La noción de ser auditado suele ir asociada a connotaciones negativas. Incluso puede dar un poco de miedo. Seamos sinceros, a nadie le gusta recibir una carta de la división de recaudación de impuestos de su país informándole de que está siendo auditado. Siempre que hay algún tipo de escándalo gubernamental, lo primero que se hace es llevar a cabo una auditoría y encontrar pruebas de irregularidades o mala conducta. Tal es la reputación de las auditorías.

Los beneficios de una auditoría general

Sin embargo, una auditoría general no debe ser considerada como un medio para demostrar la propia inocencia. De hecho, las empresas realizan auditorías voluntarias con regularidad porque pueden ser una herramienta eficaz cuando se utilizan correctamente. Algunas de las ventajas generales de llevar a cabo auditorías son:

• Detectar errores en las operaciones financieras y de compra
• Garantizar el cumplimiento de la legislación y la normativa vigentes
• Garantizar a las partes interesadas que los estados contables son exactos y fiables
• Aumentar la credibilidad de la reputación de una empresa ante clientes e inversores
• Mejorar los resultados económicos

Según Gartner, el 88% de los Consejos de Administración ven la ciberseguridad como un riesgo. Es un riesgo aún mayor para las PYMES, ya que no pueden recuperarse tan fácilmente de los estragos de un ataque. Como resultado, las auditorías de ciberseguridad se han convertido en un medio voluntario habitual para proporcionar información sobre las responsabilidades y los esfuerzos de una organización en materia de seguridad. La auditoría se utiliza para reducir el riesgo porque los riesgos de seguridad son malos para el negocio.

El gran gasto en TI y ciberseguridad

Según Gartner, se prevé que el gasto mundial en TI alcance los 4,5 billones de dólares en 2023. Eso es mucho dinero. ¿Necesita el mundo gastar tanto? Quizá no sea suficiente. No lo sabemos sin algún medio de investigación y análisis. Cuando se trata de ciberseguridad, a menudo oímos que las empresas se esfuerzan por conseguir una seguridad de confianza cero en todas sus organizaciones. Una encuesta de McKinney reveló que el mundo destinó 150.000 millones de dólares a la ciberseguridad en 2021. Obviamente, no fue suficiente si tenemos en cuenta la proliferación de ciberataques ese año. Y aunque las corporaciones globales pueden invertir grandes cantidades de dinero en contratar a los mejores talentos en ciberseguridad y disponer de los controles de seguridad más avanzados, llega un momento en que los beneficios disminuyen. Y luego está el reto para las PYMES, que no tienen los recursos para igualar los esfuerzos de seguridad de las empresas, pero deben cumplir con las regulaciones gubernamentales y del sector para cumplir con su responsabilidad de proteger la información sensible de terceros. Por todo ello, las auditorías voluntarias de ciberseguridad pueden reportar grandes beneficios.

Todas las empresas tienen puntos débiles en su seguridad

El objetivo básico de una estrategia de ciberseguridad es proteger las posibles vías de ataque y eliminar las vulnerabilidades aprovechables y las brechas de seguridad. Por desgracia, la complejidad de las instalaciones multisitio hace que esto sea aún más difícil hoy en día. El problema es que hay que saber cuáles son exactamente esas brechas y vulnerabilidades para poder abordarlas. Ese es uno de los principales objetivos de una auditoría de ciberseguridad. Una evaluación de riesgos de ciberseguridad puede ser un gran primer paso para identificar, analizar y evaluar los posibles riesgos y las vulnerabilidades potenciales para su empresa.

La priorización es importante

Invertir mucho dinero en un problema es fácil, pero con ese planteamiento probablemente no permanezca mucho tiempo en el negocio. Por eso debe priorizar sus directrices de seguridad. Al igual que las fuerzas del orden comunitarias no pueden estar en todas partes, usted no puede tener una herramienta para combatir cada tipo de amenaza. Algunas amenazas suponen un riesgo mayor que otras. Una evaluación de riesgos puede ayudarle a priorizar sus esfuerzos de mitigación de riesgos en función de la probabilidad y el impacto potencial de que se produzca una amenaza determinada. Esto resultará especialmente importante si su empresa se ve inmersa en un litigio relacionado con una brecha de datos o un incidente de ciberseguridad. En ese momento, el tribunal decidirá qué medidas de seguridad se habrían considerado razonables. La seguridad razonable es la prueba de fuego y asegurarse de que asigna sus recursos a las estrategias de mitigación correctas le reportará importantes beneficios en este tipo de situaciones.

Satisfacer el cumplimiento normativo

Además del crecimiento exponencial de las ciberamenazas en los últimos años, se ha producido un aumento de las medidas regulatorias destinadas a contrarrestarlas. Mantenerse al frente del siempre cambiante panorama normativo es fundamental, ya que el costo del incumplimiento puede ser elevado. Además de las normativas obligatorias habituales, como el RGPD, la CCPA, el PCS-DSS y la HIPAA, con las que muchos están familiarizados, cada año se dan a conocer nuevas iniciativas. Un ejemplo es la directiva NIS2 (la versión actualizada de la directiva NIS), cuyo objetivo es establecer un marco común para la seguridad de las redes y los sistemas de información en todos los países de la UE.

Al igual que en el ejemplo anterior del auditor fiscal que viene a visitar su empresa, una auditoría reglamentaria formal también puede ser angustiosa. Por eso es bueno someterse a una auditoría voluntaria para asegurarse de que su empresa cumple todos los requisitos normativos. Estas auditorías siguen un marco de seguridad bien establecido, como el NIST, no sólo para determinar el estado de cumplimiento, sino también para reducir el riesgo legal de una empresa en el futuro.

Resiliencia y continuidad

En la actualidad, es imposible detener todos los posibles ataques. El objetivo realista es lograr la resiliencia y la continuidad de las empresas mediante la creación de estrategias que permitan que éstas puedan volver a funcionar normalmente lo antes posible en caso de ataque. Incluso en el caso del ransomware, el factor más costoso de un ciberataque para una empresa es el tiempo de inactividad. Una auditoría de ciberseguridad puede analizar el entorno de riesgo y los controles de seguridad para predecir cuánto tiempo se tardaría en recuperar el control de la infraestructura en caso de ataque.

¿Qué hace que una auditoría sea buena?

Una auditoría bien diseñada debe incluir algo más que una lista de vulnerabilidades y de términos relacionados con la seguridad. Debe incluir recomendaciones prácticas que las partes interesadas no técnicas puedan leer y comprender. Las recomendaciones deben incluir las políticas de seguridad necesarias, los procedimientos de gestión de riesgos, los controles de acceso de los usuarios, las medidas de seguridad físicas y los controles de seguridad. La auditoría tampoco es un proceso que se lleve a cabo una sola vez. La frecuencia de las auditorías periódicas variará según la organización en función de su panorama de riesgos único y de la cantidad de dispositivos conectados a la red y el almacenamiento de datos. Las auditorías deben realizarse como mínimo una vez al año, a ser posible trimestralmente.

Conclusión

Empresas como McDonald’s llevan años utilizando las auditorías como un elemento diferenciador frente a la competencia. Su programa de Gestión de Calidad de Proveedores exige que todos los proveedores establezcan normas de calidad estrictas y se sometan a auditorías periódicas para garantizar su cumplimiento. La coherencia y la fiabilidad son características esenciales de cualquier empresa de éxito hoy en día y las mejores empresas adoptan esta filosofía. Las auditorías de ciberseguridad deben llevarse a cabo por más razones que la de limitarse a marcar una casilla. Deben contar con el apoyo de la alta dirección como forma de evaluar la preparación de su organización. Cuando se hacen correctamente, las auditorías pueden ser algo que las partes interesadas esperen con impaciencia, a menos, claro está, que esté de por medio el recaudador de impuestos.