Te esperamos en el XV Congreso Internacional sobre Gobierno, Riesgos, Auditoria y Seguridad CIGRAS Reservá la fecha 5 al 9 de Agosto de 2024.
A través del CIGRAS, contribuimos a promover el intercambio de conocimientos entre profesionales, organizaciones y entusiastas, generando un ambiente propicio para aprender de las experiencias y realizar networking.
Las cuestiones ambientales, sociales y de gobierno corporativo (ESG) son importantes prioridades para las empresas, impulsadas principalmente por las demandas de las partes interesadas y los órganos de gobierno. Estas demandas y la necesidad de informes ESG, sumado a otros informes, impulsan la estrategia, la creación de valor financiero y el rendimiento en torno a parámetros no financieros. En particular, a los inversionistas institucionales les preocupa el impacto que las cuestiones ESG puedan tener en el riesgo y los rendimientos a corto, mediano y largo plazo. Los mercados de capitales buscan información relevante, precisa, comparable y útil, para poder decidir sobre una base informada, y existe una mayor expectativa de que las empresas incorporen consideraciones ESG en sus procesos de negocio formales. Otras partes interesadas esperan datos e información confiables para satisfacer sus propias necesidades. Todas estas demandas plantean riesgos y oportunidades y generan la necesidad de desarrollar un entorno de control interno adecuado para ESG, en el que la auditoría interna desempeña un papel clave.
Proporcionar aseguramiento sobre la presentación de informes no financieros no es un territorio desconocido para la auditoría interna: tecnología de la información, gestión del talento o anticorrupción, caen bajo el paraguas no financiero. Los procesos comprobados y bien establecidos de la auditoría interna en estas áreas ofrecen un modelo listo para abordar cuestiones relacionadas con ESG.
Términos como sostenibilidad, responsabilidad corporativa y responsabilidad social empresaria, junto con la presentación de informes no financieros y ESG, se encuentran muy difundidos y son ampliamente comprendidos. Es importante reconocer que los temas ESG siempre han desempeñado un papel en el riesgo, las oportunidades y el impacto en el rendimiento y el valor de las organizaciones. Las áreas que forman parte de ESG abarcan:
Algunos temas cruzan varias categorías. Por ejemplo, el cambio climático, aunque normalmente se considera ambiental, tiene implicaciones sociales y de gobierno corporativo, al igual que la justicia ambiental. La pandemia de COVID-19 ilustra vívidamente cómo un tema de salud y seguridad puede afectar todos los aspectos de una organización, la cadena de suministro y la economía misma.
Un número creciente de empresas han incorporado la temática ESG en sus estrategias, objetivos y proyectos de negocio, como es el caso de las que han anunciado metas para lograr cero emisiones netas (de carbono). Los objetivos de algunas compañías se alinean con la meta de 2050 instaurada en el Acuerdo de París (Barclays, Cemex), mientras que otras compañías han establecido objetivos más ambiciosos, para 2040 (PepsiCo, Sainsbury, VISA) e incluso para 2030 (Apple, Burger King, Jacobs Engineering, Novo Nordisk).
No hay un conjunto único de temas o métricas que cubra la totalidad de la problemática ESG para todas las organizaciones. Además, el área ESG es dinámica. Variaciones en las expectativas, los riesgos y las operaciones de las partes interesadas podrían elevar el perfil de ciertas cuestiones dentro de una organización en particular.
En general, las empresas deberían desarrollar estrategias, programas y controles para lograr sus objetivos específicos, sabiendo que los inversionistas y otras partes interesadas esperarán que rindan cuentas de ello.
Fuente: 🌎 FLAI Auditores Internos LATAM y IIA-The Institute of Internal Auditors
El acceso a la información puede ser su principal ventaja competitiva: con la información correcta, puede tomar decisiones informadas sobre cada nueva oportunidad o desafío, pero ¿cómo puede asegurarse de tener los datos correctos cuando los equipos de administración de riesgos de su empresa están desconectados entre sí?
Las organizaciones a menudo utilizan una serie de proveedores independientes de análisis de datos y tecnología GRC, lo que dificulta compartir recursos e información y analizar datos con precisión. Sin una imagen completa de los factores de riesgo involucrados, es difícil descubrir y abordar rápidamente los riesgos emergentes y aún más difícil aprovechar las oportunidades de crecimiento potencial.
Además, es posible que sus equipos de GRC deban depender en gran medida de los desarrolladores y otro personal que tenga la capacidad técnica para automatizar flujos de trabajo, configurar integraciones y extraer y analizar datos. Esto puede afectar la puntualidad, y si sus equipos intentan hacerlo ellos mismos sin la experiencia necesaria, existe una mayor probabilidad de errores.
Todo esto puede generar interrupciones operativas, riesgos pasados por alto y posibles problemas de cumplimiento, lo que puede tener consecuencias negativas para su negocio, como multas y sanciones.
Reducir los errores y tener una visión integral de todos sus riesgos puede ayudarlo a obtener esa ventaja competitiva, por lo que es importante pasar a una solución de gestión de riesgos integrada.
IRM se refiere a un enfoque en el que la gestión de riesgos se integra en cada proceso, actividad y operación dentro de una organización, para que todos puedan comprender el riesgo dentro de su espacio. Esto incluye gestión logística, procesos de producción, finanzas, recursos humanos, legal, TI, seguridad y marketing.
Las partes interesadas de toda la empresa deben poder acceder a una vista en tiempo real de los riesgos de cada activo, sistema y proveedor externo, lo que les permite tomar decisiones informadas en función de su apetito por el riesgo.
IRM también requiere una cultura que priorice el fácil acceso a los datos para que los equipos de gestión de riesgos puedan interpretar y responder a las amenazas rápidamente. Al crear una empresa consciente de los riesgos que eleve el papel de la gestión de riesgos en cada área de la organización, no solo en ciberseguridad o legal, puede gestionar las amenazas en toda la empresa de manera más eficaz.
El rol tradicional de GRC puede incluir una multitud de soluciones mal integradas y muchos procesos manuales que pueden ralentizar su empresa y aumentar las posibilidades de errores o riesgos pasados por alto.
Una plataforma integrada de gestión de riesgos, por el contrario, es todo en uno. Es una solución integral que brinda a todo su equipo de GRC la visibilidad y los conocimientos profundos que necesitan para comprender el riesgo de su organización, brindar seguridad e informar rápidamente a las partes interesadas ejecutivas para tomar decisiones más informadas y basadas en datos.
Una plataforma integrada de gestión de riesgos le permite:
Al pasar de una colección de herramientas y activos de GRC en silos a una solución integrada de gestión de riesgos, tendrá una visibilidad profunda de los factores de riesgo y las iniciativas de cumplimiento en toda su organización y métricas poderosas para ayudarlo a entender todo y avanzar con confianza. Podrá comprender los problemas a nivel individual, así como detectar tendencias que afectan a su organización a nivel estructural.
Con todos sus datos juntos en un solo lugar para una colaboración fluida, sus equipos de GRC pueden reenfocar sus esfuerzos. En lugar de marcar casillas y ceñirse únicamente a las tareas de cumplimiento, podrán automatizar esas funciones y liberar su tiempo para brindar un verdadero soporte estratégico a la organización.
Un equipo de gestión de riesgos integrado y ágil es crucial para ayudar a su organización a mantenerse competitiva y aprovechar las oportunidades comerciales adecuadas. Al aprovechar una solución de IRM que reúne todos sus datos en un solo lugar, sus equipos de GRC tendrán los conocimientos necesarios para ayudar a que su negocio avance.
Su solución GRC es la columna vertebral de sus equipos de cumplimiento y administración de riesgos, por lo que es crucial que su tecnología no experimente fallas de seguridad o interrupciones del servicio y pueda actualizarse fácilmente cuando sea necesario.
Al alojar su plataforma GRC, su organización tiene dos opciones: en la nube o en las instalaciones. Evaluaremos los pros y los contras de cada uno.
Cuando decide alojar su plataforma GRC en las instalaciones, eso significa que está utilizando servidores internos e infraestructura de TI para ejecutar el software.
Cuando se cambia a un entorno de nube, depende de los servidores del proveedor para alojar su aplicación y podrá acceder a ella desde cualquier dispositivo, sin importar dónde se encuentre.
Si bien el software local puede ser necesario para ciertas empresas debido a los requisitos de cumplimiento, la gran mayoría de las organizaciones ahora tienen la libertad de migrar a la nube. Y como muchos proveedores de software basados en la nube se han asegurado de que sus soluciones sean lo suficientemente seguras y estables para el uso empresarial y gubernamental, hemos visto que las tasas de adopción se dispararon: Gartner predice que el gasto en la nube pública en todo el mundo crecerá un 23% al termino del 2021.
La pandemia de COVID-19 y el cambio a equipos más distribuidos ha demostrado los peligros de depender de herramientas e infraestructura locales. Al adoptar la transformación digital y crear una pila tecnológica segura de herramientas basadas en la nube, puede dormir tranquilo sabiendo que sus equipos tienen las herramientas para trabajar desde cualquier lugar, en cualquier momento, sin comprometer la seguridad de su organización.
Al elegir una herramienta GRC basada en la nube, debería proporcionar una plataforma integrada donde todo su equipo de gestión de riesgos pueda colaborar y compartir datos. También debe tener la capacidad de automatizar los flujos de trabajo de cumplimiento comunes y proporcionar imágenes y análisis en tiempo real para ayudarlo a medir sus niveles de riesgo para los indicadores clave de riesgo.
Pasar de una solución local a una basada en la nube puede ser un gran acto de fe, pero con el socio adecuado, verá muchos beneficios. La elección es clara: una solución GRC basada en la nube es el camino del futuro.
Al experimentar un rápido crecimiento, la compañía identificó la necesidad de reemplazar sus sistemas de hojas de cálculo y software heredado con una plataforma de gestión de riesgos automatizada para simplificar los procesos y exponer y gestionar mejor los factores de riesgo críticos.
Históricamente, muchas organizaciones han ido a un ritmo lento en lo que respecta a la transformación digital. De hecho, Forrester informó que solo el 15% de las empresas se clasificarían como “conocedoras de la tecnología digital” antes del año pasado.
A raíz de la pandemia de COVID-19, las cosas han cambiado y Forrester predice que todas las empresas invertirán mucho en iniciativas tecnológicas, incluido un mayor gasto en soluciones de seguridad, riesgo, red, nube y movilidad. Dar prioridad a la transformación digital brinda a las organizaciones la capacidad de acelerar el crecimiento, mejorar la productividad y tener un mejor acceso a los datos.
La gestión de riesgos digitales se refiere a los procesos digitales para mejorar la evaluación y el seguimiento del riesgo, que pueden incluir riesgo de ciberseguridad, de terceros, operativo y muchos otros tipos de riesgo. Estos, pueden afectar el desempeño financiero, el funcionamiento o la reputación de la organización.
Una solución de gestión de riesgos digitales puede incluir el uso de automatización de procesos, automatización de decisiones, monitoreo digitalizado y sistemas de alerta temprana, y puede proporcionar análisis en profundidad para ayudar a su organización a monitorear mejor su estado de cumplimiento y nivel de amenaza actual para todos los factores de riesgo.
Al digitalizar su proceso de gestión de riesgos, puede eliminar los silos y asegurarse de que sus equipos puedan comunicarse entre sí. La solución de gestión de riesgos digitales adecuada proporcionará una visibilidad clara de las amenazas actuales, así como las soluciones que puedan ser necesarias, acortando el tiempo necesario para responder a las amenazas. Y en lugar de enviar gerentes de cumplimiento para que realicen comprobaciones constantes en el sitio, puede confiar en la autoinformación digitalizada y las notificaciones automatizadas para muchos estándares de cumplimiento, lo que mejora la productividad en el lugar de trabajo y mejora el cumplimiento en toda la organización.
Una solución de gestión de riesgos digitales es una plataforma integrada que funciona a la perfección para equipos distribuidos, lo que les permite acceder a vistas personalizadas en función de sus necesidades únicas. También proporciona un panel de control completo que muestra el estado de cumplimiento, los niveles de riesgo y las acciones necesarias. Su equipo puede automatizar gran parte del trabajo de análisis de datos que se habría realizado manualmente en el pasado. Los empleados también pueden apropiarse de la autoevaluación de las evaluaciones de cumplimiento, liberando a los gerentes de cumplimiento de una pesada carga de informes y brindándoles la oportunidad de enfocarse en iniciativas estratégicas.
Una solución de gestión de riesgos digitales respaldada por inteligencia artificial ayuda a una organización a optimizar la eficiencia, obtener una mejor comprensión de los datos e identificar y remediar las amenazas más rápidamente.
En una era de incertidumbre, con las amenazas de ciberseguridad que avanzan día a día, implementar una solución de gestión de riesgos de primer nivel es fundamental para garantizar la sostenibilidad y el crecimiento de su organización. Al elegir una solución de gestión de riesgos digitales, estará bien preparado para aprovechar al máximo la tecnología y mantener a su organización protegida de cualquier amenaza.
Las prácticas comerciales en rápida evolución y una gama cada vez mayor de riesgos de TI, en particular las brechas de seguridad, son algunos de los mayores problemas que enfrentan las organizaciones.
Los líderes de TI, seguridad y gestión de riesgos prestan mucha atención a los principales riesgos de ciberseguridad. Pero no se trata solo de los principales riesgos de TI. El desafío al que se enfrentan muchos líderes es qué hacer con todo lo demás. Esto incluye cosas como:
* ¿Cuál es la mejor manera de lidiar con la gran cantidad de requisitos normativos y problemas de cumplimiento que afectan a TI?
* ¿Cómo se asegura de que su organización cumpla con todos los requisitos dentro de los marcos, estándares y regulaciones como COSO, ISO / IEC, COBIT, HIPAA, PCI y GDPR?
* ¿Cómo se logra que la compleja red de actividades de cumplimiento funcione a la perfección?
Si trabaja en TI, es probable que se encuentre bajo una enorme presión para asegurarse de que su organización cumpla con las normas y esté protegida de los riesgos cibernéticos. También se espera que haga esto de la manera más eficiente posible sin involucrar grandes cantidades de recursos.
Sorprendentemente, muchos equipos de cumplimiento de TI todavía utilizan sistemas propios basados en hojas de cálculo o software de aplicación obsoleto para administrar los procesos de cumplimiento, en lugar de software de cumplimiento de TI dedicado.
La combinación correcta de software GRC de TI y las mejores prácticas puede transformar los procesos de cumplimiento de TI, reduciendo los riesgos y aumentando la eficiencia.
Aquí hay algunos pasos que puede seguir para comenzar a trabajar de manera más inteligente:
El software especialmente diseñado puede ayudarlo a comprender y administrar mejor las relaciones entre los riesgos y los requisitos de cumplimiento. Algunos apoyan específicamente el mapeo y la vinculación de riesgos con los requisitos de forma integrada.
Ahorre tiempo y agilice el trabajo automatizando dos áreas clave en la gestión de riesgos:
La automatización de estas áreas hará que su equipo sea más eficiente y liberará su tiempo para concentrarse en otras tareas críticas.
Asegúrese de que la complejidad y el grado de riesgos se aborden adecuadamente y sean vistos por todos en su negocio. Conectar los riesgos de TI al panorama organizacional más amplio significa que no se piensa en TI de forma aislada, sino en el contexto de los riesgos generales y los problemas de cumplimiento que enfrenta la organización.
Para trabajar de manera más inteligente, deberá obtener una integración más funcional de cualquier persona involucrada en múltiples áreas de cumplimiento de TI. Romper esos silos no es fácil, pero es necesario. Eso se puede hacer reuniendo a todos en una sola plataforma de software GRC , para trabajar con los mismos datos, mirar los mismos informes y trabajar hacia los mismos objetivos.
El Riesgo tiene la atención de los altos ejecutivos. El Riesgo se desplaza rápidamente en una economía donde ” la velocidad de cambio” es la verdadera moneda corriente de los negocios, y que emerge en formas completamente nuevas en un mundo donde la globalización y la automatización están obligando cambios en los valores fundamentales y las iniciativas de empresas en todo el mundo.
Gartner, la firma analista líder en el sector de empresas de TI, ha dejado muy clara la convergencia de las cuatro fuerzas, Nube, Movilidad, Datos y Social – esta convergencia está impulsando el empowerment de las personas a medida que se comunican entre sí compartiendo su información a través de soluciones tecnológicas bien diseñadas.
En la mayoría de las organizaciones no hay un esfuerzo coordinado para aprovechar los cambios organizativos que surgen de estos factores con el fin de desarrollar un enfoque integrado para el dominio de la gestión de riesgos.
La nueva posibilidad es aprovechar el cambio que se está produciendo para desarrollar nuevos programas, no sólo por la tecnología por supuesto, sino también por las personas, la metodología y los problemas del proceso.
El objetivo es proporcionar a la Alta Dirección una visión global y dinámica de la eficacia de cómo la organización gestiona los riesgos y se encuentra abierta al cambio, establecida en el contexto de los objetivos estratégicos y operativos generales.
El análisis de datos permite examinar sus riesgos y procesos de control más de cerca, y reducir las instancias de fallas de control. Algo que su sistema ERP no puede entregar. Un paso a menudo que falta en el monitoreo de riesgos y controles es detenerse para evaluar qué funciona bien y qué no.
Utilice el análisis de datos para examinar cada transacción en una población completa de datos (por ejemplo, cada actividad registrada que tuvo lugar dentro de un proceso financiero o comercial) para determinar si:
Puede hacerlo probando cada transacción de varias maneras. Por ejemplo, se puede examinar un monto de pago a un proveedor para determinar que:
Estos son solo algunos ejemplos, pero el análisis de datos se puede utilizar de innumerables maneras para probar una variedad de controles internos y crear una cobertura de datos del 100%. Todos estos análisis, y muchos más, se pueden configurar y ejecutar en minutos. También se pueden automatizar y repetir, diseñados para ejecutarse regularmente.
Los líderes en nuestra industria aplican docenas de pruebas automatizadas similares a través de transacciones en cada área de proceso de negocio de manera regular para obtener información sobre el estado de su proceso.
Otro uso importante del análisis y monitoreo de datos es examinar todas las transacciones que tuvieron lugar dentro de un proceso comercial determinado para encontrar problemas y áreas de mejora. Sus datos pueden revelar respuestas a preguntas como:
En un mundo ideal, todas las aplicaciones de procesos de negocios tendrían controles integrados que evitarían que se realicen transacciones incorrectas, inválidas o sospechosas. Pero esto no siempre sucede.
También es posible que no pueda configurar su ERP para que coincida con su proceso, especialmente cuando se trata de un servicio comercial compartido y puede tener varios impactos posteriores.
Cuando se realiza el análisis de datos y el monitoreo de transacciones después del hecho, es relativamente sencillo detectar dónde están ocurriendo las debilidades de control primario. Las transacciones problemáticas se pueden identificar y abordar rápidamente. Las debilidades de control que permitieron que ocurriera el problema pueden fortalecerse para evitar una recurrencia. Una gran ventaja: el análisis y la supervisión de las transacciones pueden convertirse en un nivel de control adicional, reforzando los controles que ya están implementados y compensando los controles basados en ERP que no funcionan.
Como antecedente, 2018 fue un año récord para la ciberseguridad, y no en el buen sentido. Más de 16,500 vulnerabilidades de seguridad fueron descubiertas y catalogadas en la Base de Datos de Vulnerabilidad y Exposición Común de Mitre . Este es un aumento del 12% desde 2017.
Con un crecimiento como ese, puede pensar que es imposible mantenerse por delante de ellos. Pero la automatización y un enfoque basado en el riesgo para la gestión de vulnerabilidades pueden ayudarlo a abordar este problema creciente.
Para comenzar, debe analizar su estrategia de ciberseguridad de manera integral. Pero esto es a menudo más fácil decirlo que hacerlo.
La criticidad de los activos es el valor que asigna a los activos más vitales de la organización, incluido el hardware, el software y la información confidencial. Definir esto dirige su enfoque a monitorear y mantener los activos más importantes. Estos son los que costarán más si fallan, son robados o quedan obsoletos. Los costos se obtienen al considerar el reemplazo de activos, la pérdida de servicio / tiempo de inactividad y la responsabilidad legal. Para comprender la importancia de sus activos, el primer paso es crear un inventario de los mismos.
Ahora que sus activos están catalogados, el siguiente paso es identificar los riesgos, o combinaciones de amenazas y vulnerabilidades, que pueden afectar sus activos. Esta no es una tarea rápida, pero vale la pena el esfuerzo. Piense en los escenarios que podrían afectar las computadoras de la organización, los dispositivos móviles, el almacenamiento y los empleados. ¿Qué tipo de incidentes no deseados pueden tener lugar? ¿Qué debilidades podrían ser explotadas?
Así es como calculará una calificación de riesgo, una puntuación que determina el impacto y la probabilidad de que cada riesgo ocurra realmente. Estos puntajes le brindan un punto de referencia, para que sepa exactamente cuándo los riesgos están más allá de los niveles aceptables, y puede tomar medidas.
A medida que realiza un inventario de los activos y asigna sus puntajes de riesgo, es importante crear definiciones de riesgo y seguridad interna estándar. Esto se debe a que los escáneres de vulnerabilidades y otras fuentes de información sobre amenazas no registran la gravedad de manera uniforme. Algunos asignan calificaciones numéricamente (por ejemplo, 1-10), mientras que otros califican las cosas cualitativamente (“urgente” o “crítico”). Debe elegir lo que funcione para usted, en lugar de encerrarse en las definiciones de gravedad y riesgo de otra persona.
Si está utilizando un software de gestión de vulnerabilidades específico, aquí es donde ingresaría sus propias clasificaciones de riesgo y mapearía cómo interpreta un puntaje de Qualys versus un puntaje de Nexpose. Hacer esto crea un sistema de puntuación unificado que normaliza los hallazgos del escáner y estandariza los planes de corrección. También extrae los hallazgos de todas las herramientas de seguridad para crear informes y paneles precisos y oportunos.
Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará la puntuación y las clasificaciones para delegar automáticamente y asignar tareas de remediación a la persona o equipo correcto para manejar la amenaza.
Muchas organizaciones tienen políticas sobre la cantidad máxima de tiempo que debería tomar resolver una vulnerabilidad basada en el nivel de amenaza, por ejemplo:
Pero estos plazos para la reparación son a menudo difíciles de cumplir. Una encuesta del Instituto SANS señaló que solo el 68% de los encuestados pudieron reparar, parchar o mitigar vulnerabilidades críticas en menos de un mes. Obviamente, eso no es lo ideal, porque cuanto más tiempo se demore en resolver, mayor será el riesgo. Pero al automatizar el cálculo de estas amenazas y asignar las clasificaciones de riesgo apropiadas, puede comenzar a rastrear los plazos y priorizar los flujos de trabajo.
Esta configuración y automatización optimizarán su trabajo y lo ayudarán a lidiar con las enormes cantidades de datos de vulnerabilidad que recibe diariamente. Muchas organizaciones que automatizan estos procesos ven reducciones sólidas en el tiempo que lleva realizar la gestión diaria del riesgo cibernético. Y al crear esta jerarquía, responderá a los elementos de alta prioridad más rápido.
Una de las partes más importantes de todo este proceso es tener una comprensión clara de cómo analizar sus datos. Muchos profesionales de seguridad de TI se encuentran con muchos datos, pero sin poder darles utilidad. Pero como ya tiene los datos, ahora es solo cuestión de llevarlos a una plataforma de administración de amenazas y vulnerabilidades. Luego, puede completar esas primeras asignaciones para comprender la crítica.
Vale la pena trabajar la vulnerabilidad de su organización, especialmente cuando comienza a ver el ahorro de tiempo, la corrección más rápida y la reducción de riesgos y amenazas.
