Auditores deben adaptar el modelo de las tres líneas de defensa al riesgo cibernético para establecer los controles necesarios y mitigar los riesgos derivados de la ciberseguridad.
Deben verificar los mecanismos diseñados para identificar incidentes internos y externos.
Auditores deben adaptar el modelo de las tres líneas de defensa al riesgo cibernético para establecer los controles necesarios y mitigar los riesgos derivados de la ciberseguridad.
Deben verificar los mecanismos diseñados para identificar incidentes internos y externos.
En el informe La auditoría de la ciberseguridad, publicado el 3 de agosto de 2020 por la Asobancaria, se destaca la importancia de este accionar en medio de la masificación del uso de la tecnología y el auge de la economía digital durante la última década.
En los últimos meses el tema ha pasado a un primer plano para el sector financiero, ya que el COVID-19 ocasionó que el número de ciberataques a nivel mundial se incrementara en un 38 % entre marzo de 2019 y marzo de 2020.
Desde la Asobancaria se advierte que la era digital presenta un reto para la gestión de la auditoría interna, la cual ha tenido que adaptar sus capacidades a los riesgos emergentes derivados de la ciberseguridad.
«Lo anterior no es ajeno al negocio bancario, que ha debido robustecer sus sistemas para afrontar el riesgo cibernético, no solo en materia de identificación de ataques, sino también en la creación de prácticas para instruir a toda la organización», afirma el informe.
Los ciberataques han generado que se construya un nuevo paradigma alrededor de la seguridad informática, que ya no solo debe basarse en chequeos regulatorios y controles, sino también en la implementación de metodologías que protejan la integridad de los sistemas, detecten y den respuesta efectiva a los incidentes.
La entidad afirma que se debe adaptar el modelo de las tres líneas de defensa al riesgo cibernético, con el objetivo de establecer los controles necesarios para mitigar los riesgos derivados de la ciberseguridad.
La primera línea de defensa es la encargada de gestionar los riesgos en el día a día y la responsable de realizar procedimientos de control interno.
También debe poner en funcionamiento todas las medidas necesarias para que empleados y usuarios sean conscientes de que son la puerta de entrada del riesgo cibernético.
«Para ello, necesita generar controles como la gestión de accesos y el cifrado de información, y promover la educación en materia de ciberseguridad, para propender por el uso adecuado de los dispositivos móviles, las redes wifi seguras, la apertura de correos electrónicos sospechosos, entre otras cosas», explica.
La segunda línea de defensa compuesta por el área de gestión de riesgos, cumplimiento normativo y seguridad de los sistemas establece un modelo de aseguramiento que facilite la realización de revisiones proactivas de ciberseguridad, donde se establezcan metodologías para monitorear los controles, proveer un mapa de riesgos completo y establecer sistemas de reporte horizontal y vertical de incidentes que afecten la ciberseguridad.
La tercera línea de defensa recae sobre la auditoría interna, la cual deber ser independiente de las dos líneas anteriores y debe proveer garantías de control interno a los órganos de gobierno de la entidad.
«Para esto, es necesario alinearse con el modelo de aseguramiento definido por la segunda línea y evaluar sus bondades y deficiencias para establecer su Plan de Auditoría incorporando sus propios análisis y participando en ejercicios de revisión técnica que le permitan identificar riesgos no encontrados por las líneas inferiores», indica la Asobancaria.