¿Cómo puede
un auditor interno convertirse en un asesor cibernético de confianza?
El Instituto de Auditores Internos Global establece en
la 4ta. Edición de su Guía Percepciones y Perspectiva Globales, que los
auditores internos para poder convertirse en asesores cibernéticos deben dar un
paso más allá en las siguientes áreas:
Concientización y prevención
1. Expandir las capacidades de auditoría de TI actuales para proporcionar
perspectivas proactivas y prácticas sobre seguridad cibernética.
2. Mantener un conocimiento operativo sólido de los próximos cambios en la
normativa, nuevos requisitos de cobertura de seguro, nuevas demandas colectivas
y otras tendencias.
3. Asegurarse de que los programas de auditoría consideres estas
tendencias.
4. Proporcionar asesoramiento estratégico a los líderes funcionales sobre
sus roles y responsabilidades cibernéticos.
5. Garantizar las competencias en seguridad cibernética para el DAI y el
personal por medio de programas eficaces de desarrollo profesional o gestión de
talentos.
6. Aprovechar estratégicamente la tercerización para asegurarse de que el
talento y la competencia adecuados están disponibles en la medida necesaria.
Gestión
de riesgos
7. Permanecer al corriente con la frecuencia y magnitud de los fallos en la
seguridad cibernética.
8. Comprender el impacto total de las amenazas cibernéticas en la
organización e integrarlo en el plan de auditoría.
9. Identificar de forma proactiva los riesgos emergentes de seguridad
cibernética.
10. Comprender la postura de riesgo de la organización para combatir las
amenazas cibernéticas.
11. Realizar una auditoría continua sobre los controles de la seguridad
cibernética de la dirección para evaluar la adecuación y eficacia.
12. Colaborar con el CIO o CISO para evaluar a los candidatos externos.
13. Contribuir con los perfiles de riesgo de los candidatos externos.
14. Asesorar sobre la compatibilidad de terceros con la estrategia o
filosofía de seguridad cibernética.
Aseguramiento
15. Proporcionar una revisión independiente de la estrategia de seguridad
cibernética antes de que se desarrollen las políticas y los procedimientos.
16. Ser parte de los equipos de implementación de proyectos tecnológicos
para asegurarse de que se están abordando e integrando los riesgos
cibernéticos, en lugar de agregarlos más adelante.
17. Realizar una evaluación comparativa y probar la adecuación y eficacia de
las políticas y los procedimientos en comparación con los marcos
correspondientes.
18. Evaluar los resultados de la formación y la retención de los
conocimientos.
19. Proporcionar perspectivas sobre cómo alinear la formación con la
estrategia de seguridad cibernética.
20. Aprovechar las capacidades de auditoría interna con resistencia
existente en la primera y segunda líneas de defensa sin dejar de mantener la
objetividad.
21. Liderar los esfuerzos colaborativos de seguridad cibernética en las tres
líneas de defensa.
22. Proporcionar perspectivas sobre la coordinación de planes y la
alineación con la estrategia de la empresa.
23. Según corresponda, prepararse para que el personal de auditoría interna
pueda intervenir y ayudar cuando sea necesario durante una crisis.
24. Involucrar a la dirección y al comité de auditoría o el consejo de
administración en los debates sobre el futuro, ayudándolos a considerar las
vulnerabilidades cibernéticas que enfrenta la organización.
25. Facilitar o asesorar sobre un proceso para establecer el grado de
aceptación de riesgos de seguridad cibernética de la organización.
¿Te ha gustado la información? ¡Compártela con
otro auditor interno!
No hay comentarios:
Publicar un comentario