Cómo pueden ayudar los contadores contra la ciberdelincuencia

• Imprimir
• Correo electrónico

Los delitos cibernéticos amenazan la confianza y la transparencia en las empresas y los gobiernos diariamente. Como cliente, contribuyente, proveedor u otra parte interesada, nos preguntamos si podemos confiar en una organización para asegurar efectivamente nuestros datos. El público espera cada vez más una mayor apertura sobre los problemas éticos que surgen de las infracciones de la ciberseguridad y cómo se protegen los datos personales.

En su papel de protectores de valor y administradores, los contadores deben ser parte de la solución cuando se trata de seguridad cibernética, ya sea que estén asesorando a sus clientes o trabajando en un equipo de finanzas y contabilidad, o en un rol estratégico u operacional más amplio.

El seminario web de ciberseguridad de IFAC proporciona información valiosa sobre lo que los contadores profesionales deben considerar en términos de su papel en la ciberseguridad. Esto incluye usar sus habilidades y experiencia para proteger datos e información, así como informar sobre el programa y los controles de gestión de riesgos de seguridad cibernética de una empresa.

El panorama de la ciberseguridad está cambiando rápidamente a medida que las organizaciones almacenan más datos y los piratas informáticos tienen más oportunidades de penetrar en los sistemas. Las consecuencias de las infracciones en forma de multas y acciones legales, y en última instancia una pérdida de clientes, también son más significativas.

El Noveno estudio anual sobre el costo de la ciberdelincuencia realizado por Accenture y el Instituto Ponemon considera que el robo de información es la consecuencia más costosa y en aumento más rápida de la ciberdelincuencia (aunque los datos no son el único objetivo). Las empresas no piensan dos veces en asegurar sus edificios, pero en muchos casos están expuestas a pérdidas y daños a sus datos. En el mejor de los casos, los datos robados, los sistemas pirateados y el malware causan interrupciones operativas significativas. En el peor de los casos, habrá daño de reputación.

Las empresas deben actuar sobre la base de que su seguridad estará comprendida. Para los consejos de administración y otras partes interesadas, la ciberseguridad debe tratarse como un riesgo empresarial importante. Los que tienen capacidades de supervisión o gestión, por lo tanto, necesitan una mejor comprensión de cómo las organizaciones gestionan la ciberseguridad como parte de sus programas de gestión de riesgos.

Dado que la seguridad cibernética es un riesgo empresarial complejo y multifacético, es importante involucrar a los directores y la gerencia para garantizar un enfoque integral dirigido por el negocio que incorpore los problemas de ciberseguridad en todas las decisiones y operaciones relacionadas con las redes y datos de información de la empresa.

Una gestión holística del riesgo en lugar de un enfoque gradual es la única forma efectiva de lidiar con un panorama empresarial en constante cambio y las amenazas y riesgos en constante evolución que abarcan personas, procesos y tecnología en toda la empresa. Involucrar a todos los niveles de una organización ayuda a asegurar que exista un marco comprensible para todos y que las diversas líneas de defensa puedan gestionar y mitigar colectivamente los riesgos de ciberseguridad de forma continua.

Un enfoque proactivo y pragmático basado en el riesgo implica identificar brechas, destinar recursos para enfrentar amenazas clave y ampliar las actividades de seguridad cibernética más allá de la prevención para incluir inteligencia, detección y respuesta. Los pasos clave incluyen comprender las funciones y capacidades de seguridad cibernética e identificar, mitigar y monitorear áreas de riesgo específicas, como el riesgo de privacidad o la seguridad en la nube. Identificar y mitigar los riesgos cibernéticos implica trazar los principales procesos, sistemas y flujos de información, y evaluar el plan de remediación de riesgos y los controles apropiados, y el monitoreo continuo.

En términos de lidiar con brechas sustanciales en los niveles de ciberseguridad, es importante identificar los activos de información más críticos y hacer los fundamentos correctos. Para muchas organizaciones, esto significa lidiar con prácticas de seguridad fundamentales que incluyen cortafuegos de límites y puertas de enlace de Internet; configuración segura control de acceso; Protección de malware; y manejo de parches. La disciplina básica implica responder a nuevos estándares y regulaciones, comprender las debilidades de los sistemas heredados e identificar dónde puede ayudar la inversión en tecnologías.

Apoyar a las empresas más pequeñas es una oportunidad importante para que las empresas brinden consejos comerciales útiles. El asesor contable profesional puede ser particularmente importante en:

• Ayudar a los clientes a evaluar su gobierno y gestión de riesgos: las empresas más pequeñas tienden a no tener experiencia sólida en gestión de riesgos y control. Los contadores pueden garantizar la continuidad de los negocios y la planificación de la recuperación ante desastres, particularmente frente a las amenazas de ransomware;
• Ayudar a los clientes a cuantificar los riesgos y el retorno de la inversión en función del costo de las infracciones y los datos robados y los factores que afectan el costo; y
• Ayudando a mitigar riesgos con controles efectivos.

El ICAEW proporciona pasos simples de seguridad cibernética para empresas más pequeñas. Para ayudar a los contadores en términos de gestión y certificación de riesgos, el Sistema y Controles de Organización (SOC) de AICPA para la ciberseguridad proporciona la base para comunicaciones transparentes y coherentes sobre los esfuerzos de gestión de riesgos de ciberseguridad de una organización, y aumenta la confianza de las partes interesadas en la información preparada por la gerencia sobre la organización. Esfuerzos de ciberseguridad.

El marco de información de gestión de riesgos de ciberseguridad de AICPA, un elemento clave del SOC, incluye criterios de descripción para la gestión del programa de gestión de riesgos de ciberseguridad de una entidad y los componentes clave de un informe de certificación de ciberseguridad que cubre la descripción de la administración del programa de gestión de riesgos de la entidad y su afirmación sobre la efectividad operativa de los controles para lograr los objetivos de ciberseguridad y el informe de la APC sobre estos.

El impacto en el conocimiento y las habilidades

Un mayor papel en la seguridad cibernética requiere conocimientos, habilidades y experiencia relevantes. Para que los contadores realicen efectivamente los servicios de gestión de riesgos de seguridad cibernética o de certificación, las áreas clave de conocimiento y habilidades incluyen:

• Sistemas y tecnología de TI relevantes, así como la capacidad de mantenerse al día sobre los cambios en el entorno de la tecnología y los sistemas.
• Entender los procesos y controles de TI y su evaluación.
• Sensibilización y experiencia relevante con los marcos de 
  ciberseguridad.
• Entender la industria y el negocio de una entidad y si está sujeto a tipos específicos de riesgos de ciberseguridad
• Establecimiento y participación de equipos multidisciplinarios, por ejemplo, incluidos los profesionales y auditores de seguridad de la información.

El contador también necesita una mayor conciencia ética cuando se trata de considerar qué medidas tomar cuando ha habido una violación en su propia organización o en una que están asesorando. Dada la obligación del contador de actuar en el interés público, podría ser necesario hacer una divulgación pública, como informar a los clientes que su información personal ha sido expuesta. Si ha habido una demanda de rescate, podría ser necesario buscar asesoramiento y apoyo especializado.

Para obtener más información sobre cómo lidiar con la seguridad cibernética, visite la puerta de enlace de IFAC, incluidos los recursos de los miembros de IFAC.

Este artículo es una reseña del original titulado “Cibercrime threatens trust business how accountants can help“ publicado en IFAC.org
Traducción para Asesores en Soluciones AS, por Silvia Rosa Matus de la Cruz.

AUTOR ORIGINAL: Sylvia Tsen  xecutive Director, Knowledge, Operations and Technology, IFAC and Stathis Gould, Deputy Director, Professional Accountants in Business, IFAC |