresponda.

 

CP Iván Rodríguez -

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia

 


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando…
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.