La tecnología de virtualización, la movilización y la nube han creado nuevos puntos de entrada en las empresas, lo que les deja vulnerables a los ataques cibernéticos encubiertas. Los ejecutivos de muchas organizaciones dicen que es una lucha para contener las amenazas, y casi imposible impedirlos.

Brecha entre los que la seguridad es y donde tiene que estar

Hemos entrevistado a más de 1.800 ejecutivos de seguridad de la información de la Encuesta de Seguridad de la Información Global 2012, y el 77% de ellos indicaron un aumento de las amenazas externas. A pesar de las mejoras de las empresas han hecho, existe una brecha entre los que la seguridad es y donde tiene que estar. Los consejos de administración están empezando a tomar nota, en particular, los miembros del comité de auditoría, que lista ciberseguridad entre sus principales preocupaciones.

Casos de alto perfil, como el presunto ataque iraní contra los bancos de Estados Unidos y un resurgimiento de los ataques a las empresas estadounidenses de los hackers chinos han cambiado la conversación de TI a la seguridad cibernética.

Ciberseguridad no es sólo una cuestión de tecnología, sino de un riesgo comercial que requiere una respuesta de toda la empresa. Sin embargo, sólo el 38% de los ejecutivos que respondieron a la encuesta reciente dijo que alinear su estrategia de seguridad de la información con el apetito de riesgo de la organización y tolerancia al riesgo.

Las consecuencias potenciales

Al igual que la tecnología en sí misma, las consecuencias financieras de un ataque cibernético a menudo no se comprenden bien. El robo de los fondos y la propiedad intelectual no es el único riesgo. Hay costos asociados a la pérdida de beneficios y de negocios, así como los gastos relacionados con la reparación.

El incumplimiento podría llegar a afectar a los resultados financieros, en última instancia, la reducción de las ganancias por acción y el valor total de mercado de la compañía.

Lo que encontramos

La mayoría de los miembros del comité de auditoría son financieramente inteligente, pero pueden carecer de un conocimiento profundo de las cuestiones tecnológicas. Pueden depender en gran medida de los oficiales de tecnología dentro de la empresa para darles perspectivas sobre la gestión de riesgos de TI, pero sólo el 54% analiza seguridad de la información en la sala de juntas trimestrales o con mayor frecuencia.

Las empresas quieren aumentar la flexibilidad operacional, y el 59% de los que respondieron a la encuesta dijeron que se han trasladado a la nube o tienen previsto hacerlo. Sin embargo, el 38% de quienes se trasladan a la nube indica que no han hecho nada para mitigar los riesgos potenciales inherentes a la nube, como los riesgos legales, regulatorios y de cumplimiento sobre la privacidad de datos.

Las organizaciones deben ir más allá de la protección del perímetro, centrándose en la protección de los datos en sí. Tomará dinero y recursos para capacitar a los empleados para mantener la información segura. Sin embargo, sólo el 22% de los encuestados dijeron que planean gastar más en seguridad cibernética en los próximos 12 meses.

¿Qué papel debe desempeñar el comité de auditoría?

El directorio de la empresa debe establecer el tono para reforzar la seguridad y determinar si el régimen de pensión completa o de una comisión deben tener la responsabilidad de supervisión. En algunos casos, un comité, el comité ejecutivo / riesgo operativo o el comité de auditoría tendrán la carga de la supervisión.

Algunos comités de auditoría pueden necesitar más información sobre los procesos de la empresa, y deben aprovechar esa información para entender lo que es necesaria la supervisión. Ellos deben entender si la administración tiene la gente adecuada y procesos existentes.

El plan de acción del comité de auditoría dependerá del nivel de madurez en la gestión de los riesgos de seguridad de la compañía. Se puede requerir más tiempo y atención en los sectores donde estos riesgos y el potencial de daños es más elevado, tales como las instituciones de servicios financieros.

Dependiendo de las circunstancias, algunos consejos de administración lo desea, puede considerar la posibilidad de que alguien con un profundo conocimiento de los problemas de TI en la junta o el comité de auditoría.

Los comités de auditoría deben informarse sobre el estado de los programas específicos de seguridad y luego pedir referencias. También deben pedir una explicación de las medidas que están en marcha para prevenir o detectar ataques.


Tomado de:  ey.com