lunes, 24 de abril de 2017
¿Cómo puede un auditor interno convertirse en un asesor cibernético de confianza?
El Instituto de Auditores Internos Global establece en la 4ta. Edición de su Guía Percepciones y Perspectiva Globales, que los auditores internos para poder convertirse en asesores cibernéticos deben dar un paso más allá en las siguientes áreas:
Concientización y prevención
- Expandir las capacidades de auditoría de TI actuales para proporcionar perspectivas proactivas y prácticas sobre seguridad cibernética.
- Mantener un conocimiento operativo sólido de los próximos cambios en la normativa, nuevos requisitos de cobertura de seguro, nuevas demandas colectivas y otras tendencias.
- Asegurarse de que los programas de auditoría consideres estas tendencias.
- Proporcionar asesoramiento estratégico a los líderes funcionales sobre sus roles y responsabilidades cibernéticos.
- Garantizar las competencias en seguridad cibernética para el DAI y el personal por medio de programas eficaces de desarrollo profesional o gestión de talentos.
- Aprovechar estratégicamente la tercerización para asegurarse de que el talento y la competencia adecuados están disponibles en la medida necesaria.
Gestión de riesgos
- Permanecer al corriente con la frecuencia y magnitud de los fallos en la seguridad cibernética.
- Comprender el impacto total de las amenazas cibernéticas en la organización e integrarlo en el plan de auditoría.
- Identificar de forma proactiva los riesgos emergentes de seguridad cibernética.
- Comprender la postura de riesgo de la organización para combatir las amenazas cibernéticas.
- Realizar una auditoría continua sobre los controles de la seguridad cibernética de la dirección para evaluar la adecuación y eficacia.
- Colaborar con el CIO o CISO para evaluar a los candidatos externos.
- Contribuir con los perfiles de riesgo de los candidatos externos.
- Asesorar sobre la compatibilidad de terceros con la estrategia o filosofía de seguridad cibernética.
Aseguramiento
- Proporcionar una revisión independiente de la estrategia de seguridad cibernética antes de que se desarrollen las políticas y los procedimientos.
- Ser parte de los equipos de implementación de proyectos tecnológicos para asegurarse de que se están abordando e integrando los riesgos cibernéticos, en lugar de agregarlos más adelante.
- Realizar una evaluación comparativa y probar la adecuación y eficacia de las políticas y los procedimientos en comparación con los marcos correspondientes.
- Evaluar los resultados de la formación y la retención de los conocimientos.
- Proporcionar perspectivas sobre cómo alinear la formación con la estrategia de seguridad cibernética.
- Aprovechar las capacidades de auditoría interna con resistencia existente en la primera y segunda líneas de defensa sin dejar de mantener la objetividad.
- Liderar los esfuerzos colaborativos de seguridad cibernética en las tres líneas de defensa.
- Proporcionar perspectivas sobre la coordinación de planes y la alineación con la estrategia de la empresa.
- Según corresponda, prepararse para que el personal de auditoría interna pueda intervenir y ayudar cuando sea necesario durante una crisis.
- Involucrar a la dirección y al comité de auditoría o el consejo de administración en los debates sobre el futuro, ayudándolos a considerar las vulnerabilidades cibernéticas que enfrenta la organización.
- Facilitar o asesorar sobre un proceso para establecer el grado de aceptación de riesgos de seguridad cibernética de la organización.
Blog:
Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE
AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA
Anuncios