El riesgo de ciberseguridad es uno de los que más preocupan a las organizaciones independientemente de su actividad, tamaño o sector, y una de las principales amenazas a gestionar por las empresas e instituciones.
Según el barómetro mensual que realiza el Instituto de Auditores Internos de España (IAI) entre auditores internos de las organizaciones más importantes del país y de todos los sectores económicos, 8 de cada 10 señalan estar preparadas para mitigar este riesgo.
La ciberseguridad es un riesgo transversal en cualquier organización y con presencia continua debido a los procesos de digitalización de las organizaciones, la robotización, el Big Data y la ciberdelincuencia, entre otros factores.
La ciberseguridad requiere que en las empresas exista una estructura de gobierno dedicada a ese riesgo y una serie de políticas y procedimientos para la prevención, gestión y mitigación de los riesgos que llegarán a materializarse.
Según la última oleada del barómetro del IAI el 81% de las organizaciones que operan en España considera que se encuentra en un nivel de madurez medio o alto para mitigar el riesgo de ciberseguridad. Sin embargo, aún el 20% del total no cuenta con procedimientos o protocolos de gestión, respuesta y recuperación ante incidentes de ciberseguridad.
La Norma 2120.A1 sobre Gestión de Riesgos, perteneciente al conjunto de Normas Internacionales para la Práctica Profesional de la Auditoría Interna, indica que “la actividad de Auditoría Interna debe evaluar las exposiciones a riesgo referidas a gobierno, operaciones, y sistemas de información de la organización, con relación a lo siguiente: logro de los objetivos estratégicos de la organización; fiabilidad e integridad de la información financiera y operativa; eficacia y eficiencia de las operaciones y programas; protección de activos; y cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos”.
En este sentido, cerca de 7 de cada 10 organizaciones señalan que su plan anual de Auditoría Interna contempla revisiones del gobierno de ciberseguridad.