A medida que continúa una oleada incesante de ciberataques, las organizaciones están bajo la intensa presión de los principales interesados y reguladores para implementar y mejorar sus programas de seguridad cibernética para proteger a los clientes, empleados y la valiosa información que poseen. Según investigaciones de IBM Security y el Ponemon Institute, el costo total promedio por empresa, por evento de una violación de datos es de US $3,62 millones.1 Las estimaciones de daños iniciales de una única infracción, aunque a menudo asombrosas, pueden no tener en cuenta menos obvio y a menudo amenazas indetectables como robo de propiedad intelectual, espionaje, destrucción de datos, ataques a operaciones centrales o intentos de deshabilitar infraestructura crítica. Estos efectos pueden durar años y tener devastadoras ramificaciones financieras, operacionales y de marca.
Dadas las amplias presiones regulatorias para reforzar los controles de seguridad cibernética y la visibilidad del ciberriesgo, en los últimos años varios órganos de gobierno han introducido en los Estados Unidos una serie de regulaciones propuestas centradas en mejorar los programas de gestión del riesgo de seguridad cibernética en los Estados Unidos. Una de las más destacadas es una regulación emitida recientemente por el Departamento de Servicios Financieros de Nueva York (NYDFS) que prescribe ciertos estándares mínimos de ciberseguridad para aquellas entidades reguladas por el NYDFS. Con base en la evaluación de riesgos de la entidad, la ley NYDFS tiene requisitos específicos sobre cifrado de datos, protección y retención, seguridad de la información de terceros, seguridad de la aplicación, respuesta a incidentes y notificación de incumplimiento, informes de la junta y certificaciones anuales.
Sin embargo, las organizaciones continúan teniendo dificultades para informar sobre la eficacia general de sus programas de gestión de riesgos de seguridad cibernética. El Instituto Estadounidense de Contadores Públicos Autorizados (AICPA) publicó un nuevo marco de informes de gestión de riesgos de seguridad cibernética2 destinado a ayudar a las organizaciones a expandir los informes de riesgos cibernéticos a una amplia gama de usuarios internos y externos, incluidos el C-suite y la junta directiva (BoD). El nuevo marco de informes de la AICPA está diseñado para abordar la necesidad de una mayor transparencia de las partes interesadas al proporcionar información detallada y fácil de consumir sobre el programa de gestión de ciberriesgos de una organización. El examen de administración de riesgos de seguridad cibernética utiliza un enfoque de informes objetivos e independientes y emplea criterios más amplios y más flexibles. Por ejemplo, permite la selección y utilización de cualquier marco de control considerado adecuado y disponible para establecer los objetivos de seguridad cibernética de la entidad y desarrollar y mantener controles dentro del programa de gestión de riesgos de seguridad cibernética de la entidad, ya sea el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) marco de seguridad cibernética, la Organización Internacional de Normalización (ISO) ISO 27001/2 y marcos relacionados, o marcos desarrollados internamente basados en una combinación de fuentes. El examen es voluntario y se aplica a todos los tipos de entidades, pero debe considerarse una práctica líder que proporciona a los ejecutivos, juntas directivas y otras partes interesadas clave una visión clara del programa de seguridad cibernética de una organización e identifica vacíos o dificultades que dejan a las organizaciones vulnerables.
¿Quién puede beneficiarse de un informe de examen de gestión de riesgos de seguridad cibernética? Tal informe puede ser vital para ayudar a la BoD de una organización a supervisar adecuadamente el programa de riesgo de seguridad cibernética de una compañía y comunicar de manera creíble su efectividad a los interesados, incluidos inversores, analistas, clientes, socios comerciales y reguladores (figura 1). Al aprovechar esta información, los consejos pueden desafiar las afirmaciones de la administración sobre la efectividad de sus programas de gestión del ciberriesgo e impulsar una toma de decisiones más efectiva. La participación activa y la supervisión de BoD pueden ayudar a garantizar que una organización esté prestando la atención adecuada a la gestión del ciberriesgo. La junta puede ayudar a dar forma a las expectativas para informar sobre las amenazas cibernéticas, al tiempo que aboga por una mayor transparencia y seguridad en torno a la eficacia del programa.
Las organizaciones que eligen utilizar el marco de informe de certificación de seguridad cibernética del AICPA y realizan un examen de su programa de seguridad cibernética pueden estar mejor posicionadas para obtener una ventaja competitiva y mejorar su marca en el mercado. Por ejemplo, un proveedor de servicios de externalización (OSP) que puede proporcionar evidencia de que un programa de gestión de riesgos de seguridad cibernética sólida y bien desarrollado está en su organización puede proporcionar proactivamente el informe a clientes actuales y potenciales, evidenciando que ha implementado controles apropiados para proteger los activos sensibles de TI y los datos valiosos sobre el cual mantiene acceso. Al mismo tiempo, los clientes actuales y potenciales de un OSP quieren que los terceros con quienes se relacionan también le dan un alto nivel de importancia a la ciberseguridad. Exigir un informe de examen de seguridad cibernética como parte de los criterios de selección ofrecería transparencia en los programas de ciberseguridad de los subcontratistas y podría ser un factor determinante en el proceso de selección.
Los aseguradores que redactan políticas de ciberseguro podrían usar la información de los informes de exámenes de seguridad cibernética de los clientes durante el proceso de suscripción y evaluación de riesgos para ayudarlos a evaluar la postura de riesgo y la posible exposición de la compañía al determinar de manera más efectiva las necesidades de cobertura. Podrían utilizar aún más la información para mejorar su ventaja competitiva al ofrecer potencialmente beneficios a los clientes que demuestren un programa efectivo de seguridad cibernética. Por el contrario, los clientes y posibles clientes podrían aprovechar sus propios informes de exámenes de seguridad cibernética para exigir mejores precios en las políticas de ciberseguro basadas en su preparación en caso de un ataque cibernético.
El valor de abordar las inquietudes y preguntas sobre seguridad cibernética mediante la realización de un examen de gestión de riesgos de seguridad cibernética antes de que se establezcan mandatos regulatorios o se produzca una crisis es bastante claro. Las organizaciones pueden ver el nuevo marco de informes de certificación de seguridad cibernética como una oportunidad para mejorar sus programas de seguridad cibernética existentes y obtener una ventaja competitiva. El marco de informe de certificación atiende las necesidades de una variedad de grupos de partes interesadas clave y, a su vez, limita la carga de comunicación y cumplimiento. Las organizaciones que ven el panorama de los informes de seguridad cibernética como una oportunidad pueden usarlo para liderar, navegar e interrumpir el entorno actual de ciberseguridad en rápida evolución.
Notas finales
1 Ponemon Institute, 2017 Cost of Data Breach Study, IBM Security, June 2017, https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN
2 American Institute of Certified Public Accountants, System and Organization Controls for Cybersecurity, USA, 2017, www.aicpa.org/InterestAreas/FRC/AssuranceAdvisoryServices/Pages/AICPACybersecurityInitiative.aspx
Sandra Herrygers
Es socio de Deloitte & Touche LLP y es el líder global de aseguramiento.
Gaurav Kumar
Es un director de Deloitte & Touche LLP, que se especializa en servicios de aseguramiento y control de riesgos y transformación.
Jeff Schaeffer
Es un director general de Deloitte & Touche LLP, que se especializa en administración de riesgos, gobierno corporativo y transformación de cumplimiento y controles dentro de la industria de servicios financieros.
Descargo de Responsabilidad
Este artículo contiene información general solamente y, a través de este artículo, Deloitte no presta asesoramiento o servicios de contabilidad, comerciales, financieros, de inversión, legales, impositivos u otros servicios profesionales. Este artículo no sustituye dichos consejos o servicios profesionales, ni debe utilizarse como base para ninguna decisión o acción que pueda afectar su negocio. Antes de tomar cualquier decisión o tomar cualquier medida que pueda afectar su negocio, debe consultar a un asesor profesional calificado. Deloitte no será responsable de ninguna pérdida sufrida por ninguna persona que confíe en este artículo.
Acerca de Deloitte
Deloitte se refiere a una o más de Deloitte Touche Tohmatsu Limited, una compañía privada del Reino Unido limitada por garantía (“DTTL”), su red de firmas miembro y sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también conocido como “Deloitte Global”) no proporciona servicios a los clientes. En los Estados Unidos, Deloitte se refiere a una o más de las firmas miembro estadounidenses de DTTL, sus entidades relacionadas que operan utilizando el nombre “Deloitte” en los Estados Unidos y sus respectivas filiales. Ciertos servicios pueden no estar disponibles para atestiguar clientes bajo las reglas y regulaciones de contabilidad pública. Consulte www.deloitte.com/about para obtener más información sobre nuestra red global de firmas miembro.
Copyright © 2017 Deloitte Development LLC. All rights reserved.