Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Los ejecutivos de auditoría se preocupan cada vez más por los riesgos cibernéticos

  • Seguridad

Protección datos seguridad

Estudios recientes indican que los ejecutivos de las empresas de auditoría están cada vez más preocupados por los riesgos relacionados con los datos y por las ciberamenazas. De cara a 2020 se espera que la mayor complejidad de las organizaciones genere mayores riesgos en materia de gestión y protección de datos, por lo que los expertos recomiendan atajar estos problemas lo antes posible.

Según el informe anual de puntos críticos del Plan de auditoría de Gartner, las organizaciones dedicadas a la auditoría se están enfrentando a un volumen cada vez mayor de datos de sus clientes. Y también a una mayor complejidad tecnológica y organizativa en los procesos de auditoría de las empresas digitalizadas, lo que está generando riesgos cada vez mayores en lo que se refiere a la gestión y la protección de los datos.

Este estudio de Gartner señala que los directores ejecutivos de auditoría (CAE) se sienten cada vez más preocupados por la gobernanza y la protección de la ingente y creciente cantidad de datos que manejan. En el ranking de riesgos, estos ejecutivos sitúan en primer lugar el gobierno de los datos, que el año pasado se encontraba en segunda posición, y ha reemplazado a las preocupaciones sobre la preparación en materia de seguridad cibernética.

Este cambio se debe, según Gartner, a que las empresas se enfrentan a una mayor presión regulatoria, no solo por la propia existencia de nuevas leyes más restrictivas, sino porque s están incrementando las inspecciones. Y también tiene mucho que ver con la mayor complejidad que supone la gestión de ecosistemas de datos con una mayor base de información de terceros, y también por las crecientes amenazas cibernéticas, que ponen en riesgo la seguridad y la privacidad de los datos.

En palabras de Malcolm Murray, vicepresidente de la práctica de auditoría de Gartner, “A pesar de la importancia estratégica de los datos, las organizaciones han tardado en adoptar marcos de gobernanza de datos, poniéndolos en riesgo de grandes multas, de mala toma de decisiones estratégicas y de mala asignación de recursos críticos. Las fallas en la gestión de datos han provocado un escrutinio público y regulador, lo que ha llevado a una mayor carga reguladora y presión sobre las organizaciones y su uso de datos”.

La investigación de Gartner destaca que los tres principales riesgos que los ejecutivos de auditoría deberán enfrentar en 2020 son:

Gobierno de datos

Casi el 80% de los ejecutivos coincide en que las empresas pueden perder ventaja competitiva si no son capaces de trabajar con los datos de forma efectiva. En este sentido, un 49% de los entrevistados opina que los datos pueden usarse para reducir los gastos e impulsar la innovación, pero más de la mitad de las organizaciones encuestadas no tienen un marco de gobierno de datos ni un presupuesto dedicado a esta cuestión.

En opinión de los expertos, a medida que los CAE auditan sus prácticas de gestión de datos, los equipos de auditoría deben prestar más atención a los controles de seguridad de los activos de datos, los planes de mitigación de datos y las copias de seguridad de sus activos más críticos. Y afirman que para garantizar el cumplimiento con normativas como la europea GDPR, también deben revisar atentamente sus controles y reglas sobre la recopilación y la retención, garantizando que existen políticas de eliminación de datos.

Ecosistemas de terceros

Las cifras de Gartner muestran que el 53% de los líderes de auditoría afirman tener una mayor dependencia de terceras partes e, incluso, de cuartas y quintas partes. Y, a pesar de que cuentan con un amplio acceso a estas fuentes externas de datos comerciales, las organizaciones se encuentran en diferente posición a la hora de administrarlos. Y, en este contexto, solo el 53% de las empresas tiene una estrategia para reducir los riesgos, y solo un 28% se encarga de monitorizar continuamente estas terceras partes. Por ello, la supervisión continua y las disposiciones del contrato de derecho a auditar la información pueden contribuir a garantizar que las terceras partes puedan cumplir los protocolos de uso y comportamiento de la organización de auditoría.

Vulnerabilidades cibernéticas

Frente a la creciente sofisticación de las organizaciones cibercriminales, que utilizan herramientas cada vez más complejas, disponibles y de menor costo, los analistas de Gartner recomiendan a las organizaciones de auditoría que se blinden para proteger los importantes activos de datos que manejan. Pero este camino no es fácil, sobre todo ante la gran avalancha de datos que enfrentan, y a que en general no cuentan con un presupuesto adecuado a estas exigencias, ni con los suficientes profesionales cualificados en materia de ciberseguridad.

Por ello, Gartner afirma que sin un incremento sustancial del presupuesto no se podrá contar con la infraestructura ji el personal de seguridad que permita a las organizaciones hacer frente a las crecientes ciberamenazas que llegarán a partir del año que viene. Y, como mínimo, recomiendan a las organizaciones que cuenten con las herramientas fundamentales para garantizar una seguridad mínima. Entre ellas los controles de acceso privilegiado en activos sensibles y en la identificación de vulnerabilidades maduras.

Además, es importante evaluar adecuadamente las habilidades de seguridad cibernética de los trabajadores y las políticas de administración de acceso existentes. Pero no solo eso, sino también los mecanismos generales que se aplican en la seguridad de la red y los activos de tecnología operativa con que cuenta la organización, y que pueden ser susceptibles de sufrir ataques o ser el origen de vulnerabilidades. Por último, Gartner incide en que las organizaciones deben garantizar que tienen un plan adecuado de respuesta ante los ataques ciberfísicos, aquellos que pretenden tomar el control de las infraestructuras físicas de la organización.

De cara a afrontar estos riesgos de una forma efectiva, Leslee McKnight, directora de investigación en la práctica de auditoría de Gartner, dijo que “La gestión de riesgos es crítica para identificar, mitigar y responder a posibles interrupciones. Las organizaciones que no trabajan continuamente para fortalecer sus prácticas de gestión de riesgos y resiliencia obstaculizan sus capacidades para recuperarse y restablecerse de las inevitables interrupciones del negocio”.

Otros riesgos que los CAE están detectando están vinculados a la mayor complejidad de las organizaciones, algo que amplía las posibilidades de exposición de los datos a diferentes tipos de amenazas, y que además complica seriamente su gestión. La transformación digital, en sí misma, también es percibida como un factor de riesgo, ya que la introducción de cambios muchas veces pasa por tener un control más difuso de los activos digitales, a medida que se implementan nuevos sistemas y tecnologías digitales. Por otro lado, los expertos señalan que la volatilidad geopolítica y el endurecimiento de las regulaciones de protección de datos generan importantes riesgos en materia de cumplimiento normativo, algo que los ejecutivos de auditoría deben tener muy en cuenta en su actividad.