Las ciberamenazas y la gobernanza informática, clave para los auditores en 2023
Así lo revela Gartner mediante un informe que pone de relieve los principales puntos críticos del plan anual de auditoría al identificar las doce principales áreas de riesgo para el próximo año.
- El ‘malware’ común se perfila como la principal ciberamenaza para las empresas
- El 49% de los profesionales IT cree que la IA es una amenaza para la existencia humana
- NIS2: la transición europea hacia la resiliencia de la ciberseguridad
- Confianza cero y resiliencia en un escenario de cibercriminalidad globalizado
- Especial Ciberataques
Las ciberamenazas y el gobierno de las TI son las principales áreas de riesgo que los auditores internos deberán abordar en sus planes de auditoría previstos para 2023. Así lo revela el informe 2023 Audit Plan Hot Spots Report impulsado por Gartner al identificar las principales áreas críticas en las que ponen el foco los jefes de auditoría (CAE, por sus siglas en inglés) con el firme propósito de ayudarles a identificar los riesgos de sus organizaciones y planificar la cobertura de las auditorías de cara al próximo año. "Las amenazas cibernéticas siguen siendo una preocupación constante para los CAE, pero los factores que impulsan este riesgo han evolucionado como resultado de los nuevos conflictos geopolíticos y la mayor posibilidad de ataques patrocinados por el Estado", ha asegurado Leslee McKnight, vicepresidenta del área Legal, Riesgo y Cumplimiento de la consultora. "Los planes de mitigación deben ser revisados para reflejar la evolución del riesgo y preparar a la organización para cumplir con los requisitos de divulgación cada vez más estrictos en caso de una brecha".
Así, los puntos críticos definidos, como garantizar una gobernanza de TI adecuada y la gestión de riesgos de terceros, han contribuido a consolidar una perspectiva desafiante respecto a la mitigación de toda la gama de posibles ciberamenazas que se prevén para el próximo año. En este contexto, aunque la mayoría de los CAE indicó que tenía previsto abordar la ciberseguridad en sus planes para el próximo año, solo el 42% de los encuestados afirmaron tener un alto nivel de confianza en su capacidad para proporcionar garantías en esta área.
Repensando la resiliencia
Los riesgos detectados durante este año ponen el acento en tres áreas clave: la “renacionalización de los recursos” y la “triple presión” de los costes; los riesgos de la cadena de suministro y la escasez de mano de obra; y, por último, la necesidad de “repensar la resiliencia de la organización”. Esta última, explican desde la consultora, debe entenderse como un punto único, como área de riesgo propia y distinta, como impulsor de una multitud de otros riesgos. Y es que la capacidad de resistir a las crisis y las interrupciones puede ser más crítica el año que viene; y por el momento, muchas organizaciones “continúan teniendo una visión limitada de la resiliencia”. Una visión reducida que no tiene en cuenta los riesgos adicionales que afectan a la misma como el aumento de la volatilidad económica y los impactos de la degradación del medioambiente.
"Repensar la resiliencia es un tema clave que subyace a un conjunto diverso de riesgos a los que se enfrentan las organizaciones en 2023, incluyendo la volatilidad económica, la degradación del clima y la gestión de riesgos de terceros", defendió McKnight. “En la actualidad, menos de un tercio de los líderes de auditoría tienen una gran confianza en la capacidad de su equipo para proporcionar garantías sobre el riesgo de resiliencia de la organización; y lo que es más preocupante, menos de la mitad planea cubrir la resiliencia de la organización en las actividades de auditoría en el próximo año”. Siguiendo esta misma línea McKnight señaló, además, que el panorama de riesgos cada vez más interconectado aumenta las posibilidades de que se produzcan riesgos en cascada, en los que un riesgo hace que se manifiesten otros para una organización, un escenario contra el que pocas organizaciones están planificando activamente hoy en día.
A tener en cuenta
Cabe mencionar que el citado informe se basa en una encuesta realizada a más de un centenar de CAE durante el mes de agosto de 2022, en entrevistas estructuradas adicionales con CAE y líderes de Auditoría de TI, así como en datos y conocimientos generados a partir de la investigación multifuncional de Gartner a lo largo del presente año. Del mismo se desprenden las siguientes áreas de riesgo identificadas: ciberamenazas, gobierno de TI, gobierno de datos, gestión de riesgos de terceros, resiliencia organizativa, gobernanza medioambiental y social, cadena de suministro, volatilidad macroeconómica, gestión de la mano de obra, presiones de costes, cultura organizacional y degradación del medioambiente.
