La ciberseguridad no se trata de un reto técnico “sino de un riesgo de negocio estratégico frente a un entorno cada vez más digital y tecnológicamente modificado”. (Jeimy Cano, 2023)
Hace unos días, me invitaron a dar una charla en una mesa técnica de líderes y auditores internos del Grupo EPM, en donde tiene como propósito compartir experiencias y mejores prácticas.
El objetivo de la charla fue contextualizar sobre los riesgos de ciberseguridad y el rol del auditor en su evaluación, desde los dominios similares a la arquitectura empresarial: personas, tecnología, información y proceso. Al final, se expusieron algunos riesgos digitales – con mayor probabilidad de ocurrencia e impacto – que he identificado en auditorias internas en EPM y que evitaron materialización de incidentes de ciberseguridad, afectación a la continuidad del negocio, aplicación de sanciones o perdida de dinero o información confidencial; incluso, dos de estos riesgos – R8 y el R9, de posible impacto nacional. Cabe aclarar que las vulnerabilidades técnicas o vectores de ataque ya se encuentran mitigados.
Comparto las conclusiones y una versión resumida de la presentación:
•Para evaluar los riesgos cibernéticos se requiere de un nuevo rol de auditor especializado en ciberseguridad apoyado de tecnología, conocimientos y un procedimiento especializado.
•El rol del auditor de ciberseguridad es clave en la organización para identificar nuevos escenarios de riesgos digitales o vectores de ataque que puedan afectar la continuidad del negocio, eviten costos, sanciones o impacto en la infraestructura critica de un país.
•Los Directores Ejecutivos de Auditoría – DEA – deberían apoyar en formar al talento humano especializado en ciberseguridad, para mejorar las habilidades que, posteriormente, evolucionen en una nueva capacidad organizacional apalancado en un servicio especializado, de auditorías ágiles y continuas, con el fin de contribuir a la eficacia del gobierno, riesgo control y el cumplimiento de la estrategia empresarial.
Espero que esto permita que las áreas de Auditoría Interna o Control Interno (al menos de las filiales del Grupo EPM), se tomen más en serio la evaluación de la ciberseguridad, con objetividad e independencia, desde la tercera línea de defensa, entiendo que es un riesgo de negocio estratégico, con un componente técnico alto y que tiene impacto, incluso, a nivel nacional o global, en un mundo cada vez más volátil.
by JOGA.
JOG@-CTeI - Ciencia, Tecnología e Innovación 