Muchos de los mismos desafíos de riesgo técnico existen hoy para TI como lo hicieron el año pasado. Existen riesgos en la gestión de sistemas y redes, riesgos en la gestión de los empleados humanos que utilizan estos sistemas y redes, y riesgos cibernéticos. Entre los riesgos cibernéticos, la mayoría de las preocupaciones son las intrusiones de malware, ransomware, virus y phishing.
TI ha tomado medidas para evitar o mitigar muchos de estos, pero aquí es donde está el cambio en la gestión de riesgos de TI: lo que solía ser un problema interno de TI ahora es un problema a nivel de la junta directiva, del director general, del cliente y de las partes interesadas. nivel de preocupación.
El costo promedio de una violación de datos en 2021 fue de $ 4,24 millones. Se espera que los costos de ransomware superen los $ 265 mil millones para 2031, y el costo promedio de recuperación de un ataque de ransomware en 2021 fue de $ 1,85 millones.
Costos como estos (y la publicidad que los acompaña) pueden romper una marca y/o dañar gravemente la reputación de una empresa. Es exactamente por eso que las partes interesadas de la empresa, la junta directiva y el director ejecutivo tienen la vista puesta en la gestión de riesgos de TI y en lo que una organización puede hacer para evitar costos elevados y titulares no deseados.
“Durante los últimos 12 a 18 meses, los ejecutivos de todas las industrias y sectores han sido testigos, y han experimentado cada vez más de primera mano, la asombrosa frecuencia, sofisticación, costo e impacto tanto económico como operativo de los ataques de ransomware”, dijo Curt Aubley, Director general y director general de la práctica de Risk & Financial Advisory de Deloitte, en un comunicado de prensa.
Auditorías TI y Compromiso Corporativo
La conclusión es que los riesgos de TI se están multiplicando y las empresas deben hacer algo al respecto.
Los líderes de TI han tomado muchas medidas para prevenir y/o mitigar el riesgo de los activos de TI; sin embargo, un área en la que TI ha sido menos activa es decidir si las auditorías que TI contrata siguen siendo las auditorías adecuadas para realizar, o si ahora se necesitan otros tipos de auditorías de TI, dado el aumento del delito cibernético.
Un segundo elemento en cualquier discusión de auditoría de TI es el presupuesto. Las auditorías de TI son costosas. ¿Cuántas auditorías puede permitirse TI? ¿Serán los CEO y CFO tan agresivos con sus acciones como lo son con sus palabras?
La encuesta de Deloitte cuestionó el compromiso de nivel C. La encuesta reveló que “la gran mayoría (86,7 %) de los altos ejecutivos y otros ejecutivos dicen que esperan que la cantidad de ataques cibernéticos dirigidos a sus organizaciones aumente en los próximos 12 meses. Y mientras que el 64,8 % de los ejecutivos encuestados dice que el ransomware es una amenaza cibernética que representa una gran preocupación para su organización durante los próximos 12 meses, solo el 33,3 % dice que sus organizaciones han simulado ataques de ransomware para prepararse para tal incidente”.
Los comentarios de Deloitte se referían a respaldar la preparación demostrable simulando escenarios de ataque y sabiendo qué tan bien responde a ellos. Si los ejecutivos de C-suite no están detrás de estos pasos agresivamente, y no lo están, no es descabellado imaginar que también habría resistencia a las grandes inversiones en dólares en auditorías de TI.
Auditorías de TI: ¿Cuál elegir?
Hay muchos tipos de auditorías de TI, pero las auditorías principales que debe financiar y realizar son las siguientes:
1. Auditoría informática general
Se debe realizar una auditoría general de TI cada año. El valor de esta auditoría es que audita todo en TI. Se centra en la solidez de las políticas y procedimientos internos de TI y en si TI cumple con los requisitos reglamentarios a los que está sujeta la empresa. Una auditoría de TI analiza el respaldo y la recuperación, lo que garantiza que los planes de recuperación ante desastres estén documentados y actualizados. La auditoría prueba las vulnerabilidades cibernéticas e intenta explotarlas. En algunos casos, TI solicitará auditores (a un costo adicional) para auditar aleatoriamente varios departamentos de usuarios finales para ver qué tan bien se cumplen los estándares y procedimientos de seguridad de TI fuera de TI. Si se encuentra en una industria altamente regulada como las finanzas o la atención médica, su examinador exigirá ver sus últimas auditorías de TI.
2. Auditoría de ingeniería social
Los investigadores de Stanford descubrieron que el 88 % de las filtraciones de datos en 2020 se debieron a errores humanos y una encuesta de Haystax reveló que el 56 % de los profesionales de seguridad dijeron [security] las amenazas iban en aumento. En una auditoría de ingeniería social, los auditores revisan los registros de actividad, las políticas y los procedimientos del usuario final. Comprueban la adherencia.
Desafortunadamente, cuando llega el momento de la crisis presupuestaria, muchos departamentos de TI optan por omitir la auditoría de ingeniería social y simplemente realizar una auditoría general de TI, pero con la negligencia, los errores y el sabotaje de los empleados en aumento, ¿pueden las empresas permitirse hacer esto?
Dada la gran cantidad de infracciones de los usuarios, es prudente realizar una auditoría de ingeniería social anualmente. Para los departamentos de TI con problemas de liquidez, podrían optar por realizar estas auditorías cada dos años.
3. Auditoría perimetral
En 2020, la investigación de Grand View estimó que el mercado de la informática perimetral era de 4680 millones de dólares, con una proyección adicional de que el mercado perimetral crecería a una CAGR del 38 % hasta 2028.
Los fabricantes, minoristas, distribuidores, atención médica, logística y muchas otras industrias están instalando sensores y dispositivos IoT (Internet de las cosas) en los bordes de sus empresas en redes administradas por usuarios.
Cuando los usuarios operan redes, existe un mayor riesgo de brechas de seguridad y vulnerabilidades.
Si su empresa cuenta con amplias instalaciones informáticas perimetrales, también es importante realizar una auditoría de las tecnologías de seguridad, los registros, las políticas y las prácticas perimetrales.
Comentarios finales sobre las auditorías
Las auditorías son caras. Al personal de TI tampoco le gusta hacerlas, porque las preguntas del auditor quitan tiempo del trabajo diario del proyecto.
Pero en el mundo actual de crecientes riesgos cibernéticos e internos, estas auditorías son esenciales para el bienestar corporativo y para lo que la empresa va a mostrar a sus examinadores de la industria y aseguradoras comerciales.
Al financiar y realizar las auditorías que son más importantes para el bienestar de su empresa, puede mantenerse a la vanguardia.
Qué leer a continuación:
9 formas en que los CIO pueden utilizar de forma creativa las auditorías de TI
7 prácticas de seguridad para protegerse contra ataques, ransomware
Gestión de riesgos cibernéticos en el entorno de amenazas actual