Actualmente la ciberseguridad en las empresas es algo muy importante y necesario, sin embargo, en muchas ocasiones parece algo muy técnico y complejo para los auditores. Esto ocurre en algunos casos, debido a que el trabajo en el tema de ciberseguridad se orienta a la certificación en estándares más que en el riesgo empresarial. De otra parte, la alta dirección de las empresas, incluidas las juntas y consejos suelen tener cierta reacción frente a los auditores de sistemas.
En el mercado actual, al parecer no hay suficientes auditores que tengan, por una parte, un profundo conocimiento del negocio y por otra, una apreciación más que básica de lo que se necesita para proteger los sistemas y la información de una organización, a ello se suma que el cambio constante del mundo técnico de la cibernética, por lo que la capacitación recibida meses atrás puede no ser suficiente hoy en día, ni en un futuro cercano.
Todo ello no implica que la auditoría pueda y deba proporcionar la garantía, el asesoramiento y la información que la alta dirección y la junta directiva necesitan respecto del tema de ciberseguridad. Ello requiere que los auditores enfoquen su trabajo en la seguridad de la información antes de examinar cualquier control detallado.
Para poder tener un panorama general, los auditores deben cuestionar a la administración sobre si consideran que su nivel de ciberseguridad es efectivo; lo cual servirá como base para auditar más adelante los detalles técnicos de protección, monitoreo, detección y mecanismos de respuesta.
Una buena idea es auditar con más profundidad únicamente aquellas áreas de la ciberseguridad que representen el mayor riesgo para el negocio. En otras palabras, realizar una serie de auditorías comenzando con los temas más sensibles para el negocio e ir abarcando posteriormente otras áreas.
El tema de ciberseguridad es algo que los auditores no deben omitir, en el caso que no se cuente con el presupuesto para el efecto, dicha situación que debe evaluarse por parte de la administración de la compañía. Asimismo, se ve necesario, que entre las personas del equipo haya quien cuente con las habilidades y la experiencia necesarias para proporcionar una opinión profesional sobre cómo la empresa está abordando la ciberseguridad.
Es importante que dentro de un área o equipo de auditoría se puedan tener los recursos para auditar y proporcionar seguridad cibernética a sus clientes. Hay que trabajar para mejorar la seguridad de la información de manera que se satisfagan las necesidades de la empresa.
Al desarrollar sus programas de gestión de riesgos, es conveniente que los auditores incluyan las necesidades de la empresa en materia de ciberseguridad. Esto implica un trabajo interdisciplinario y una capacitación específica en el tema. A ello debe sumarse personal con experiencia y conocimiento de manera que se cuente con una comprensión más amplia de lo que se necesita para que la gestión de riesgos sea efectiva.
Los auditores requieren una comprensión amplia del negocio a auditar, sus operaciones, personas y procesos, así como los objetivos estratégicos del negocio. Asimismo, deben comprender que la gestión eficaz de riesgos es más que una función de cumplimiento, ya que no se trata de la revisión periódica de una lista de riesgos sino de aportar valor agregado.
La percepción que tiene la administración acerca de la gestión de riesgos, será de gran ayuda para el trabajo de la auditoría, ya que, si ellos califican dicha gestión como eficaz, es necesario comprender las razones para el efecto y evaluar si las decisiones, tanto tácticas como estratégicas permiten a la compañía alcanzar sus metas empresariales.
En el caso que la administración piense que la gestión de riesgos no es eficaz, ello será una valiosa oportunidad de explorar aquellos factores que están frenando a la organización en el logro de sus objetivos y aportar las recomendaciones y el valor agregado que se espera de un auditor competente.
Frente a lo expuesto, resaltamos la importancia de la capacitación en temas de ciberseguridad, tanto para hacer un trabajo más eficaz, como para lograr un desarrollo personal y profesional en beneficio del auditor y de la profesión en conjunto.
Fuente: Auditool