El rol de la auditoría interna en el ámbito de ciberseguridad

En esta nueva era de ciber transparencia, la función de auditoría interna adquiere un papel crucial al prever la manera de proporcionar evaluaciones independientes sobre la capacidad de la empresa para realizar divulgaciones de manera adecuada. 

  • La dirección tiene la facultad de implementar modificaciones o incorporar nuevos procedimientos y controles con el fin de cumplir con los recientes requisitos de divulgación cibernética establecidos por Comisión del Mercado de Valores, (SEC por sus siglas en Inglés)

  • La auditoría interna debe anticipar la forma de evaluar los controles establecidos, los cuales pueden ser intrínsecamente complejos desde el punto de vista técnico y necesitar la participación de expertos en ciberseguridad para su verificación.

  • En ocasiones, la dirección puede carecer de los controles necesarios. En tales situaciones, la auditoría interna debe determinar la mejor manera de colaborar con los trabajadores pertenecientes a la primera y segunda línea para facilitar la implementación de dichos controles.

  • Dada la limitada ventana de oportunidad para instaurar nuevos procedimientos y cumplir con la notificación de incidentes cibernéticos relevantes según las pautas y plazos establecidos por la normativa reciente, la auditoría interna debe comprometerse con un enfoque ágil y acelerado.

El 26 de julio de 2023, la SEC publicó su normativa final sobre la gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes.

Esta nueva normativa impone a las empresas la obligación de proporcionar a los inversores información actualizada, coherente y útil para la toma de decisiones sobre la gestión de sus riesgos cibernéticos. En los informes anuales 10-K, todas las empresas registradas en la SEC según la Ley del Mercado de Valores de 1934 deben describir los procesos para la evaluación, identificación y gestión de los riesgos materiales asociados con las amenazas a la ciberseguridad. Además, la normativa requiere la divulgación del papel de la dirección en la evaluación y gestión de estos riesgos, así como la supervisión por parte del consejo de administración de los riesgos derivados de las amenazas a la ciberseguridad.

Asimismo, establece un calendario específico que exige la divulgación de incidentes materiales de ciberseguridad en el formulario 8-K en un plazo de cuatro días hábiles a partir de la determinación de que un incidente es de carácter material.

Descubre en nuestro último estudio Global de Auditoría Interna 2023 de PwC Colombia de qué manera la Auditoría Interna puede contribuir a la respuesta ante el riesgo

¿Cuál es el papel principal de la auditoría interna con respecto a la norma de divulgación cibernética de la SEC?

Los consejos de administración y los comités de auditoría buscarán la asesoría de la función de auditoría interna para obtener una evaluación independiente sobre la solidez y adecuación de las estrategias y programas de mitigación del riesgo cibernético de la empresa. Además, se busca determinar la preparación de la organización para cumplir con los nuevos requisitos de divulgación.

En este contexto, el papel estratégico de la auditoría interna adquiere una importancia sin precedentes, ya que los consejos de administración buscan asegurarse de la posición de las organizaciones en materia cibernética y proporcionar a los inversores información coherente y útil para la toma de decisiones. 

En la actualidad, muchas empresas no están debidamente preparadas para revelar información sobre sus procesos de evaluación, identificación y gestión de los riesgos materiales de ciberamenazas, conforme a lo exigido por la nueva normativa. Es probable que la dirección sienta la necesidad de reevaluar los procesos subyacentes a las divulgaciones requeridas, dado que la información será comunicada públicamente a los inversores.

¿Qué debe hacer la función de auditoría interna?

La auditoría interna puede ofrecer una evaluación independiente sobre la capacidad de la empresa para cumplir con las normativas de divulgación cibernética de la SEC mediante la implementación de estos tres pasos: 

1. Realizar una evaluación del estado actual de los procesos y controles de gestión de riesgos e incidentes cibernéticos

El riesgo cibernético ha mantenido históricamente una posición destacada y ha sido motivo de preocupación en las evaluaciones de riesgo de la auditoría interna a lo largo de la última década. Es probable que el plan de auditoría de la empresa haya abordado algunas de estas áreas que están estrechamente vinculadas a los nuevos requisitos de información. No obstante, podría resultar crucial realizar una evaluación independiente y holística para determinar la preparación tanto desde la perspectiva de los colaboradores de la primera y segunda línea. A continuación, se presentan algunos aspectos que merecen consideración:

Gobierno cibernético

Gestión de la divulgación, información al consejo y supervisión.

Gestión del riesgo cibernético

Evaluación de riesgos cibernéticos y modelización de escenarios de amenazas; Indicadores Clave de Riesgo (KRI, por sus siglas en inglés); marcos de riesgo y control cibernéticos respaldados por fuentes autorizadas y otras fuentes; evaluación de la madurez de la capacidad del programa cibernético.

Notificación de incidentes cibernéticos

Evaluación de procesos y controles, madurez en áreas críticas de gestión de respuesta a incidentes, Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) e información de Incidentes de Seguridad y Gestión de Eventos (SIEM, por sus siglas en inglés).

La reciente normativa de divulgación cibernética de la SEC demanda una mayor comunicación y sinergia entre los equipos de tecnología y seguridad, finanzas, asesoría jurídica y gestión del riesgo. Por lo tanto, la auditoría interna debe coordinarse estrechamente con este equipo interdisciplinario durante las evaluaciones.

Con la evolución de los riesgos cibernéticos, las áreas de exposición comunes en relación con la información financiera han llevado a los auditores a examinar más detenidamente el posible impacto de estos en los estados financieros. Ejemplos de estas áreas de exposición común incluyen la detección de intrusiones, la copia de seguridad y restauración de datos, la gestión de proveedores y el procesamiento de transferencias.

Te puede interesar: Con ciberseguridad, hay resiliencia

2. Entender cómo planea la dirección cumplir con la divulgación cibernética

Cada componente de la normativa de la SEC requiere una aplicación demostrable de capacidades y controles cibernéticos. Esto es esencial para que la dirección proporcione información de calidad en las divulgaciones 10-K y 8-K dirigidas a los inversores.

La auditoría interna está posicionada para anticipar dónde podría ofrecer aportes estratégicos, ya sea en términos de asesoramiento o garantía. Los líderes de auditoría pueden adaptar su enfoque según el tamaño de la empresa, la madurez actual de su programa cibernético y los esfuerzos en curso en este ámbito.

Un aspecto crítico que la auditoría interna debe abordar es la comprensión de las consideraciones de materialidad. Las evaluaciones de materialidad son prioritarias para todas las organizaciones, y el proceso de evaluación, incluida la persona responsable de la determinación final, debe confirmarse en todas las empresas. Un requisito esencial para realizar juicios de materialidad es la documentación contemporánea de los hechos relacionados con un incidente cibernético. La auditoría interna debe comprender cómo la dirección tiene previsto llevar a cabo esta documentación y formar una opinión independiente sobre la suficiencia de la misma.

Otro aspecto a tener en cuenta es la participación en simulacros. Las perspectivas independientes de la auditoría interna y las lecciones aprendidas a través de ejercicios de simulación pueden ser invaluables para mejorar la colaboración y los procesos de las partes interesadas.

Te puede interesar: La ciberseguridad efectiva se lidera desde el nivel superior

3. Actualizar el plan de auditoría interna y sus controles basándose en el plan de cumplimiento

Revisar el plan de auditoría

Es importante incorporar auditorías para evaluar de forma independiente el diseño y la eficacia operativa de los procesos y controles nuevos o mejorados que haya implantado la dirección. Además, hay que considerar la posibilidad de evaluar la capacidad de la dirección para reaccionar con prontitud ante los acontecimientos, escalar las respuestas y proporcionar información en función de los incidentes que puedan considerarse materiales.

Verificar el registro de riesgos

Si existen problemas de auditoría no subsanados relativos a las áreas descritas en el marco anterior, hay que comprometerse con las partes interesadas pertinentes para ayudar a facilitar el desarrollo y la ejecución de los planes de subsanación de la dirección.

Comprometerse con los colaboradores de la segunda línea

Entender las actividades que se están llevando a cabo para redactar las divulgaciones sobre la postura de la gestión de riesgos de ciberseguridad y la calidad de la información que se utilizará.

Complementar las primeras divulgaciones cibernéticas conforme a las nuevas normas

Es esencial incorporar los conocimientos obtenidos a partir de los comentarios de los inversores sobre las divulgaciones cibernéticas, así como compararlas con las divulgaciones de empresas similares.

Las organizaciones que no cumplan con la nueva normativa podrían enfrentar graves consecuencias, como indican las recientes medidas coercitivas de la SEC. La Comisión ha impuesto sanciones significativas a empresas que no han revelado adecuadamente las infracciones o lo han hecho fuera del plazo establecido. Estas medidas coercitivas se han enfocado en dos áreas principales: en primer lugar, asegurarse de que las organizaciones cuenten con las divulgaciones apropiadas conforme a los requisitos; y en segundo lugar, garantizar que dispongan de controles y procedimientos para identificar los elementos necesarios para determinar la necesidad de realizar divulgaciones.

Al integrarse con el equipo multifuncional encargado del cumplimiento de la nueva normativa de la SEC en la empresa, la auditoría interna puede desempeñar un papel como asesor independiente. Esto se logra supervisando todos los aspectos de los requisitos de divulgación y las diversas partes interesadas para confirmar la preparación y la capacidad de respuesta de la empresa.

Este artículo está basado en el artículo “Cybersecurity disclosures and the role of internal audit” de PwC US. Esta versión es organizada y revisada por PwC Colombia.

En PwC te ayudamos a tener una visión integral de tu panorama de riesgos para que puedas actuar con audacia y determinación. Conoce nuestros servicios de

Servicios de Control Interno

En PwC Colombia ayudamos a las empresas a auditar, diseñar arquitectura de sistemas y entrenar al personal en materia de seguridad, garantizando la misma en sistemas de información y operación. Conoce nuestros servicios de

Ciberseguridad y Privacidad

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
Síguenos PwC Colombia