El riesgo de ciberseguridad es uno de los que más preocupan a las organizaciones independientemente de su actividad, tamaño o sector, y una de las principales amenazas a gestionar por las empresas e instituciones.
Según el barómetro mensual que realiza el Instituto de Auditores Internos de España (IAI) entre auditores internos de las organizaciones más importantes del país y de todos los sectores económicos, 8 de cada 10 señalan estar preparadas para mitigar este riesgo.
La ciberseguridad es un riesgo transversal en cualquier organización y con presencia continua debido a los procesos de digitalización de las organizaciones, la robotización, el Big Data y la ciberdelincuencia, entre otros factores.
La ciberseguridad requiere que en las empresas exista una estructura de gobierno dedicada a ese riesgo y una serie de políticas y procedimientos para la prevención, gestión y mitigación de los riesgos que llegarán a materializarse.
Según la última oleada del barómetro del IAI el 81% de las organizaciones que operan en España considera que se encuentra en un nivel de madurez medio o alto para mitigar el riesgo de ciberseguridad. Sin embargo, aún el 20% del total no cuenta con procedimientos o protocolos de gestión, respuesta y recuperación ante incidentes de ciberseguridad.
La Norma 2120.A1 sobre Gestión de Riesgos, perteneciente al conjunto de Normas Internacionales para la Práctica Profesional de la Auditoría Interna, indica que “la actividad de Auditoría Interna debe evaluar las exposiciones a riesgo referidas a gobierno, operaciones, y sistemas de información de la organización, con relación a lo siguiente: logro de los objetivos estratégicos de la organización; fiabilidad e integridad de la información financiera y operativa; eficacia y eficiencia de las operaciones y programas; protección de activos; y cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos”.
En este sentido, cerca de 7 de cada 10 organizaciones señalan que su plan anual de Auditoría Interna contempla revisiones del gobierno de ciberseguridad.
“Las amenazas derivadas de la ciberseguridad incluyen desde fraudes económicos hasta sabotaje de infraestructuras, pasando por el robo de información. Pueden provocar graves perjuicios para la organización, muy difíciles de subsanar. Para evitarlos, limitar sus efectos o enmendar los daños es importante que las compañías analicen la exposición a estos riesgos e implanten una estrategia adecuada”, destaca Javier Faleato, director general del IAI.
Auditoría Interna debe evaluar, al menos, los siguientes aspectos:
- Si el gobierno de la ciberseguridad está alineado y apoya los objetivos y estrategias de la organización.
- Si existen políticas y procedimientos para la prevención y control de los riesgos de ciberseguridad y se están llevando a cabo.
- Y si existen políticas y procedimientos de gestión, respuesta y recuperación ante incidentes de seguridad y funcionan, en caso de que tuvieran que activarse.
El Instituto de Auditores Internos cuenta con el documento Ciberseguridad. Una guía de supervisión, editado por su laboratorio de ideas, LA FÁBRICA DE PENSAMIENTO, que establece buenas prácticas a realizar en esta materia y que incluye 20 controles críticos de seguridad a implementar, y el papel de Auditoría Interna en su revisión.