Seguridad

La auditoría de ciberseguridad, esa gran desconocida en la empresa

tendencias-ciberseguridad-2018

Pese a encontrarnos en un momento álgido de la ciberguerra y los casos de incidentes relacionados con los ataques informáticos, en torno a un 37% de las empresas sigue sin incluir la ciberseguridad dentro de sus planes de auditoría.

Una de las primeras (y más necesarias) medidas para luchar contra las amenazas cibernéticas y garantizar la privacidad de los clientes en los servicios online (máxime con la inminente llegada del GDPR en mayo) es realizar una auditoría de seguridad por la que conocer los riesgos a los que nos exponemos, las fortalezas de nuestras infraestructuras TIC y las áreas de mejora a las que debemos echar un ojo.

Sin embargo, en torno a un 37% de las empresas no ha incluido la ciberseguridad dentro de sus planes de auditoría, a pesar de que la inmensa mayoría de los líderes mundiales (1.300 encuestados por ISACA y Protiviti) reconocen que la privacidad y seguridad informática es la mayor preocupación de sus negocios por segundo año consecutivo.

Auditoría de infraestructuras críticas, clave en la seguridad de las empresas

¿La causa de semejante dicotomía? La falta de recursos, afirman los directivos. Aunque las perspectivas invitan al optimismo, si nos atenemos a la tendencia histórica. En la actualidad, indica el informe, alrededor de la mitad de todas las organizaciones tiene un director de auditoría dedicado a las TIC. Hace apenas cinco años, apenas el 35% de las compañías tenía ese rol en su estructura.

Recordemos que las auditorías son un pilar esencial en la aplicación práctica del Reglamento General de Protección de Datos. De acuerdo al artículo 30 del GDPR, se exige mantener un ‘registro de actividades de procesamiento’ actualizado y con documentación detallada de los tipos de datos personales almacenados, las fuentes de los mismos y cómo se comparten, procesan y exportan. Para poderlo gestionar correctamente, tenemos que hacer una auditoría (sí o sí) de los activos, fuentes y procesos que utilicen datos personales existentes dentro de cada departamento de la compañía.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.