¿De qué forma el auditor interno debe actuar contra posibles amenazas a la ciberseguridad?
Auditores deben adaptar el modelo de las tres líneas de defensa al riesgo cibernético para establecer los controles necesarios y mitigar los riesgos derivados de la ciberseguridad.
Deben verificar los mecanismos diseñados para identificar incidentes internos y externos.
Auditores deben adaptar el modelo de las tres líneas de defensa al riesgo cibernético para establecer los controles necesarios y mitigar los riesgos derivados de la ciberseguridad.
Deben verificar los mecanismos diseñados para identificar incidentes internos y externos.
En el informe La auditoría de la ciberseguridad, publicado el 3 de agosto de 2020 por la Asobancaria, se destaca la importancia de este accionar en medio de la masificación del uso de la tecnología y el auge de la economía digital durante la última década.
En los últimos meses el tema ha pasado a un primer plano para el sector financiero, ya que el COVID-19 ocasionó que el número de ciberataques a nivel mundial se incrementara en un 38 % entre marzo de 2019 y marzo de 2020.
Rol del auditor interno frente a la ciberseguridad
Desde la Asobancaria se advierte que la era digital presenta un reto para la gestión de la auditoría interna, la cual ha tenido que adaptar sus capacidades a los riesgos emergentes derivados de la ciberseguridad.
«Lo anterior no es ajeno al negocio bancario, que ha debido robustecer sus sistemas para afrontar el riesgo cibernético, no solo en materia de identificación de ataques, sino también en la creación de prácticas para instruir a toda la organización», afirma el informe.
Los ciberataques han generado que se construya un nuevo paradigma alrededor de la seguridad informática, que ya no solo debe basarse en chequeos regulatorios y controles, sino también en la implementación de metodologías que protejan la integridad de los sistemas, detecten y den respuesta efectiva a los incidentes.
Líneas de defensa contra los riesgos cibernéticos
La entidad afirma que se debe adaptar el modelo de las tres líneas de defensa al riesgo cibernético, con el objetivo de establecer los controles necesarios para mitigar los riesgos derivados de la ciberseguridad.
La primera línea de defensa es la encargada de gestionar los riesgos en el día a día y la responsable de realizar procedimientos de control interno.
También debe poner en funcionamiento todas las medidas necesarias para que empleados y usuarios sean conscientes de que son la puerta de entrada del riesgo cibernético.
«Para ello, necesita generar controles como la gestión de accesos y el cifrado de información, y promover la educación en materia de ciberseguridad, para propender por el uso adecuado de los dispositivos móviles, las redes wifi seguras, la apertura de correos electrónicos sospechosos, entre otras cosas», explica.
La segunda línea de defensa compuesta por el área de gestión de riesgos, cumplimiento normativo y seguridad de los sistemas establece un modelo de aseguramiento que facilite la realización de revisiones proactivas de ciberseguridad, donde se establezcan metodologías para monitorear los controles, proveer un mapa de riesgos completo y establecer sistemas de reporte horizontal y vertical de incidentes que afecten la ciberseguridad.
La tercera línea de defensa recae sobre la auditoría interna, la cual deber ser independiente de las dos líneas anteriores y debe proveer garantías de control interno a los órganos de gobierno de la entidad.
«Para esto, es necesario alinearse con el modelo de aseguramiento definido por la segunda línea y evaluar sus bondades y deficiencias para establecer su Plan de Auditoría incorporando sus propios análisis y participando en ejercicios de revisión técnica que le permitan identificar riesgos no encontrados por las líneas inferiores», indica la Asobancaria.
Acciones mínimas que debería considerar la auditoría interna en materia de ciberseguridad
- Ayudar a los órganos de gobierno en el diseño e implementación de la política de ciberseguridad.
- Asegurar que la entidad tiene la capacidad de identificar y mitigar el riesgo cibernético.
- Verificar los mecanismos diseñados para identificar incidentes internos y externos.
- Ayudar a concientizar a todas las áreas de la entidad, desde la alta dirección, sobre los riesgos cibernéticos para alcanzar los objetivos de la estrategia de ciberseguridad de la compañía.
- Integrar la ciberseguridad en el plan de auditoría de la entidad.
- Desarrollar el perfil de riesgo de ciberseguridad de la entidad, teniendo en cuenta las amenazas emergentes.
- Evaluar el programa de ciberseguridad con la ayuda de marcos internacionales como el NIST.
- Evaluar el enfoque preventivo de la organización en materia de educación, formación y concientización de los usuarios, y de las herramientas de control y vigilancia digital.
- Asegurar el monitoreo continuo y la adecuada gestión de incidentes.
- Identificar cualquier carencia de personal especializado en tecnologías de la información que pueda representar un impedimento para el cumplimiento de los objetivos de ciberseguridad.