Por: CP Iván Rodríguez. Colaborador de Auditool
Los riesgos cibernéticos evolucionan rápidamente y el potencial de daño que pueden causar si se materializan ha llegado a ser de tal magnitud que incluso amenazan la existencia de las compañías. A pesar de ello, suele haber poca conciencia sobre esta situación y el conocimiento de los ejecutivos al respecto no es muy sólido, lo que puede resultar en una creencia poco realista e injustificada de que las organizaciones están adecuadamente preparadas para enfrentar las amenazas cibernéticas. Si la alta administración no tiene una buena visión de la cobertura de la compañía frente a los riesgos de ciberseguridad, puede transmitir un mensaje equivocado de falsa seguridad a la Junta Directiva o al Directorio.
Frente a este panorama, los auditores necesitan entender y mantenerse continuamente al tanto de las amenazas cibernéticas. También deben entender qué están haciendo los encargados de la ciberseguridad para gestionar los riesgos, qué medidas están tomando los líderes de las unidades de negocio, qué tan bien están cumpliendo los empleados con los procedimientos establecidos, y dónde pueden estar las vulnerabilidades en la empresa, entre otras acciones. Por ello, es importante insistir en las siguientes consideraciones, al ejecutar el trabajo de auditoría en las compañías:
Interacción con el equipo de tecnología
Los auditores necesitan, además de entender la tecnología, entender a las personas encargadas de su implementación, uso y supervisión. Para entender los riesgos tecnológicos, hay que entender la tecnología y su entorno. Si el auditor quiere ayudar a mitigar los riesgos de ciberseguridad, necesita saber cómo el director de información (chief information officer – CIO por sus siglas en inglés) y el director de seguridad de la información (chief information security officer – CISO por sus siglas en inglés) identifican y mitigan estos retos y el enfoque que adoptan para la gestión de riesgos cibernéticos. Es importante mantener una relación profesional de confianza con ellos para proporcionar el nivel adecuado de seguridad a la empresa de que los riesgos de ciberseguridad se están identificando, priorizando y mitigando adecuadamente.
Las organizaciones deben establecer un marco de riesgo de ciberseguridad, y revisarlo y actualizarlo regularmente; así mismo, deben examinar la gobernanza en torno a la arquitectura de TI y los riesgos de ciberseguridad. La auditoría, por su parte, debe revisar las políticas y estándares de ciberseguridad vigentes para ver si están adecuadamente alineados con la tolerancia al riesgo de la corporación y si se entienden y circulan internamente. Después de revisar los registros de riesgos de la organización, la auditoría podría desarrollar un mapa de calor para ver dónde pueden aparecer los riesgos cibernéticos críticos, qué impacto podrían tener en las operaciones y cómo se están mitigando. Es conveniente que los auditores de TI actualicen continuamente sus habilidades mediante la obtención de calificaciones académicas o certificaciones profesionales que se centren en identificar y gestionar los riesgos de ciberseguridad.
Revisión de la cadena de suministro
Dentro de las ciber amenazas más importantes, se encuentran los ataques a la cadena de suministro de software. En ese sentido, la auditoría debería prestar especial atención a temas tales como el uso de servicios en la nube y a los proveedores de servicios de TI. La gestión de identidades y accesos, necesaria para trabajar en la nube y desde ubicaciones remotas como el trabajo desde casa, implica que las organizaciones tengan buenos controles para combatir el phishing[1] y el spear-phishing, por ejemplo.
Otro tema que deben tener en cuenta los auditores es la gestión de proveedores, gracias a que las organizaciones dependen más de terceros para realizar ciertas tareas sensibles como el manejo de la seguridad de los datos. Hay que revisar los contratos con proveedores y ver la manera de garantizar que cuentan con medidas de seguridad apropiadas.
Los auditores deben así mismo evaluar si las organizaciones clientes otorgan diferentes niveles de seguridad a ciertos tipos de datos que almacenan en la nube. Los datos deben clasificarse para que no haya desprotección ni sobreprotección de la información.
Actuaciones de los usuarios
Una de las principales amenazas de ciberseguridad es la de los usuarios, puesto que hay ocasiones en que ignoran los protocolos o utilizan la tecnología incorrectamente. Muchos usuarios buscan evitar controles, no con mala intención, sino que piensan que pueden ser más eficientes. Una alternativa que pueden abordar las organizaciones y de la cual los auditores deben ser conscientes es emplear soluciones de seguridad que sean invisibles para los usuarios finales. De esta manera se evita la posibilidad de eludir los controles.
La auditoría también debe apoyar el hecho de que todas las personas de la organización son responsables de la ciberseguridad, al igual que la seguridad. Es importante que haya capacitación al respecto. Si bien los empleados pueden ser la mayor fuente de amenazas en una organización, son los que están en la mejor posición para entender el negocio y qué controles funcionarán de la mejor manera.
Los riesgos de ciberseguridad son una realidad que va a permanecer por largo tiempo y que continuarán evolucionando, probando constantemente los controles y procedimientos establecidos para minimizar y mitigar las amenazas. Por ello la auditoría debe ampliar su enfoque y cubrir el tema tecnológico con mayor rigor, tal como el incumplimiento de políticas entre los empleados o un análisis más profundo de las vulnerabilidades que podrían aparecer en cualquier parte de la organización. La auditoría puede ayudar a integrar diferentes partes de la empresa para formar un equipo unificado frente a las amenazas cibernéticas y ayudar a mantener a la organización protegida de los atacantes potenciales.
Toda vez que la ciberseguridad es un riesgo clave para todas las organizaciones, puede ser utilizado como una oportunidad por la auditoría para buscar apoyo ejecutivo en iniciativas sobre políticas y controles de ciberseguridad en diferentes áreas de la organización, para lograr el cumplimiento de los objetivos previstos.
[1] Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental, enviado por el delincuente para lograr su propósito. El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia