Auditoría interna como asesor cibernético de confianza

El día de hoy deseo tratar la Edición 4, de la Guía de Percepciones y Perspectivas Globales del IIA Global, llamada Auditoría Interna Como Asesor Cibernético de Confianza.

La seguridad cibernética es un juego de minimización de daños. El objetivo es bloquear la mayor cantidad de ataques posibles y, en la instancia inevitable de que alguien traspase, encontrar a los atacantes antes de que lleguen a las “joyas de la corona”.

Esta no es una tarea únicamente para los expertos en seguridad cibernética. La seguridad cibernética debe considerarse de forma holística y sistémica, dado que los efectos del fracaso pueden ir desde la incapacidad de realizar transacciones básicas y la pérdida de propiedad intelectual hasta el daño a la reputación. No es solamente un riesgo tecnológico; es un riesgo para los negocios y, como tal, los auditores internos tienen que asumir un rol crucial. El éxito al hacerlo depende en gran medida del énfasis que pone el consejo de administración o el comité de auditoría en el tema, así como el enfoque que asume el Director de Auditoría Interna (DAI).

La seguridad cibernética ofrece una oportunidad significativa para que los DAI demuestren su posición como asesores de confianza, yendo más allá de simplemente asegurarse de que las auditorías de seguridad cibernética se realicen según el plan, y ofreciendo en su lugar un liderazgo de pensamiento estratégico y preventivo para la empresa. Esto implica determinar el riesgo e impacto de la seguridad cibernética en la estrategia y reputación de la empresa; lo que permite debates oportunos y significativos entre la dirección y los directores superiores; y aboga por la necesidad de un debido cuidado y administración de recursos de los mismos.

El DAI debe estar familiarizado con todas las rutas cibernéticas que entran a la organización y salen de esta, y asegurarse de que esas rutas reciben la consideración adecuada en todos los niveles de la organización en relación con sus necesidades, controles adecuados, impactos de riesgos y tolerancia de riesgos. El DAI debería estar concentrado en todo momento en prever y no solo prepararse reaccionar.

Si deseas leer el documento completo lo puedes hacer desde aquí.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!