En la actualidad, la ciberseguridad es uno de los temas principales para las compañías, ya que cualquiera puede ser víctima de un ataque cuyos costos asciendan a grandes cifras. Por lo tanto, tomar las medidas necesarias para minimizar el riesgo cibernético es esencial. Estos son algunos consejos que extienden los auditores a las empresas para tener en cuenta:

Elaboración propia

Redacción INCP a partir de artículo publicado por Auditool

Para más información consulte el artículo titulado “Medidas de ciberseguridad que todo auditor debe verificar” publicado por Auditool.

Medidas de ciberseguridad que todo auditor debe verificar

La ciberseguridad se ha constituido en una de las mayores preocupaciones de las empresas, puesto que casi cualquier compañía puede ser vulnerable a un ciberataque y los costos potenciales son altos. Es así que cada empresa necesita adoptar una postura proactiva y crear un plan para minimizar el riesgo cibernético y de esta manera mitigar el riesgo y evitar pérdidas.

Algunas medidas que pueden sugerir los auditores, para que sean consideradas por las compañías para fortalecer su esquema de ciberseguridad son las siguientes:

Responsabilidad y capacitación

Si bien la seguridad es responsabilidad de todos, la gestión de riesgos debe asignarse a un empleado en particular. En un esquema maduro de ciberseguridad está definido quien es el responsable de administrar los riesgos cibernéticos de manera continua y la presentación de informes a las instancias respectivas.

De otra parte, los empleados deben tener clara su postura frente a la seguridad cibernética. Si los usuarios no se toman en serio la seguridad, entonces las medidas de seguridad empresarial serán deficientes. Es conveniente entonces capacitar a los empleados en cuanto a las medidas de protección adecuadas y mantenerlos actualizados sobre el tema.

Cultura del riesgo

La compañía, en su gestión de ciberseguridad, debe poseer una cultura de riesgo bien desarrollada, lo que permite a todos los empleados tener claridad sobre los riesgos a los que se enfrentan y los alienta a alinear los riesgos con los objetivos estratégicos. Si no existe una fuerte cultura de riesgo, las decisiones adoptadas podrían interferir con los objetivos estratégicos, tácticos y operativos.

Actualización de equipos y programas

Los equipos y programas deben estar debidamente actualizados. Esto aplica para servidores, almacenamiento, estaciones de trabajo y otros dispositivos de red. No exclusivamente para los computadores portátiles o de escritorio. Hay muchos otros equipos, por ejemplo, en las líneas de producción o en los sistemas de vigilancia. Los programas y sistemas operativos deben contar con las últimas actualizaciones y parches. Los equipos deben ser compatibles y encontrarse en buen estado para garantizar un buen funcionamiento.

Adecuada gestión de datos

La información es vital para las empresas. Uno de los elementos más críticos en el tema de ciberseguridad son las copias de seguridad fiables y frecuentes de los datos críticos. Hay todo un conjunto de medidas respecto del almacenamiento de copias de seguridad, desde su ubicación fuera de las oficinas y preferiblemente en la nube para mayor seguridad y redundancia. Además, deben ser inaccesibles desde la red de la empresa.

Los datos de trabajo deben poderse consultar de una manera ágil y segura. La información confidencial debe estar debidamente protegida y su acceso debe ser limitado y controlado. Así mismo, hay que garantizar la calidad de la información almacenada

La empresa debe contar con medidas seguras de identificación de los usuarios de los programas, aplicativos y archivos. Filtros, contraseñas e identidades digitales son recursos que mitigan el riesgo de acceso a la información de personas no autorizadas.

Plan de recuperación

Aunque muchas empresas hoy día cuentan con plan de recuperación, es probable que no lo hayan probado en escenarios críticos pero posibles. Por ejemplo, simular el caso de un ataque ransomware o secuestro de datos que implique la restauración de una copia de seguridad sin conexión es una buena prueba. (en general las pruebas que impliquen restaurar copias de seguridad son buenas). Probar el funcionamiento de centros de respaldo también es útil.

Sitios de internet similares

Un tema que a veces se pasa por alto es la existencia de sitios de internet con nombres parecidos a los de la compañía, en los que se pretende efectuar suplantación y fraude. Si se aprecia que hay diversos sitios web con direcciones similares, esto puede indicar un problema de phishing o suplantación que puede afectar la reputación de la compañía, por lo que es conveniente efectuar un monitoreo regular y acudir a las autoridades pertinentes, según el caso.

Si bien las anteriores medidas no son exhaustivas, su aplicación contribuye a fortalecer el sistema de control interno y a mejorar el esquema de ciberseguridad. El auditor debe estar atento a su existencia o a efectuar las recomendaciones del caso, según corresponda.

Fuente: Auditool