SEGURIDAD CIBERNÉTICA

SEGURIDAD CIBERNÉTICA
Introducción
Acompañamos archivo y noticia de prensa

Nota del Editor de AECHILE Artículo llevado del inglés al español con traductor automático para beneficio de nuestros lectores de habla hispana

Utilice un enfoque de seguridad cibernética en capas para proteger joyas de la corona

Por Ken Tysiac  Navigating Technology’s Top 10 Risks_Final
27 de agosto 2015

Cuando se habla de la seguridad cibernética, Sajay Rai, CPA, le gusta comparar la red y los sistemas de una organización para un castillo.

El foso que rodea el castillo es análogo a las defensas exteriores de la red. Pero existen defensas adicionales, también, una puerta, centinelas, y cerraduras. Y las joyas de la corona, bajo llave en un lugar seguro, se protegen más que cualquier otra cosa en el castillo.

Rai dijo que también deben existir las capas adicionales de defensa en los sistemas de la organización, con la información más sensibles protegidos por la mayoría de las capas. De acuerdo con Rai, las organizaciones que durante muchos años han invertido los recursos de seguridad principalmente en su perímetro de la red externa ahora han aprendido que es importante reforzar otras capas de defensa, también.

“Sólo la protección de la puerta exterior del castillo, por así decirlo, no es suficiente”, dijo Rai. “Se necesita una defensa por capas. Aunque un perímetro de la red es, sin duda que la primera capa de defensa, no debe ser el único “.

Si se rompe la defensa exterior del sistema, controles adicionales pueden proteger la información más sensible. Estos controles pueden incluir restricciones de acceso, cifrado, sistemas de detección de intrusos y otras técnicas de prevención y de detección.

Rai, fundador y CEO de consultoría organización segura Tuyo LLC, coautor de un informe publicado esta semana que identifica 10 riesgos de tecnología superior y explica cómo los auditores internos pueden ayudar a manejar esos riesgos. El informe, Los 10 principales riesgos de NavegaciónTecnología, fue emitido el miércoles por el Instituto de Auditores Internos (IIA) de la Fundación de Investigación y está disponible para su descarga en el IIA página web.

Rai sugirió que la salud del programa de seguridad de cualquier organización es sólo tan fuerte como su eslabón más débil. Dijo que la auditoría interna puede utilizar los 10 principales riesgos para identificar los puntos débiles y trabajar en corregirlos. De acuerdo con Rai, la auditoría interna puede ayudar a una organización a gestionar los riesgos de la tecnología a través de:

Abordar el riesgo de acceso excesivo. Rai dijo que los auditores internos tienen que mirar más allá de los ejercicios de cumplimiento con respecto a la tecnología y buscar formas de mitigar los riesgos asociados con el acceso, sobre todo a la información sensible. En lugar de simplemente revisar periódicamente las prácticas de acceso a permanecer en el cumplimiento de las normas, Rai dijo que los auditores internos deben centrarse en los sistemas críticos y el monitor que tenga acceso a esos sistemas. Dijo que las herramientas están disponibles ahora que puede alertar a la auditoría interna cuando los usuarios acceden a la información de que se supone que es fuera de límites a ellos. “En lugar de un ejercicio pasivo, puede ser un ejercicio activo”, dijo.
Al destacar los riesgos de las nuevas tecnologías. Es fácil para las organizaciones a centrarse en los beneficios de las tecnologías, por ejemplo, el Internet de las cosas que pueden reducir los accidentes automovilísticos al permitir que los vehículos se comuniquen entre sí. Los riesgos en este ejemplo puede ser que los hackers pueden ser capaces de hacerse cargo de los sistemas de los vehículos en movimiento y crear el caos. “El papel de la auditoría interna es asegurarse de que la organización entiende no sólo los facilitadores y los aspectos positivos, sino también los riesgos y ayudar a mitigar esos riesgos”, dijo Rai.
Análisis en busca de debilidades-y preparar una respuesta. Rai recomienda que las organizaciones realizan análisis de vulnerabilidad de sus redes trimestrales y llevar a cabo pruebas de penetración de los sistemas críticos y entornos sensibles al menos anualmente. La auditoría interna puede participar en estas pruebas y supervisar los ejercicios de simulación para preparar a las organizaciones a responder si se produce una violación.
Rai dijo que la auditoría interna en la mayoría de las organizaciones no posee los conocimientos técnicos para llevar a cabo en todas las áreas como hábilmente como deberían. Recomendó que reciban ayuda del exterior, donde es necesario, ya que el papel de la auditoría interna evoluciona junto con las organizaciones de tecnología están utilizando.

“Con toda la reciente noticia de que estamos viendo sobre las violaciones de datos y otras actividades en los medios de comunicación, la auditoría interna tiene un papel clave que desempeñar”, dijo Rai. “Y ese papel viene en términos de conocimiento, donde los riesgos son y ayudar a mitigar esos riesgos.”

– Ken Tysiac (ktysiac@aicpa.org) es un JofA director editorial.

 

Cómo auditoría interna puede ayudar a manejar 10 principales riesgos tecnológicos

Por Ken Tysiac
26 de agosto 2015

Muchos de los riesgos principales organizaciones se enfrentan hoy en día están relacionados con la tecnología.

Como resultado de ello, los auditores internos están prestando mucha atención a áreas como la seguridad cibernética, la privacidad de datos y las redes sociales. Estas áreas-y otros relacionados con la tecnología tienen el potencial de ofrecer reveses devastadores para una empresa u or

Del informe 10 principales riesgos y sugerencias de cómo auditoría interna puede gestionarlos incluyen:

Ciberseguridad. Más del 70% de los encuestados IIA considerar el riesgo de una fuga de datos sea al menos moderado, con especialistas en TI de informes más preocupación que otros grupos. Las actividades de auditoría interna relacionados con la ciberseguridad, según el informe, puede incluir la realización de análisis de vulnerabilidades y pruebas de penetración; la verificación de que los ejercicios de simulación relacionados con el plan de gestión de crisis de la organización se llevan a cabo; y la realización de una auditoría de la arquitectura de red para determinar el cumplimiento de las políticas y procedimientos de la red.

Seguridad de la información. Las organizaciones están centrando ahora en una defensa en capas de información crítica, en lugar de una sola capa de protección contra el perímetro de la red, según el informe. Las actividades de auditoría interna pueden incluir la realización de análisis de vulnerabilidades de la red interna; revisar el proceso de revisión de control de acceso; y el uso de terceros para llevar a cabo ataques simulados y los resultados de auditoría.

Proyectos de desarrollo de sistemas de TI. La auditoría interna puede llevar a cabo auditorías de cada aspecto del ciclo de vida de desarrollo de sistemas; participar en auditorías de proyectos con equipos de auditoría de proveedores y de calidad; y llevar a cabo auditorías de la metodología de gestión de proyectos de la organización, dice el informe.

El gobierno de TI. Funciones de auditoría interna pueden incluir la evaluación del tono en la parte superior de la organización de TI; la realización de auditorías periódicas para determinar la alineación de la función de TI con las prioridades estratégicas; y la revisión de la eficacia de TI es la gestión del rendimiento de los recursos y, según el informe.

Servicios de TI externalizados. Los auditores internos pueden participar al principio del ciclo de outsourcing, dice el informe, al asegurar que el contrato inicial aborda temas importantes, incluyendo la supervisión, seguimiento, auditoría y seguridad. La auditoría interna también se puede preguntar cómo se vigila el cumplimiento del contrato.

Uso de los medios sociales. Funciones de auditoría interna pueden incluir jugar un papel de consultoría como las organizaciones a definir, comunicar, supervisar y hacer cumplir un medio de comunicación política de uso del negocio social, según el informe. Una auditoría de los medios de comunicación social puede ser incluido en el plan anual de auditoría interna.

La informática móvil. Casi la mitad de los encuestados realizan poca o ninguna seguridad para el uso de los dispositivos móviles. El informe sugiere auditoría interna puede llevar a cabo una auditoría del proceso de inventario de los dispositivos móviles, lleve a cabo una auditoría de cómo se gestionan los dispositivos perdidos o robados, y verifique que la información sensible está encriptada o no almacenados en los dispositivos móviles.

Habilidades de TI entre los auditores internos. Muchos departamentos de auditoría interna se esfuerzan por desarrollar y mantener las habilidades necesarias para auditar TI. La comprensión de la tecnología utilizada en la organización y la identificación de la falta de capacidades puede ayudar a desarrollar la auditoría interna y / o subcontratar estas habilidades, según el informe.

Las tecnologías emergentes. La auditoría interna puede proporcionar orientación sobre los requisitos de riesgo y control cuando se están evaluando nuevas tecnologías, señala el informe.

Junta y conocimiento de la tecnología del comité de auditoría. Experiencia en TI limitada en un consejo de administración puede plantear problemas de gobernanza. El informe sugiere que la auditoría interna puede ser el conducto principal para traer conciencia tecnología al comité de la junta y la auditoría.

– Ken Tysiac (ktysiac@aicpa.org) es un JofA director editorial.
– See more at: http://www. journalofaccountancy.com/news/ 2015/aug/internal-audit- technology-risks-201512911. html#sthash.5odBb228.dpuf

portada-top 10

 

Descargar adobe acrobat PDF 2.6 MB.

Aechile
Aechile
ADMINISTRATOR
PROFILE

Otras Publicaciones

Columnistas

Últimas Publicaciones