Por qué las auditorías de ciberseguridad son esenciales para la gestión de riesgos


Descubra lo que podría arriesgar su empresa al no realizar auditorías de ciberseguridad.

Bloqueo de seguridad Seguridad de datos de red electrónica, protección de datos y tecnología electrónica, seguridad de red financiera

Imagen: Getty Images / iStockphoto

El escritor colaborador de TechRepublic, Lance Whitney, informó en diciembre de 2020 que la firma de seguridad McAfee estimó que el ciberdelito le costaría al mundo 1 billón de dólares el año pasado. Cuando se trata de ciberseguridad, es difícil mejorar algo si lo que ya existe es un misterio.

Steven Wertheim, presidente de SonMax Consultants, en su artículo de CPA Journal Auditoría de riesgos de ciberseguridad argumenta que la auditoría debería ser parte de todos los programas de defensa de la ciberseguridad. Antes de que Wertheim explique cómo puede ayudar la auditoría, analiza los problemas que podrían surgir cuando la auditoría no está en su lugar.

VER: Lista de verificación: evaluación de riesgos de seguridad (TechRepublic High quality)

Riesgos potenciales de ciberseguridad de no realizar una auditoría

Conocimiento inadecuado de los riesgosA Wertheim le preocupa que los responsables de la ciberseguridad de una empresa no conozcan el nivel de riesgo de ciberseguridad de la organización ni sepan dónde se almacenan los datos críticos relacionados con el negocio. Y, según Wertheim, «… si ellos (los auditores) no saben dónde residen los datos críticos, ¿cómo pueden medir e informar de manera efectiva sobre el riesgo del cliente, especialmente en el caso de las pequeñas y medianas empresas?»

Seguimiento inadecuadoWertheim cree que existe una falta basic de análisis y evaluación de riesgos debido a una falta de comprensión en las siguientes áreas:

  • Por qué las herramientas de ciberseguridad brindan soporte crítico

  • qué áreas de la infraestructura de datos representan el mayor riesgo para el negocio y

  • cómo mitigar los riesgos asociados.

Falta de pruebas: Si las organizaciones tienen un Program de respuesta a incidentes (IRP), es necesario asegurarse de que el programa refleje el entorno comercial genuine de la empresa, las responsabilidades, los requisitos reglamentarios y el personal. Wertheim sugiere: «Con demasiada frecuencia, las empresas terminan con múltiples puntos de falla dentro de sus planes al no probar sus planes de manera normal, las organizaciones no tienen forma de validar su eficacia o remediar sus debilidades».

VER: Política de respuesta a incidentes (TechRepublic Top quality)

Falta de soporte de terceros: La preocupación es que los empleados de la empresa conozcan el negocio y tomen atajos lógicos, mientras que los proveedores externos proporcionarán una visión imparcial del problema. «Sin embargo, las suposiciones casi nunca coinciden con la realidad, lo que agrava el impacto del incidente», escribe Wertheim. «El tercero no conoce el negocio y por lo tanto debe seguir la documentación y los procesos definidos».

Falta de participación de la auditoría: Como proponente de la auditoría, Wertheim cree firmemente que la única forma de desarrollar una imagen clara del riesgo es contratar una firma de auditoría independiente. «El factor humano sustenta gran parte del riesgo que permite los ciberataques y les permite tener éxito, y lo hace en ambos lados. Tanto los intrusos como los internos de la empresa cuyos errores permiten infracciones exitosas son humanos», sostiene Wertheim.

Que considerar con las soluciones de ciberseguridad

Vivir con la amenaza de los ciberataques es ahora una parte regular de hacer negocios. Wertheim no minimiza la importancia de las medidas de ciberseguridad más reconocidas, como las siguientes:

  • Un programa estructurado de respuesta a incidentes

  • garantías de que el equipo y el application están actualizados y que el parche se realiza de manera oportuna

  • la implementación de un sistema de monitoreo eficaz y activo y

  • un PIR que se audita periódicamente.

A continuación, Wertheim se centra en cómo una empresa de auditoría independiente puede mejorar notablemente la postura de ciberseguridad de una empresa.

Espere responder a esta pregunta: La pregunta más importante que un auditor debe hacer a los clientes es: ¿Dónde están sus datos más críticos? «Si la dirección no puede responder a esa pregunta de forma sencilla, es un problema», añade Wertheim.

Asegurar la dotación de recursos adecuada: Un equipo de respuesta a incidentes con el own adecuado debe tener partes interesadas y representantes de todas las partes del negocio. «Además, nunca debería haber un solo punto de falla en ningún aspecto de la respuesta a incidentes», aconseja Wertheim. «La única forma de lograr que las organizaciones comprendan el impacto de estos riesgos es brindar capacitación».

Actualizar la comprensión de los riesgos: La auditoría de riesgos no es un esfuerzo de una sola vez, debe ocurrir de manera frequent y enfocarse en identificar todos los riesgos y luego decidir cuáles son los más críticos. Un ejemplo ofrecido por Wertheim es el uso de contraseñas, que deberían ser reemplazadas por autenticación multifactor.

Realizar una auditoría física: No todos los ataques comienzan utilizando tácticas cibernéticas: garantizar que la planta física sea segura y que las personas estén capacitadas para mantener la seguridad física es tan importante como la ciberseguridad.

Obtenga el soporte adecuado de terceros: Esto es lo suficientemente importante como para que Wertheim lo mencione dos veces: primero como un mistake y ahora como un requisito de auditoría. «Establezca un acuerdo de retención con uno o más consultores forenses o de respuesta a incidentes», explica. «Tener una visión objetiva e independiente es un elemento crítico para desarrollar una imagen completa del incidente. Trabaje con el proveedor externo para realizar una auditoría de seguridad anual».

VER: Sea proactivo: 3 pasos de gestión de riesgos a seguir antes de un ciberataque (TechRepublic)

Pensamientos finales

Wertheim cree firmemente que la auditoría tiene un papel importante que desempeñar cuando se trata de proteger los activos digitales de una organización. Si uno piensa en ello, parece lógico saber qué está en marcha y qué no en cuanto a seguridad a través de la auditoría.

Ver también



Enlace a la noticia first