Por: CP Iván Rodríguez. Colaborador de Auditool
El tema de ciberseguridad parece ser muy técnico y en ocasiones se considera que está más allá de la capacidad de los auditores. Esto ocurre en algunos casos, debido a que el trabajo en el tema de ciberseguridad se orienta a la certificación en estándares más que en el riesgo empresarial. De otra parte, la alta dirección de las empresas, incluidas las juntas y consejos suelen tener cierta reacción frente a los auditores de sistemas.
En el mercado, parece no haber suficientes auditores que tengan, de una parte, un profundo conocimiento del negocio y de otra, una apreciación más que básica de lo que se necesita para proteger los sistemas y la información de una organización, a lo que se suma que el mundo técnico de la cibernética está cambiando constantemente, por lo que la capacitación recibida meses atrás puede no ser suficiente hoy en día, ni en un futuro cercano.
No obstante, la auditoría puede y debe proporcionar la garantía, el asesoramiento y la información que la alta dirección y la junta directiva necesitan respecto del tema de ciberseguridad. Ello requiere que los auditores enfoquen su trabajo en la seguridad de la información antes de examinar cualquier control detallado.
Los auditores deben cuestionar a la administración sobre si consideran que su nivel de ciberseguridad es efectivo. Esto, permite, tener un panorama general, sin necesidad de ejecutar un trabajo profundo, pero será base para auditar más adelante los detalles técnicos de protección, monitoreo, detección y mecanismos de respuesta.
Una buena idea es auditar con más profundidad únicamente aquellas áreas de la ciberseguridad que representen el mayor riesgo para el negocio. En otras palabras, realizar una serie de auditorías comenzando con los temas más sensibles para el negocio e ir abarcando posteriormente otra áreas.
En un trabajo de auditoría no debería omitirse el tema de ciberseguridad porque se carece de las habilidades técnicas. Siempre estará el recurso de acudir a expertos. Ahora bien, si no se cuenta con el presupuesto para el efecto, es una situación que debe evaluarse por parte de la administración de la compañía. Es necesario, no obstante, que entre las personas del equipo haya quien cuente con las habilidades y la experiencia necesarias para proporcionar una opinión profesional sobre cómo la empresa esta abordando la ciberseguridad.
Para un área o equipo de auditoría es necesario tener los recursos para auditar y proporcionar seguridad cibernética a sus clientes. Hay que trabajar para mejorar la seguridad de la información de manera que se satisfagan las necesidades de la empresa.
Es conveniente que los auditores incluyan en sus programas de gestión de riesgos las necesidades de la empresa en materia de ciberseguridad. Esto implica un trabajo interdisciplinario y una capacitación específica en el tema. Hay organismos profesionales que ofrecen certificaciones al respecto. A ello debe sumarse personal con experiencia y conocimiento de manera que se cuente con una comprensión más amplia de lo que se necesita para que la gestión de riesgos sea efectiva.
Los auditores requieren una comprensión amplia del negocio a auditar, sus operaciones, personas y procesos, así como los objetivos estratégicos del negocio. Asímismo, deben comprender que la gestión eficaz de riesgos es más que una función de cumplimiento. No se trata de la revisión periódica de una lista de riesgos. Se trata de aportar valor agregado.
Es necesario que los auditores entiendan la percepción que tiene la administración acerca de la gestión de riesgos. Si la respuesta de la administración es que dicha gestión es eficaz, es necesario comprender las razones para el efecto y evaluar si las decisiones, tanto tácticas como estratégicas permiten a la compañía alcanzar sus metas empresariales.
Si la respuesta de la administración es que no, es una valiosa oportunidad de explorar aquellos factores que están frenando a la organización en el logro de sus objetivos y aportar las recomendaciones y el valor agregado que se espera de un auditor competente.
De ahí la importancia de la capacitación en temas de ciberseguridad, tanto para hacer un trabajo más eficaz, como para lograr un desarrollo personal y profesional en beneficio del auditor y de la profesión en conjunto.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia