COSO Deloitte Managing Cyber Risk in A Digital Age

Machine Translated by Google
Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Gobernanza y Gestión de Riesgos Empresariales
GERENTE
RIESGO CIBERNÉTICO EN
UNA ERA DIGITAL
Por
María E. Galligan | Sandy Herrygers | kelly rau
La información contenida en este documento es de carácter general y se basa en autoridades que están sujetas a cambios. La aplicabilidad de la información a
situaciones específicas debe determinarse consultando a su asesor profesional, y este documento no debe considerarse un sustituto de los servicios de dichos asesores,
ni debe utilizarse como base para ninguna decisión o acción que pueda afectar a su organización. .
Autores
Deloitte & Touche LLP
Mary E. Galligan Sandy Herrygers kelly rau

Directora General Pareja Director general
Agradecimientos
Nos gustaría reconocer a Jeff Antonelli, Neha Awal, Lauren Bady, Brooks Castaneda, Bryan Czajka, Max Kadish, Michelle
Rakovsky, Shikha Sharma y Thomas Zimlich por su ayuda en la preparación del documento.
Miembros de la Junta de COSO
Paul J. Sobel Daniel C Murdock
COSO Presidente Ejecutivos financieros internacionales
Douglas F. Prawitt Instituto Jeffrey C. Thomson
Asociación Americana de Contabilidad de Contadores Gerenciales
Bob Dohrer
Richard F. Chambers, Instituto
Instituto Americano de CPA (AICPA) de Auditores Internos
Prefacio
Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que se dedica a brindar liderazgo
intelectual a través del desarrollo de marcos integrales y orientación sobre gestión de riesgos empresariales, control interno y disuasión de fraude diseñados
para mejorar el desempeño organizacional y gobernanza y reducir el alcance del fraude en las organizaciones.
COSO es una iniciativa del sector privado patrocinada y financiada conjuntamente por las siguientes organizaciones:
Asociación Americana de Contabilidad (AAA)
Instituto Americano de CPA (AICPA)
Internacional de Ejecutivos Financieros (FEI)
El Instituto de Contadores de Gestión (IMA) Comité de Organizaciones Patrocinadoras de
la Comisión Treadway
El Instituto de Auditores Internos (IIA) coso.org
Gestión del riesgo cibernético en la era digital | i
GERENTE
RIESGO CIBERNÉTICO EN
UNA ERA DIGITAL
Investigación encargada por
noviembre 2019
coso.org
yo | Gestión del riesgo cibernético en la era digital
Copyright © 2019, Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO).
1234567890 PIP 198765432
Las imágenes de COSO son de COSO Enterprise Risk Management: integración con estrategia y rendimiento. ©2017, la Asociación
de Contadores Profesionales Certificados Internacionales en nombre del Comité de Organizaciones Patrocinadoras de la Comisión
Treadway (COSO). COSO es una marca registrada del Comité de Organizaciones Patrocinadoras de la Comisión Treadway.
Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmitida o exhibida de ninguna forma
o por ningún medio sin permiso por escrito. Para obtener información sobre licencias y permisos de reimpresión, comuníquese con el Instituto
Estadounidense de Contadores Públicos Certificados, que se encarga de las licencias y los permisos para los materiales con derechos de autor de COSO.
Dirija todas las consultas a copyrightpermissions@aicpacima.com o AICPA, Attn: Manager, Licensing & Rights, 220 Leigh Farm Road, Durham,
NC 27707 USA. Las consultas telefónicas pueden dirigirse al 8887777077.
Diseño y producción: Sergio Analco.
coso.org
Gestión del riesgo cibernético en la era digital | iii
Contenido Página
Introducción 1
Revolución digital 2
Gobernanza y Cultura 5
Establecimiento de estrategia y objetivos 8
Actuación 10
Revisión y Revisión 13
Información, comunicación y presentación de informes 15
Conclusión 18
Apéndice 19
Referencias 21
Sobre los autores 22
Acerca de COSO 24
Acerca de Deloitte 24
coso.org
IV | Gestión del riesgo cibernético en la era digital
coso.org
Gestión del riesgo cibernético en la era digital | 1
INTRODUCCIÓN
El propósito de esta guía es proporcionar una descripción general técnicas de gestión de riesgos cibernéticos, pero no pretende ser una
para los ejecutivos comerciales y los miembros de la junta sobre la guía completa para desarrollar e implementar estrategias técnicas.
gestión del riesgo cibernético a través de los principios definidos en el Consulte la tabla a continuación para obtener contexto adicional sobre la
Marco de gestión de riesgos empresariales de COSO. Esta guía audiencia prevista y el uso de este artículo.
proporciona un contexto relacionado con los conceptos fundamentales de
Audiencia Uso previsto
Junta Directiva Comprensión de los siguientes temas para ayudar en la supervisión de los procesos cibernéticos de gestión:
• La necesidad de la participación de la junta directiva y los ejecutivos para un programa efectivo de gestión de riesgos cibernéticos •
Cómo aprovechar el marco de gestión de riesgos empresariales (ERM) de COSO para gobernar la estrategia de seguridad cibernética,
Comité de Auditoría la ejecución y el programa de monitoreo
Miembros
• Conceptos clave y ejemplos de estrategias de gestión de riesgos cibernéticos
Ejecutivos Comprensión de los siguientes temas para ayudar a la dirección ejecutiva de la gestión del riesgo cibernético: • Cómo
(CEO, CIO, CRO, etc.)
aprovechar el marco de gestión de riesgos empresariales (ERM) de COSO para gestionar el riesgo cibernético
• Descripción general de las consideraciones de riesgo cibernético y técnicas de mitigación
(p. ej., apetito por el riesgo, priorización de riesgos)
• Ejemplos ilustrativos de notables marcos técnicos de seguridad cibernética
Practicantes cibernéticos Comprensión de cómo el riesgo cibernético encaja en un enfoque de ERM
coso.org
2 | Gestión del riesgo cibernético en la era digital
REVOLUCIÓN DIGITAL
Las amenazas y los ataques cibernéticos continúan creciendo en número • Se adapta a las expectativas de gobernanza y supervisión.
y complejidad, todo mientras el mundo empresarial se vuelve cada vez más
• Reconoce la globalización de los mercados y operaciones
conectado y digital. A medida que las empresas y la tecnología han
y la necesidad de aplicar un enfoque común, aunque personalizado, en
evolucionado, también lo ha hecho el marco de gestión de riesgos
todas las geografías.
empresariales (ERM) de COSO, que se actualizó en 2017 y se tituló Gestión
de riesgos empresariales: integración con la estrategia y el rendimiento
• Presenta nuevas formas de ver el riesgo para establecer y lograr objetivos
("Marco ERM"). Uno de los impulsores fundamentales detrás de la actualización
en el contexto de una mayor complejidad empresarial.
del Marco ERM fue la necesidad de abordar la evolución de la gestión de
riesgos en la era cibernética y la necesidad de que las organizaciones mejoren • Amplía los informes para abordar las expectativas de una mayor
su enfoque para gestionar el riesgo cibernético para satisfacer las demandas transparencia de las partes interesadas.
de un entorno empresarial en evolución. El marco de ERM se ha mejorado de
• Acomoda tecnologías en evolución y la proliferación de datos
muchas maneras para resaltar la importancia de considerar el riesgo tanto en
y análisis para respaldar la toma de decisiones.
el proceso de establecimiento de estrategias como en el impulso del
desempeño. El marco:
• Establece definiciones, componentes y principios básicos para todos
los niveles de gestión involucrados en el diseño, implementación y
• Proporciona una mayor comprensión del valor de la gestión de riesgos al
realización de prácticas de ERM.1
establecer y ejecutar la estrategia.
• Mejora la alineación entre el rendimiento y el riesgo
gestión para mejorar el establecimiento de objetivos de desempeño y
comprender el impacto del riesgo en el desempeño.
COSO 2017 Estrategia Marco ERM
i norte
gramo I
metro
iCa
pagyo
ai
norte
yo gramo
tio
o
norte
t
orF
norte
s
tart ymi
gramo
metro
i s
Fo
yt
ESTRATEGIA,
NEGOCIO
ht
mi
t
ar
s
t
MEJORADO
MISIÓN VISIÓN &
VALORES FUNDAMENTALES
i b
yo
os
PAG
OBJETIVOS &
ACTUACIÓN
norte
gramo
y
os
mi
mi
C
h ACTUACIÓN
mi
C
Ris a norte
t r
rFo
metro
k
st rat mi gramo
y
& pag mi
Fuente: COSO
Está claro que las innovaciones en los negocios y la tecnología han
tejido un rico y complejo tejido de conectividad, mejorado a través de
la proliferación de Internet y, más recientemente, la aparición de soluciones
basadas en la nube fácilmente disponibles. Sin embargo, a medida que las El 90% de las organizaciones en
empresas se vuelven más ágiles e innovadoras gracias a la aparición del América del Norte que están involucradas en la
Transformación Digital reconocen que sus
alcance digital, han surgido vulnerabilidades nuevas y siempre presentes. En
perfiles de riesgo se han ampliado debido a
un día cualquiera, hay numerosos informes de los medios sobre incidentes
sus iniciativas digitales. La gestión de los
cibernéticos significativos. Las organizaciones de todos los tipos y tamaños
riesgos de ciberseguridad es el principal
son susceptibles a los ataques cibernéticos. Qué datos, sistemas y activos
objetivo de gestión de riesgos para los
tienen valor en un momento determinado depende de los motivos del atacante tomadores de decisiones en las organizaciones
cibernético. Mientras los incidentes cibernéticos continúen teniendo un involucradas en la Transformación Digital.
impacto negativo en la reputación y el bienestar financiero de las empresas
víctimas y sigan atrayendo un escrutinio regulatorio y legal adicional, las Fuente: Estudio de riesgo digital de
RSA, 2019, https://www.rsa.com/content/dam/en/whitepaper/rsadigital
infracciones cibernéticas seguirán siendo eventos de alto perfil que generarán riskreport2019.pdf
una cantidad sustancial de prensa negativa.
coso.org
El bienestar financiero y de identidad de las víctimas de un ser 'culpable por asociación' en los casos en que sus datos estén
ataque cibernético, incluidos los empleados y consumidores de la seguros, pero uno de sus proveedores se vea afectado por una infracción.
organización, continúa alimentando el impacto de las amenazas cibernéticas. A medida que las empresas continúan aprovechando las nuevas
Además, las pequeñas empresas y las agencias gubernamentales tecnologías (por ejemplo, inteligencia artificial, cadena de bloques,
locales pueden ser más fáciles de atacar y explotar que las grandes computación en la nube, aprendizaje automático, etc.) y continúan
corporaciones con sistemas sofisticados de prevención y detección utilizando terceros para realizar operaciones, los atacantes cibernéticos
de intrusiones, aunque estas últimas pueden ser una fuente más aprovecharán las nuevas vulnerabilidades que permiten que los sistemas
eficiente de interrupción e ingresos ilícitos. Como resultado, es importante y controles de información ser explotado Según un estudio del Instituto
que las organizaciones consideren el costobeneficio de una póliza de Ponemon de 2018 titulado "Riesgo de datos en el ecosistema de terceros",
seguro cibernético en caso de que ocurra una violación de datos para el 59 % de las empresas han experimentado una brecha causada por un
ayudar a transferir y mitigar el riesgo relacionado con la pérdida financiera. tercero que utilizan. Solo el 11 % de las empresas de ese estudio confiaba
Sin embargo, es igualmente importante comprender la cobertura y las en saber si un tercero había perdido o robado sus datos confidenciales. El
restricciones del plan, ya que puede haber limitaciones, como los costos nivel de dependencia de terceros ha ampliado efectivamente el alcance
asociados con el daño a la reputación o la negativa de la aseguradora a de la empresa y se ha convertido en un contribuyente significativo a las
pagar un reclamo debido a problemas con la política de clasificación de violaciones de la seguridad de la información. En consecuencia, el
datos de una organización, estándar de cifrado, etc. programa ERM debe extenderse a la gestión del riesgo cibernético dentro
del ecosistema de terceros.
Si bien las empresas tienen mucho cuidado al compartir
información sobre su tecnología, tanto interna como externamente,
Los incidentes digitales ahora les cuestan para proteger sus operaciones comerciales, los atacantes cibernéticos
a las pequeñas empresas $ 200,000 en tienen el lujo de operar en el extremo opuesto del espectro. Comparten
promedio, según la compañía de seguros información abiertamente sin límites a través de la dark web, sin temor
Hiscox, y el 60% cierra dentro de los seis a repercusiones legales y, a menudo, operan con mucho anonimato.
meses posteriores a la víctima. La frecuencia Los atacantes cibernéticos aprovechan la tecnología y buscan
con la que ocurren estos ataques también está aprovechar las fallas en las políticas y los procedimientos de seguridad
aumentando, ya que más de la mitad de todas para atacar desde prácticamente cualquier lugar y apuntar a prácticamente
las pequeñas empresas sufrieron una brecha
cualquier tipo de datos. El atacante puede ser una amenaza interna o
en el último año y 4 de cada 10 experimentaron
externa y sus motivos pueden variar.
múltiples incidentes.
Fuente: Los ataques cibernéticos ahora cuestan a las pequeñas empresas $ 200,000 Además de los ataques cibernéticos, los riesgos relacionados con
en promedio, dejando a muchas fuera del negocio, CNBC.
https://www.cnbc.com/2019/10/13/cyberattackscostsmallcompanies200k poniendo otros escenarios cibernéticos, como el malware destructivo, el
muchasfueradelnegocio.html
ransomware y otros vectores utilizados para afectar la confidencialidad,
disponibilidad e integridad de los sistemas de información y los datos,
pueden afectar sustancialmente los activos tangibles e intangibles de una
organización. A pesar de esta amenaza cibernética de gran alcance, está
Además, la transformación digital y la TI seguirán evolucionando en la claro que no es posible proteger todos los datos, particularmente
forma en que las organizaciones operan en un panorama global. Este considerando cómo la estrategia, los procesos y la tecnología de una
creciente alcance digital, particularmente considerando cómo las organización continuarán evolucionando para respaldar sus operaciones.
organizaciones a menudo comparten los datos con partes externas, como Cada evolución crea una oportunidad para la exposición. Si bien la
proveedores de servicios subcontratados, agrega capas de complejidad, evolución se puede manejar con cuidado para minimizar la oportunidad de
volatilidad y dependencia de una infraestructura que no está completamente exposición, es imposible estar seguro de que se hayan abordado todas las
bajo el control de la organización. Si bien es posible que se hayan creado vulnerabilidades. Además, los atacantes cibernéticos continúan
y establecido relaciones de confianza y controles entre organizaciones y evolucionando y encuentran nuevas formas de explotar las debilidades.
partes externas (p. ej., proveedores de servicios, vendedores y clientes)
para permitir el intercambio de información y comunicaciones electrónicas
para realizar operaciones comerciales, cuando surge un problema, la
organización a menudo es responsable de las infracciones tecnológicas
fuera de su perímetro. La organización puede incluso
coso.org
Infografía de COSO con principios Como resultado,
la realidad es que el riesgo cibernético no es algo que se pueda técnicas para proteger los activos de información de la organización,
evitar; en cambio, debe ser administrado. Las organizaciones deben la marca y la reputación, las cadenas de suministro, etc.
asegurarse de comprender todos los datos que se recopilan, cómo
se recopilan, dónde se almacenan esos datos y luego centrarse en Las organizaciones pueden ver su perfil de riesgo cibernético a través de
sus datos más importantes para implementar los controles de los siguientes componentes de gestión de riesgos según el COSO
seguridad apropiados y otras medidas de mitigación de riesgos. Marco ERM1 :
Componentes de gestión de riesgos
GESTIÓN DE RIESGOS EMPRESARIALES
MISIÓN VISIÓN ESTRATEGIA NEGOCIO IMPLEMENTACIÓN MEJORADO

& VALORES FUNDAMENTALES DESARROLLO OBJETIVO & ACTUACIÓN VALOR
FORMULACIÓN
Gobernancia Estrategia & Actuación Revisar Información,

& Cultura Establecimiento de objetivos & Revisión Comunicación,
e informes
Fuente:
1. Cla
Ejerce OSO
supervisión de
6. Analiza el contexto 10. Identifica el riesgo 15. Evalúa el cambio 18. Aprovecha la información
riesgos de la Junta 2. empresarial sustancial y la tecnología 19.
11. Evalúa la gravedad
Establece estructuras 7. Define el apetito por el riesgo del riesgo 16. Revisa el riesgo y el Comunica información sobre
operativas 8. Evalúa la alternativa 12. Prioriza los riesgos • Gobernanza y cultura: Gobernanza rendimiento riesgos
y cultura 3. Define las estrategias de cultura deseadas 13. Implementa el riesgo en conjunto como • Revisión y 17.
Revisión: Ala
l rm
evisar
base para todos los Persigue ejora ee l
n riesgo c20.
la ibernético
Informes de Riesgo,
9. Formula los objetivos Cultura y
4. Demuestra
demás componentes de ERM . Respuestas capacidades yGestión de Riesgos
prácticas de gestión y el desempeño de la entidad en
Compromiso comerciales El Empresariales Actuación
gobierno e stablece e l
t ono
d e
l a
e ntidad, l o
q ue r efuerza l a 14. Desarrolla vista drelación
e c on s us o bjetivos, u na o rganización p uede c onsiderar qué
a los valores fundamentales
cartera
importancia de la vigilancia cibernética y establece la supervisión 5. tan bien las capacidades y prácticas de gestión de riesgos cibernéticos
Atrae, desarrolla y retiene las responsabilidades de la entidad.
han aumentado el valor con el tiempo y continuarán generando valor a la
Individuos
luz de cambios sustanciales.
• Establecimiento de estrategia y objetivos: la gestión del riesgo
cibernético se integra en el plan estratégico de la entidad a través del • Información, Comunicación y Reporte:
proceso de establecimiento de la estrategia y los objetivos comerciales. La comunicación es el proceso iterativo continuo de obtener
Con una comprensión del contexto empresarial, la organización puede información y compartirla en toda la entidad.
obtener información sobre los factores internos y externos y su efecto La gerencia utiliza información relevante de fuentes internas y externas
sobre el riesgo. Una organización establece su apetito por el riesgo para respaldar la gestión del riesgo cibernético.
cibernético junto con el establecimiento de estrategias. Los objetivos de La organización aprovecha los sistemas de información para
negocio permiten poner en práctica la estrategia y dan forma a las capturar, procesar y administrar datos e información.
operaciones y prioridades del día a día de la entidad. Mediante el uso de información que se aplica a todos los componentes,
la organización informa sobre el riesgo, la cultura y el desempeño.
• Desempeño: una organización identifica y evalúa los riesgos que
pueden afectar la capacidad de una entidad para lograr su estrategia Si bien las organizaciones deben personalizar su enfoque para
y objetivos comerciales. Como parte de esa búsqueda, la organización administrar los riesgos cibernéticos en función de su contexto
identifica y evalúa los riesgos cibernéticos que pueden afectar el logro comercial único, el marco ERM proporciona una base para diseñar
de esa estrategia y los objetivos comerciales. Prioriza los riesgos de dicho enfoque. Los 20 principios del Marco ERM se describen a
acuerdo a su severidad y considerando el apetito de riesgo cibernético continuación, con una discusión adaptada a cómo estos principios pueden
de la entidad. Luego, la organización selecciona las respuestas al riesgo abordar la exposición inherente a los riesgos cibernéticos.
y monitorea el desempeño para el cambio. De esta forma, desarrolla
una vista de cartera de la cantidad de riesgo que la entidad ha asumido
en la búsqueda de su estrategia y objetivos comerciales a nivel de entidad.
coso.org
GOBERNANZA Y CULTURA
Principio Descripción
1. Ejerce la Supervisión de Riesgos del Directorio La junta directiva supervisa la estrategia y lleva a cabo responsabilidades de gobierno para
apoyar a la gerencia en el logro de la estrategia y los objetivos comerciales.
2. Establece estructuras operativas La organización establece estructuras operativas en la búsqueda de la estrategia y los objetivos
comerciales.
3. Define la cultura deseada La organización define los comportamientos deseados que caracterizan la cultura deseada de la
entidad.
4. Demuestra compromiso con los La organización demuestra un compromiso con los valores fundamentales de la entidad.
valores fundamentales
5. Atrae, Desarrolla y La organización está comprometida con la formación de capital humano en consonancia con la
Retiene Individuos Capaces estrategia y el objetivo empresarial.
A medida que la actividad de amenazas cibernéticas aumenta
en ocurrencia, complejidad y destructividad, las organizaciones
enfrentan un mayor riesgo para lograr la estrategia y los objetivos comerciales.
Los impactos de una infracción pueden implicar la pérdida de datos, la El porcentaje de empresas públicas
interrupción del negocio, el daño a la marca y la reputación, y posibles que han designado miembros de la junta
implicaciones regulatorias y legales. Como tal, la junta directiva debe enfocados en la tecnología ha crecido en
contemplar el riesgo cibernético como parte del riesgo empresarial más los últimos seis años del 10 al 17 por ciento.
amplio y no verlo solo como un asunto de TI. “Para casi la mitad de las
organizaciones que respondieron (49 %), la seguridad cibernética está en
la agenda de la junta, al menos trimestralmente, según la Encuesta Future
Fuente: Khalid Kark, Caroline Brown, Jason Lewris, Bridging the
of Cyber de 2019 de Deloitte”.2 boardroom's technology gap, Deloitte University Press, 29 de junio de
2017.
Si bien este es un aumento significativo, todavía hay una gran
Para casi la mitad de las organizaciones (49 oportunidad para aumentar este número. El panorama de amenazas
%), la ciberseguridad está en la agenda de
cibernéticas en rápida evolución exige que la junta directiva aumente las
la junta, al menos trimestralmente.
competencias cibernéticas para comprender los riesgos cibernéticos,
Fuente: evaluar el programa y las iniciativas cibernéticas de la organización y
Encuesta Future of Cyber de 2019 de Deloitte, en conjunto con
Wakefield Research, de 500 ejecutivos de nivel C que supervisan la
evaluar la medida en que se abordan los riesgos cibernéticos que
ciberseguridad en empresas con al menos $ 500 millones en ingresos
anuales, incluidos 100 CISO, 100 CSO, 100 CTO, 100 CIO y 100
enfrenta la organización. Por ejemplo, si la composición de una junta
CRO entre enero el 9 de enero de 2019 y el 25 de enero de 2019,
mediante una encuesta en línea.
directiva carece de conocimiento y experiencia en riesgos cibernéticos,
pueden aprovechar los asesores independientes para brindar una
perspectiva de toda la industria sobre las tendencias cibernéticas. El
gobierno de la junta del riesgo cibernético incluye la supervisión de la
Es imperativo que la junta directiva desarrolle o adquiera experiencia en estrategia, la ejecución y el programa de monitoreo de seguridad cibernética
seguridad cibernética o asesores con experiencia relevante. de la organización. Esto incluye garantizar la divulgación pública pertinente
“El porcentaje de empresas públicas que han designado miembros de la y adecuada de los factores de riesgo cibernético y/o una violación material
junta centrados en la tecnología ha crecido en los últimos seis años del 10 de la seguridad cibernética. Por ejemplo, la junta puede buscar comprender
% al 17 %”.3 la postura de seguridad cibernética de la entidad en comparación con otras
entidades en la misma industria. Y, dado el volumen de factores de riesgo
divulgados públicamente y violaciones de seguridad cibernética, es posible
que la junta supervise las divulgaciones cibernéticas de la entidad en
comparación con sus pares de la industria también.
coso.org
Debido a la naturaleza omnipresente del riesgo cibernético, es importante que La cultura de seguridad cibernética de una organización, su conciencia de
las organizaciones aborden la seguridad cibernética desde una perspectiva de seguridad y los comportamientos deseados de los empleados relacionados
ERM. Este enfoque de gestión integrado para hacer frente al riesgo cibernético comienzan con la junta directiva y la gerencia e incluyen a todos los empleados.
implica la creación de un equipo de gestión de riesgos cibernéticos, generalmente La cultura de la seguridad cibernética debe estar integrada en la cultura de la
dirigido por el director de información o el director de seguridad de la información, organización.
y está compuesto por miembros de la alta dirección, como el director financiero, Las organizaciones con una cultura sólida enfocada en la concientización
el director de riesgos , consejero general o director de operaciones. El equipo sobre seguridad cibernética, la capacitación y la prevención de pérdida de
debe comprender una representación interdepartamental y multifuncional que datos pueden reducir la susceptibilidad a los intentos de phishing, la
evalúe los riesgos cibernéticos en toda la empresa en función de un marco, evalúe ingeniería social y otras formas de ataques cibernéticos.
los riesgos de las amenazas cibernéticas, desarrolle un plan de gestión de la La cultura organizacional se define como “'la forma en que funcionan las
seguridad cibernética en toda la empresa y desarrolle un presupuesto para mitigar cosas aquí...' e incluye los valores, creencias, comportamientos, artefactos
los riesgos cibernéticos. El equipo de gestión de riesgos cibernéticos debe informar y sistemas de recompensa que influyen en el comportamiento de las personas
a la junta directiva sobre el impacto de las amenazas cibernéticas y las iniciativas en el día a día. Está impulsada por el liderazgo superior y se arraiga profundamente
de gestión de riesgos asociadas. El director ejecutivo de auditoría de la en la empresa a través de una miríada de procesos, sistemas de recompensa y
organización también debe ser parte de este equipo o un asesor independiente comportamientos”. 5
del equipo.
Si bien los problemas
Rasgos centrales de las empresas que ya han alcanzado el nivel de madurez
cibernéticos y de TI han crecido hasta
más alto según lo define el Instituto Nacional de Estándares y Tecnología (NIST)4
representar casi el 20 por ciento del
, incluir: plan de auditoría interna promedio,
individualmente estos problemas
• Asegurar la participación de la alta dirección, tanto de los altos ejecutivos clave continúan rezagados con
como del directorio; respecto a otros considerados riesgos
menores por las juntas, como operativos,
• Elevar el perfil de la ciberseguridad dentro de la organización financieros, informes y cumplimiento/regulatorio.
más allá del departamento de tecnología de la información (TI) para dar a la
Fuente: Encuesta Pulso de Auditoría Interna de
función de seguridad un mayor nivel de atención y mayor influencia; y América del Norte de 2019 del IIA.
• Alinear los esfuerzos de seguridad cibernética más estrechamente con el
estrategia comercial de la empresa.
El programa de gestión de riesgos cibernéticos de una organización debe ser
coherente con los valores fundamentales de la entidad según lo establecido por la
junta directiva y la alta gerencia. Las políticas, los estándares, las expectativas de
los empleados, la responsabilidad y todas las comunicaciones relacionadas del
programa deben demostrar apoyo a los valores fundamentales de la organización.
Por ejemplo, la gerencia debe tratar de ganarse la confianza de los empleados
para que acepten la importancia de la vigilancia cibernética en lugar de tratar de
forzar los comportamientos deseados.
El liderazgo senior también debe exhibir los comportamientos y hábitos
cibernéticos deseados para establecer el tono correcto.
coso.org
Las organizaciones con una cultura cibernética efectiva cuentan con la Las amenazas cibernéticas continúan evolucionando a un ritmo más rápido,
aceptación y participación de los líderes senior para modelar la cultura y se vuelven más complejas e involucran nuevos arsenales de exploits. La
los comportamientos deseados. La inversión en iniciativas continuas de participación de profesionales calificados en riesgos cibernéticos es
capacitación cibernética y el monitoreo periódico de las opiniones de los fundamental para evaluar de manera efectiva los riesgos cibernéticos para
empleados sobre el riesgo cibernético deben promover la conciencia de los una organización, implementar la mitigación de riesgos y monitorear la
empleados sobre su papel en la seguridad cibernética y el comportamiento y efectividad del programa de seguridad cibernética. Algunas organizaciones
los hábitos de los empleados descritos en el programa de seguridad cibernética. pueden tener profesionales internos con las calificaciones adecuadas, pero
Por ejemplo, muchas organizaciones han implementado programas de otras pueden requerir la asistencia de expertos externos calificados. Por
capacitación que prueban la capacidad de un usuario final para evitar un ejemplo, ciertas organizaciones han establecido expectativas mínimas de
ataque de phishing. Si el usuario final hace clic en un enlace de phishing falso, competencia cibernética en su equipo de seguridad de la información, como
se le recuerda la necesidad de diligencia en la evaluación de correos exigir certificaciones relevantes (por ejemplo, credenciales de Profesional
electrónicos inusuales. Otras organizaciones comparten videos con empleados certificado en servicios de seguridad de la información ("CISSP")). Además,
de malas prácticas de seguridad del usuario final para educar a los usuarios y las habilidades ampliadas y/o la capacitación para las tecnologías recién
muchas también usan software para identificar direcciones de correo electrónico adoptadas son esenciales para administrar el riesgo resultante de las
externas y correos electrónicos con enlaces potencialmente inapropiados y organizaciones, incluidos los recursos técnicos, que no comprenden los riesgos
filtrarlos como parte de su programa de filtrado de correo electrónico. Además, relacionados con la configuración incorrecta de las nuevas arquitecturas y
como parte de la capacitación, los empleados deben saber cómo y dónde plataformas. Y, cuando se necesiten conjuntos de habilidades únicos, se
informar un posible problema cibernético y ser alentados a hacerlo. puede contratar a una empresa externa para ayudar con la evaluación del
riesgo cibernético, la implementación de medidas de resiliencia y/o las
Programa de gestión de riesgos cibernéticos de la organización evaluaciones periódicas de la eficacia del programa. Además, si una
organización experimenta un incidente o una violación de seguridad cibernética
significativos, es posible que se necesite la asistencia de expertos externos
para realizar trabajos forenses o de investigación.
Junta
Compromiso y
experiencia
Sénior Cruz La gobernanza también debe incluir un sistema para la gestión de

Liderazgo funcional
Intervención
datos y el retiro de los sistemas heredados. Un punto más bajo común de falla
Representación
es un sistema heredado que permanece en una red con vulnerabilidades como
Riesgo cibernético
contraseñas predeterminadas o un acceso demasiado generoso que permite
Gestión a los usuarios acceder al hardware y los datos mucho después de que se
desactiven o destruyan. Este también es un riesgo para los datos oscuros que
Estrategia, Conciencia, pocos miembros del personal de TI recuerdan que existen en dispositivos de
Estructura, Entrenar y
Ejecución y Responsabilidad almacenamiento y bases de datos más antiguos que pueden tener una mayor
Supervisión Iniciativas probabilidad de explotación.
Calificado
Interno y
Gobernanza y cultura es un componente fundamental clave para administrar
cibernético externo
Profesionales el riesgo cibernético y debe impulsar la segregación de funciones en las
responsabilidades laborales y el acceso al sistema y la ejecución de una
estrategia comercial que incorpore múltiples líneas de defensa en toda la
Copyright © 2019, Deloitte Development, LLC.
organización.
coso.org
ESTABLECIMIENTO DE ESTRATEGIA Y OBJETIVO
6. Analiza el contexto empresarial La organización considera los efectos potenciales del contexto empresarial en el perfil de riesgo.
7. Define el apetito por el riesgo La organización define el apetito por el riesgo en el contexto de la creación, preservación y
realización de valor.
8. Evalúa estrategias alternativas La organización evalúa estrategias alternativas y el impacto potencial en el perfil de riesgo.
9. Formula objetivos comerciales La organización considera el riesgo al establecer los objetivos comerciales en varios niveles que
alinean y respaldan la estrategia.
El “contexto comercial” se refiere a las tendencias, relaciones y otros factores A medida que se produce el cambio, la organización debe considerar los
que influyen en la estrategia y los objetivos comerciales actuales y futuros de nuevos riesgos cibernéticos que están presentes con respecto a los
una organización. En el entorno actual que cambia rápidamente, es necesario nuevos sistemas, la huella del comercio electrónico en Internet, la seguridad
comprender el entorno cibernético actual para que las empresas se adapten al de las aplicaciones móviles y la protección de la información y la integridad
panorama en constante cambio. Para hacer esto, la revisión periódica de la de los programas de lealtad del consumidor. La seguridad cibernética debe
estrategia y los objetivos comerciales debe considerar la información y la considerarse a medida que el contexto empresarial evoluciona en el entorno
tecnología que son fundamentales para lograr los objetivos comerciales de la operativo en constante cambio de la organización.
organización, tanto ahora como en el futuro.
Las empresas deben estar al tanto de los riesgos, las tendencias y las personas
influyentes actuales en el ciberespacio. Para 2021, se espera que los daños por
delitos cibernéticos alcancen los 6 billones de dólares anuales, el equivalente a
casi el 10 % de la economía mundial.6 Los delincuentes cibernéticos están
encontrando formas nuevas e innovadoras de atacar a las empresas.
Por lo general, una vez que se demuestra que un método de ataque funciona,
varios ciberdelincuentes utilizan ese mismo método. Según las respuestas a la
Para 2021, se espera que los daños Encuesta Future of Cyber de 2019 de Deloitte, casi todos los ejecutivos de nivel
por delitos cibernéticos alcancen los 6 C encuestados (95 %) admiten que sus empresas han experimentado una amplia
billones de dólares anuales, el equivalente a gama de ataques cibernéticos, con graves efectos en sus ingresos, reputaciones
casi el 10 % de la economía mundial. y estabilidad de liderazgo. Además, el 90 % de las organizaciones experimentó al
menos una divulgación de datos confidenciales de producción durante el último
Fuente:
https://m.isaca.org/Journal/archives/2017/Volume6/ año, mientras que el 41 % experimentó más de 5 instancias.
Documents/TheAICPAsNewCybersecurityAttestation
ReportingFramework_joa_Eng_1117.pdf
Definir el apetito por el riesgo y el equilibrio adecuado entre el riesgo cibernético
y la recompensa es algo que toda organización debe tener en cuenta. Un
Como ejemplo, un fabricante puede cumplir actualmente sus objetivos aspecto del apetito por el riesgo que es cada vez más importante para las
comerciales relacionados con el valor para los accionistas a través de los iniciativas digitales es el costobeneficio de no adoptar tecnología avanzada o
ingresos generados por los canales minoristas tradicionales. En este estado expandir las capacidades técnicas. Las organizaciones se están dando cuenta
actual, la información y los sistemas relacionados con la fabricación y el de que tienen que moverse más rápido, implementar tecnologías más avanzadas
envío de pedidos de empresa a empresa son los activos más críticos vinculados y, por lo tanto, es posible que su apetito por el riesgo deba ajustarse en ciertas
al valor para los accionistas. circunstancias más allá de lo que la organización ha aceptado tradicionalmente
Mirando hacia el futuro en el plan estratégico plurianual de la organización, en las operaciones comerciales existentes.
la gerencia planea invertir significativamente y hacer crecer su canal de ingresos
directo al consumidor. Si bien las operaciones tradicionales seguirán respaldando A medida que las organizaciones trabajan para evaluar el entorno
los objetivos comerciales generales, se deben contemplar nuevos sistemas e cibernético actual, la gerencia necesita evaluar hasta qué punto planean
información en las hojas de ruta de tecnología y marketing para permitirles lograr implementar su programa cibernético. Como parte de este proceso, las
los objetivos comerciales estatales futuros. organizaciones deben hacer un inventario de los activos críticos, identificar el
riesgo y determinar dónde existen vulnerabilidades cibernéticas.
coso.org
A partir de ese análisis, la gerencia puede determinar mejor qué unidades Es clave para la gerencia alinear el programa de seguridad cibernética con
comerciales, ubicaciones y plataformas tecnológicas deben incorporarse los objetivos comerciales y las metas establecidas. Se pueden aprovechar
al programa y en qué medida. Estos factores pueden ayudar a las métodos como FAIR (Análisis factorial del riesgo de la información) de The
organizaciones a desarrollar y actualizar continuamente su apetito por el Open Group para cuantificar el riesgo y derivar valores para la evaluación
riesgo en relación con la seguridad cibernética. Por ejemplo, una empresa de la tolerancia al riesgo. Se pueden establecer ciertas tolerancias o
que depende en gran medida de la tecnología con una huella significativa variaciones aceptables en el desempeño para ayudar a garantizar que el
en el comercio electrónico puede tener un menor apetito por el riesgo programa de gestión de riesgos opere dentro de los límites definidos y
cibernético para la tecnología y la información relacionada con sus comprendidos, incluido un umbral de tolerancia máximo definido basado en
operaciones comerciales de comercio electrónico. Del mismo modo, la el apetito por el riesgo de la gerencia ("A" en el Umbral de tolerancia al
misma empresa puede tener un mayor apetito por el riesgo de información riesgo a continuación). Para los activos no críticos, la gerencia podría
y sistemas que no son fundamentales para lograr sus objetivos comerciales determinar un modelo de seguridad cibernética menos agresivo que para
principales. Una vez que se ha determinado el apetito de riesgo de la los activos críticos. Además, la reevaluación del programa de seguridad
organización para la seguridad cibernética, la gerencia debe comunicarlo cibernética es importante dado el movimiento dinámico en el espacio
a todas las partes interesadas clave del negocio y, en última instancia, cibernético. Tras la evaluación, si no se cumplen los objetivos y se superan
monitorearlo mediante la supervisión de la junta directiva. Dado que el las tolerancias establecidas, es posible que sea necesario revisar el apetito
apetito por el riesgo de una organización puede cambiar, es importante por el riesgo de seguridad cibernética y/o el modelo de gobierno cibernético.
considerar cómo administrar las decisiones sobre el apetito por el riesgo
cuando se espera un cambio y cuando ocurre. A partir del ejemplo anterior
de la entidad de fabricación con el canal minorista tradicional con un cambio
anticipado en el espacio directo al consumidor, la generación de ingresos Umbral de tolerancia al riesgo
puede ser pequeña en la expansión inicial para el marketing directo al
consumidor. Sin embargo, las inversiones para llegar a esa etapa pueden Tolerancia
ser significativas y es probable que los riesgos reputacionales en el mercado Objetivo
sean altos. En esta situación, el apetito por el riesgo para esta expansión
comercial en particular puede ser bajo y la organización puede optar por
invertir más recursos en seguridad cibernética y resiliencia en función de la
importancia de los ingresos futuros planificados en apoyo de los objetivos A
comerciales de la organización.
Riesgo
Una vez que se define el apetito por el riesgo de seguridad
cibernética, la gerencia identifica un modelo de seguridad para Actuación
ayudar a gobernar su programa de gestión de riesgos cibernéticos. Perfil de riesgo Apetito Capacidad de riesgo
Al determinar qué modelo de gestión de seguridad cibernética
Fuente: COSO
implementará, se deben evaluar varios factores junto con la
identificación de la estrategia cibernética adecuada para la organización.
La estrategia y el establecimiento de objetivos son clave para
Algunos de estos factores incluyen capital, recursos y tecnologías.
administrar el riesgo cibernético y deben integrarse con la estrategia
Se han desarrollado varios marcos de seguridad cibernética, como el
general y los objetivos comerciales.
marco de seguridad cibernética del NIST7, la ISO 27001/28 de la
Organización Internacional para la Estandarización (ISO) y el marco de
informes de gestión de riesgos de seguridad cibernética de AICPA9
para ayudar a las organizaciones a establecer e informar sobre la
eficacia de su seguridad cibernética . programa de seguridad Las
organizaciones deben determinar qué marco de ciberseguridad es el
más adecuado en función de sus operaciones comerciales, la estructura
de control actual y otros factores diversos. Consulte el Apéndice para
ver ejemplos ilustrativos de marcos de seguridad cibernética.
coso.org
ACTUACIÓN
10. Identifica el riesgo La organización identifica el riesgo que afecta el desempeño de la estrategia y los objetivos
comerciales.
11. Evalúa la gravedad del riesgo La organización evalúa la gravedad del riesgo.
12. Prioriza el riesgo La organización prioriza los riesgos como base para seleccionar las respuestas a los riesgos.
13. Implementa respuestas de riesgo La organización identifica y selecciona las respuestas al riesgo.
14. Desarrolla la vista de cartera La organización desarrolla y evalúa una visión de cartera del riesgo.
Cada organización enfrenta una variedad de riesgos cibernéticos Programa de evaluación de riesgos cibernéticos de la organización
de fuentes externas e internas. Los riesgos cibernéticos se evalúan
frente a la posibilidad de que ocurra un evento y afecte negativamente
el logro de los objetivos de la organización. Los actores maliciosos,
especialmente aquellos motivados por ganancias financieras,
suposiciones
tienden a operar sobre una base de costo/recompensa.
Los perpetradores de ataques cibernéticos y las motivaciones
detrás de sus ataques, generalmente se dividen en las siguientes Riesgo Riesgo
categorías amplias: Perfil Apetito
• Estadosnación y espías: Naciones extranjeras hostiles que Consciente del riesgo
buscan propiedad intelectual y secretos comerciales para obtener Decisión
ventajas militares y competitivas (por ejemplo, aquellos que buscan Haciendo
robar secretos de seguridad nacional o propiedad intelectual).
Negocio
Cultura
Contexto
• Delincuentes organizados: perpetradores que usan herramientas
sofisticadas para robar dinero o información privada y sensible sobre
los consumidores de una entidad (p. ej., robo de identidad). Estrategia
• Terroristas: grupos rebeldes o individuos que buscan usar Internet
para lanzar ataques cibernéticos contra infraestructura crítica,
incluidas las instituciones financieras.
• Hacktivistas: Individuos o grupos que quieren hacer una declaración La evaluación del riesgo cibernético de una organización debe comenzar
social o política robando o publicando información confidencial de primero por comprender qué información y sistemas son valiosos para la
una organización. organización. El valor debe medirse frente al impacto potencial en los
objetivos de la entidad (incluido el impacto potencial del cumplimiento legal
• Insiders: personas de confianza dentro de la organización que venden o normativo fallido, que puede tener un efecto indirecto en el logro de los
o comparten información confidencial de la organización. objetivos comerciales). Por ejemplo, las empresas en diversas industrias
(p. ej., servicios financieros, tecnología, atención médica) pueden ser un
Si bien los resultados de la evaluación de riesgos deberían impulsar objetivo principal para el delito cibernético debido a sus activos y la
en última instancia la asignación de recursos de la entidad hacia naturaleza altamente automatizada de las transacciones comerciales, los
respuestas de gestión de riesgos diseñadas para prevenir, detectar y procesos y los sistemas.
gestionar el riesgo cibernético, las inversiones también deben dirigirse al
proceso de evaluación de riesgos en sí. Una organización tiene recursos
finitos y sus decisiones de invertir en estas respuestas deben tomarse
sobre la base de información relevante y de calidad que priorice el
financiamiento de los sistemas de información que son más críticos para
la entidad.
coso.org
Debido a que la evaluación del riesgo cibernético informa las decisiones de Como resultado de los Principios 10 y 11, una organización debe tener una
la gerencia sobre cómo implementar las respuestas al riesgo hacia los comprensión clara de los sistemas de información críticos para el logro de sus
sistemas de información que respaldan los objetivos de una entidad, es objetivos. Luego, al aplicar el Principio 12, la evaluación de riesgos se
importante que la alta gerencia y otras partes interesadas críticas impulsen profundiza a medida que la organización evalúa y prioriza los riesgos en
el proceso de evaluación del riesgo para identificar qué debe protegerse en relación con la gravedad y probabilidad de los eventos y resultados de riesgos
consonancia con los objetivos de la entidad. . Muchas organizaciones no cibernéticos.
dedican suficiente tiempo a comprender qué sistemas de información son Cuando está dirigida por la alta gerencia, a través de la colaboración con
verdaderamente críticos para la organización; también pueden tener dificultad las partes interesadas del negocio y de TI, una organización está
para comprender dónde y cómo se almacena la información. Esto puede dar posicionada para evaluar los riesgos que podrían afectar el logro de sus
lugar a intentos de protegerlo todo, lo que puede resultar en una objetivos en toda la entidad.
sobreprotección de ciertos sistemas de información y una protección
insuficiente de otros. Durante esta etapa del proceso de evaluación de riesgos, también es
importante aplicar una perspectiva de la industria a los riesgos cibernéticos
en lugar de solo observar los riesgos cibernéticos en términos generales.
Darle valor a los sistemas de información requiere un alto grado Los perpetradores de ataques cibernéticos tienen objetivos únicos que
de colaboración entre el negocio y las partes interesadas de TI. Debido difieren entre los sectores de la industria. Por ejemplo, en el sector minorista,
a que las organizaciones no pueden actuar sobre todos los riesgos, dado los delincuentes organizados son los atacantes más probables, enfocados
el tiempo, el presupuesto y los recursos disponibles limitados, la gerencia principalmente en explotar vulnerabilidades en sistemas que contienen
también debe determinar los niveles de tolerancia al riesgo aceptables para información que puede usarse con fines de lucro (por ejemplo, datos de
la organización y enfocar sus esfuerzos para proteger los sistemas de tarjetas de crédito o información de identificación personal (PII)).
información más críticos. Alternativamente, la industria del petróleo y el gas podría ser el objetivo de
los estadosnación con un motivo para robar datos estratégicos sobre futuros
Priorización de evaluación de riesgos sitios de exploración. Las empresas químicas pueden verse en el punto de
mira de los hacktivistas debido a los problemas ambientales percibidos en
torno a sus productos.
Alto
A través de una evaluación cuidadosa de los motivos y los posibles métodos
de ataque y las técnicas, herramientas y procesos que los atacantes pueden
usar, la organización puede anticipar mejor lo que podría ocurrir y estar en
posición de diseñar controles y otras respuestas de riesgo que sean altamente
efectivas para minimizar el riesgo. la interrupción de posibles ataques
Gravedad
Priorización de riesgos
cibernéticos y mantener seguros los activos de gran valor.
La vista de cartera de riesgos debe actualizarse de forma continua
para reflejar los cambios que podrían afectar la implementación de las
actividades de gestión de riesgos cibernéticos de una organización para
Bajo
Alto
Probabilidad de ocurrencia proteger sus sistemas de información más críticos.
A medida que se genera información a partir del monitoreo atento del
cambiante panorama de amenazas y el proceso de evaluación de riesgos,
los altos ejecutivos y otras partes interesadas deben compartir y discutir
esta información para tomar decisiones informadas sobre cómo proteger
mejor a la organización contra la exposición a los riesgos cibernéticos.
coso.org
Las respuestas al riesgo pueden tomar la forma de aceptar el Debido a que la exposición al riesgo cibernético puede provenir de
riesgo, donde la organización puede tolerar los resultados, muchos puntos de entrada, tanto internos como externos a la
transferir el riesgo cuando otros pueden administrar los riesgos de organización, se deben implementar controles preventivos y de
manera más efectiva o eficiente, o actuar para mitigar o reducir detección para mitigar los riesgos cibernéticos. Los controles preventivos
dichos riesgos. Debido a que la evaluación de riesgos impulsa estas bien diseñados pueden evitar que se realicen ataques manteniendo a
decisiones, es importante considerar que tales respuestas son los intrusos fuera del entorno de TI interno de la organización y
apropiadas para el apetito de riesgo de la organización. Cuando se manteniendo seguros los sistemas de información. También se pueden
toman decisiones para actuar sobre tales riesgos, una organización implementar controles preventivos adicionales (por ejemplo, un sistema
normalmente despliega actividades de control. Las actividades de trampa) dentro del entorno de TI interno para actuar como obstáculos
control son las acciones realizadas por individuos dentro de la para frenar a los intrusos. Incluso cuando ocurren vulnerabilidades, los
organización que ayudan a asegurar que se sigan las directivas de la controles de detección pueden permitir que una organización detecte
gerencia para mitigar los riesgos para el logro de los objetivos. Dichas infracciones a tiempo, lo que puede permitir a la gerencia tomar medidas
actividades de control deben documentarse en políticas para ayudar a correctivas y evaluar los daños potenciales lo antes posible. Después
garantizar que las actividades de control se lleven a cabo de manera de tomar las medidas correctivas, es importante que la gerencia evalúe
uniforme en toda la organización. la causa raíz para mejorar sus controles para prevenir o detectar
explotaciones similares que puedan ocurrir en el futuro.
Como se indicó anteriormente, los riesgos cibernéticos no se
pueden evitar, pero dichos riesgos se pueden gestionar mediante
un diseño cuidadoso y la implementación de respuestas y procesos En última instancia, las organizaciones deben adoptar y actualizar
de recuperación apropiados. Cuando una organización considera continuamente políticas integrales y brindar capacitación en
los posibles métodos de ataque y las rutas de explotación (a través recuperación ante desastres, continuidad comercial, seguridad de datos,
del proceso de evaluación de riesgos), está mejor posicionada para gestión de crisis y relaciones públicas para responder de manera
minimizar el impacto potencial que las infracciones cibernéticas pueden efectiva y recuperarse de los ataques cibernéticos. Como resultado,
tener en sus objetivos. A medida que las organizaciones aceptan la contar con un proceso sólido para identificar, priorizar y responder a los
realidad de que las infracciones cibernéticas son inevitables y han riesgos para el logro de la estrategia y los objetivos comerciales es
realizado una evaluación adecuada del riesgo cibernético, las estructuras fundamental para lograr el rendimiento.
de control deben implementarse en un enfoque en capas que impida
que los intrusos deambulen libremente por los sistemas de información
después de que las capas iniciales de defensa estén comprometidas, o
detectar cuando se ha producido una intrusión. Además, la importancia
de un proceso de recuperación eficiente y robusto es fundamental, pero
el alcance puede variar según el tipo de ataque y el nivel de exposición.
Por ejemplo, el proceso de recuperación es fundamental en un ataque
de ransomware a gran escala que restringe el acceso a los activos de
información de una organización hasta que se pague el rescate por la
"clave" para acceder a los datos, lo que puede costar cientos de miles de
dólares en criptografía. moneda que no es recuperable incluso si la
"clave" no se proporciona o no elimina el ransomware. Este tipo de
ataque puede requerir volver a crear una imagen y restaurar cada
dispositivo a partir de la copia de seguridad de datos más reciente para
reiniciar las operaciones y evitar el riesgo de pagar la tarifa de rescate y
convertirse en un objetivo constante para los atacantes que buscan
pagos adicionales. Sin embargo, el proceso de recuperación puede no
ser tan crítico en un incidente en el que se instaló malware en la
computadora portátil de un empleado y se eliminó de la red de la
organización antes de afectar a otros dispositivos.
coso.org
REVISIÓN Y REVISIÓN
15. Evalúa el cambio sustancial La organización identifica y evalúa los cambios que pueden afectar sustancialmente la estrategia
y los objetivos comerciales.
16. Revisa el riesgo y el rendimiento La organización revisa el desempeño de la entidad y considera el riesgo.
17. Persigue la mejora en la empresa La organización persigue la mejora de la gestión de riesgos empresariales.
Gestión de riesgos
La rápida evolución de la tecnología de la información, la adopción de Las organizaciones deben evaluar constantemente sus iniciativas de evaluación
esa tecnología por parte de los empleados, las cadenas de suministro de riesgos de seguridad cibernética para determinar si pueden identificar y
globales y la penetración del Internet industrial de las cosas en las empresas mitigar el riesgo asociado con estas amenazas y posibles ataques. Para realizar
están aumentando la amenaza de los ataques cibernéticos para las organizaciones. evaluaciones continuas, la gerencia debe articular claramente las metas, los
Un ciberataque exitoso puede tener un impacto financiero y reputacional indicadores para medir el desempeño y las consecuencias de la falta de metas.
significativo en una organización. Para mitigar el riesgo de un ciberataque Las consecuencias de la falta de objetivos deben ser proporcionales al riesgo y
exitoso, las organizaciones deben desarrollar procesos para identificar y al impacto de una posible infracción. Posteriormente, el departamento de
evaluar cómo un cambio significativo influiría en la estrategia, los objetivos auditoría interna o un auditor externo puede garantizar la efectividad del control
comerciales y el apetito por el riesgo. relacionado con el riesgo cibernético (es decir, cómo se monitorean y prueban
periódicamente los controles de riesgo) para propósitos de informes
independientes. Por ejemplo, AICPA ha publicado una guía para los "Controles
Por ejemplo, una organización de fabricación que planea implementar de sistema y organización ("SOC") para el compromiso de seguridad cibernética,
soluciones de fábrica inteligente, que utilizan inteligencia artificial y a través del cual un CPA informa sobre el programa de gestión de riesgos de
sensores en red, necesitaría revisar sus estrategias operativas, seguridad cibernética en toda la empresa de una organización. Esta información
financieras y técnicas existentes para abordar los riesgos de seguridad puede ayudar a la alta gerencia, juntas directivas, analistas, inversionistas y
cibernética que surgen. socios comerciales a comprender mejor los esfuerzos de las organizaciones”10
La revisión podría implicar un análisis de costos y beneficios de y brindar una opinión independiente sobre la efectividad y madurez del programa
desarrollar un programa sólido de gestión de riesgos cibernéticos, de seguridad cibernética de una organización.
contratar profesionales calificados en riesgos cibernéticos o volver a
capacitar a los empleados existentes, o realizar evaluaciones continuas de
nuevas vulnerabilidades de seguridad. Además, la organización necesitaría
administrar su entorno externo, como el impacto en sus proveedores, clientes
y reguladores, incluida la comunicación en caso de una brecha cibernética
exitosa. Considere, por ejemplo, que la gerencia determinó que los correos
electrónicos de phishing son de alto riesgo para la organización.
Los procesos de evaluación de riesgos cibernéticos son iterativos La gerencia implementó un programa de capacitación para empleados para
a medida que ocurren cambios en el entorno interno y externo de una garantizar que los empleados estuvieran conscientes del riesgo. El objetivo
organización. La organización debe evaluar cada cambio para determinar su también era garantizar que el 100% de los empleados no hicieran clic en los
impacto en la empresa y determinar cómo administrar mejor el riesgo correos electrónicos de phishing. Si, después de implementar este programa,
cibernético. la organización todavía tiene problemas medibles con el phishing, debe volver
a visitar el programa y hacer revisiones, como implementar un software para
buscar correos electrónicos similares al phishing además de la capacitación
de los empleados.
coso.org
Para las organizaciones que buscan evolucionar e implementar nuevas Las organizaciones deben hacer operativos los procesos de gobierno para
tecnologías, la prevención del riesgo cibernético puede no ser una estrategia capturar y evaluar los cambios potenciales que pueden alterar su perfil de
efectiva. Por lo tanto, la gerencia debe implementar estrategias efectivas de riesgo cibernético. Esto incluye, como mínimo, capturar posibles productos
riesgo cibernético para estar más alerta (por ejemplo, monitorear y servicios nuevos y cambiantes, tecnología de la información y estrategias
exhaustivamente el extenso panorama de amenazas). digitales en evolución, procesos comerciales, fusiones, adquisiciones y
La retroalimentación del monitoreo integral de riesgos debe alimentar el reorganizaciones, y leyes y reglamentos. Cada uno de estos elementos debe
proceso de evaluación de riesgos. ser evaluado por partes interesadas clave calificadas que operen dentro de
un amplio programa de gestión de riesgos cibernéticos.
Los nuevos avances tecnológicos, la retroalimentación de la evaluación
de seguridad cibernética, los cambios organizacionales, la revisión del Además, la importancia de los indicadores clave y las pruebas de control
apetito por el riesgo, los procesos de comunicación mejorados y las en el seguimiento de los cambios en el perfil de riesgo cibernético de la
comparaciones con otras industrias y competidores son ejemplos de organización debe seguir siendo una prioridad máxima.
insumos que pueden ayudar a mejorar el proceso de gestión de riesgos.
Por ejemplo, es posible que una organización de fabricación que planee El componente de revisión y revisión es clave, ya que la disrupción y la
implementar soluciones de fábrica inteligente, que utilizan inteligencia artificial digitalización del mundo cibernético en constante evolución continúan
y sensores en red, no haya considerado el impacto de las infracciones impulsando la necesidad de cambios y mejoras en la gestión del riesgo
cibernéticas en los dispositivos conectados como parte de las evaluaciones cibernético.
de riesgos anteriores.
Sin embargo, los cambios en la tecnología y los cambios en los objetivos
comerciales requieren mejoras en los procesos de evaluación de riesgos
para tener en cuenta los nuevos riesgos cibernéticos.
coso.org
INFORMACIÓN, COMUNICACIÓN E INFORMES
18. Aprovecha la información y la La organización aprovecha los sistemas de información y tecnología de la entidad para respaldar
tecnología la gestión de riesgos empresariales.
19. Comunica información sobre riesgos La organización utiliza canales de comunicación para apoyar la gestión de riesgos
empresariales.
20. Informes de Riesgo, Cultura y La organización informa sobre el riesgo, la cultura y el desempeño en múltiples niveles y en toda la
Desempeño entidad.
Las organizaciones aprovechan los datos de múltiples sistemas Las organizaciones también pueden beneficiarse de los sistemas de
tecnológicos como entradas para respaldar la ERM y las decisiones información y las herramientas que se pueden utilizar para facilitar la
relacionadas con los objetivos estratégicos y operativos. El requerimiento gestión de riesgos cibernéticos y la generación de informes, ya que
de información completa, precisa y relevante es crítico ya que sirve como muchas empresas de software ofrecen sistemas de gobierno, riesgo y
base para las estimaciones y juicios de la gerencia en varios procesos de cumplimiento ("GRC") y de gestión integrada de riesgos ("IRM") que incluyen
toma de decisiones. Sin embargo, los incidentes cibernéticos tienen el el cumplimiento estándar. conjuntos de reglas para plataformas tecnológicas
potencial de afectar la confiabilidad de los datos de los sistemas específicas. Además, los sistemas de gestión de eventos e información de
comprometidos, especialmente en los casos en que la violación no se seguridad ("SIEM") brindan herramientas valiosas para la generación de
detecta y resuelve a tiempo. informes y la automatización basados en eventos para ayudar a resolver
manera. alertas en tiempo real y clasificar las alertas según la gravedad, el tipo de
incidente, los dispositivos relevantes, la cantidad de ocurrencias, etc. para
Además, en el entorno digital conectado donde las decisiones deben apoyar el proceso de resolución.
tomarse en tiempo real, un componente importante no es solo la
confiabilidad de los datos, sino también la velocidad a la que se pueden El monitoreo y la generación de informes de seguridad cibernética
informar y consumir los datos. también pueden ser proporcionados por un tercero como un servicio
Una amenaza importante relacionada con ciertos incidentes administrado, lo que puede ser una inversión valiosa para las organizaciones
cibernéticos es que un incidente puede afectar la disponibilidad de los con recursos de TI o herramientas de soporte limitados. No obstante, en el
sistemas de una organización y los datos subyacentes que son críticos caso de que se subcontraten tareas relacionadas con la ciberseguridad, es
para la gestión ágil de riesgos y la toma de decisiones estratégicas. Un fundamental que la organización realice lo siguiente:
ejemplo es el ransomware que continúa aumentando en sofisticación y
tiene el potencial de propagarse y deshabilitar toda la red de una • Mantener una comunicación regular con el proveedor de servicios para el
organización, incluidos los dispositivos conectados que contienen copias conocimiento de los incidentes
de seguridad críticas a las que ya no se puede acceder para recuperar
datos después de un ataque (p. ej., WannaCry, Ryuk). • Discutir amenazas nuevas y potenciales a medida que cambia el
entorno comercial de la organización y el panorama de amenazas
cibernéticas continúa evolucionando
• Proporcionar líneas de comunicación abiertas para
Los atacantes de ransomware atacan tanto a las escalamiento cuando ocurre un incidente o incumplimiento significativo.
empresas como a las ciudades con regularidad al
encontrar vulnerabilidades en sus sistemas, a menudo
enviando archivos adjuntos de correo electrónico maliciosos,
bloqueando datos vitales y exigiendo pagos a cambio
de claves de descifrado.
Estos ataques ocurren todos los días y muchos
nunca se publican, dicen los profesionales de
ciberseguridad. Los gobiernos locales pueden ser
particularmente vulnerables si carecen de recursos para
actualizar el equipo y la seguridad y proteger los datos de
respaldo.
Fuente: The Wall Street Journal, “Hackers Strike Another Small Florida City,
Demandando un gran rescate”, Jon Kamp y Scott Calv.
coso.org
La capacidad de una organización para comunicarse tanto interna Las organizaciones deben tener una visión holística no solo del
como externamente sobre asuntos relacionados con el riesgo cibernético propósito de los sistemas en su entorno de TI, sino también del tipo de
es imperativa, ya que ser ágil y capaz de abordar rápidamente amenazas datos que pueden almacenarse en cada uno para abordar adecuadamente
nuevas y emergentes para la organización de manera oportuna puede las posibles amenazas cibernéticas. Por ejemplo, una organización
ayudar a prevenir o mitigar el impacto de eventos cibernéticos significativos. utiliza un sistema de emisión de tickets basado en la nube para realizar
Por ejemplo, la mayoría de las entidades tienen múltiples canales de un seguimiento de los cambios del sistema y los incidentes críticos.
comunicación internos establecidos formalmente que se utilizan junto con los Como parte del programa ERM de la gerencia, el riesgo de una infracción
programas de respuesta a incidentes. Estos canales de comunicación están cibernética se considera menor ya que el sistema de emisión de boletos
diseñados para alertar a los empleados cuando se detectan eventos en no se considera una aplicación crítica porque no procesa transacciones
tiempo real, como un intento de phishing a gran escala que afecta a los y no se usa para administrar los datos de los clientes. Sin embargo, la
usuarios de correo electrónico de una organización. falta de conocimiento y capacitación puede dar lugar a instancias en las
En situaciones como esta, la entidad puede optar por alertar a todos los que los usuarios adjunten documentación de respaldo a los tickets que
usuarios de correo electrónico corporativo para que estén al tanto de la contienen datos confidenciales, direcciones IP del servidor, credenciales
situación y reforzar las políticas sobre el manejo y reporte de correos de usuario, etc., y pueden usarse para explotar varios puntos de entrada
electrónicos sospechosos. Algunos programas también permiten a las en la red de la organización.
organizaciones rastrear qué empleados han recibido, abierto o eliminado
estos correos electrónicos. Este mensaje se puede entregar tanto en una Del mismo modo, ser capaz de comunicarse con las partes
campaña de correo electrónico enviada a la libreta de direcciones de correo interesadas externas sobre asuntos relacionados con la
electrónico interna de la entidad, como también en forma de alerta publicada cibernética es igualmente importante. Es imperativo comprender los
en el sitio de intranet interno de la entidad. Es igualmente importante que requisitos de comunicación descritos en varias normas de seguridad,
una organización se centre en abrir canales de comunicación con los tanto a nivel nacional como mundial. Si no se divulgan los incidentes con
recursos internos y los proveedores de servicios externos, especialmente la profundidad, la respuesta y la oportunidad adecuadas, se pueden
los proveedores de servicios que tienen acceso a los datos de la organización. generar multas significativas por parte de varias entidades. En el mundo
actual, la tecnología permite que las entidades interactúen con las partes
interesadas externas en una variedad de formas que van desde un
mensaje de correo electrónico en busca de comentarios sobre su
experiencia de cliente más reciente durante una transacción, hasta la
La siguiente cita es un extracto del
funcionalidad de mensajería segura integrada en un portal de clientes en
comunicado de prensa de la Comisión de
Bolsa y Valores relacionado con la adopción de la línea que les recuerda que un próximo pago se debe, a informarles por
Guía interpretativa sobre divulgaciones de seguridad correo postal o electrónico de una violación de datos que puede afectar su
cibernética de empresas públicas. PII. Tener un programa implementado para determinar el método apropiado
de comunicación con las partes interesadas externas basado en la
naturaleza, la sensibilidad y la urgencia de la comunicación es una parte
críticamente importante para lograr el programa general de ERM de la entidad.
Creo que proporcionar los puntos de vista de la
Comisión sobre estos asuntos promoverá una divulgación
más clara y sólida por parte de las empresas sobre los
riesgos e incidentes de seguridad cibernética, lo que
dará como resultado una información más completa
disponible para los inversores”, dijo el presidente de
la SEC, Jay Clayton.
Fuente: Comisión de Bolsa y Valores de EE. UU., "SEC
Adopts Statement and Interpretive Guidance on Public
Company Cybersecurity Disclosures".
coso.org
Las organizaciones también deberán considerar los requisitos para divulgar Los procedimientos predefinidos pueden ayudar significativamente
información relacionada con incidentes cibernéticos con otras empresas, a las organizaciones a prepararse y responder a los incidentes cibernéticos.
agencias gubernamentales y otros organismos reguladores. En los Estados Desarrollar instrucciones paso a paso y practicar los pasos en un entorno
Unidos, la orientación proporcionada por la Comisión Federal de Comercio en simulado, similar a un evento de recuperación ante desastres, puede ayudar a
el artículo “Respuesta a la violación de datos: una guía para empresas” describe reducir la cantidad de tiempo de respuesta y el impacto organizacional. Además,
cómo la mayoría de los estados han promulgado leyes que exigen la notificación de la definición de indicadores clave en el programa ERM relacionados con el riesgo
violaciones de seguridad que involucran información personal. Además, puede haber cibernético es igualmente importante ya que la falta de una infracción no
otras leyes o reglamentaciones que sean aplicables según el negocio, por lo tanto, necesariamente valida la suficiencia del programa de riesgo cibernético y los
las organizaciones afectadas son responsables de revisar las leyes o reglamentaciones riesgos continúan evolucionando junto con el despliegue de nuevos procesos y
estatales y federales para los requisitos específicos de información y divulgación.11 tecnología.
Además, la Comisión de Bolsa y Valores ha publicado varios regulaciones y
orientación de seguridad cibernética para emisores/empresas públicas, asesores de
inversión, corredores y comerciantes, y organizaciones autorreguladoras, y estableció
una división separada, conocida como la Unidad Cibernética, para acciones de
cumplimiento relacionadas con la cibernética y sanciones relacionadas con el
incumplimiento. 12 Y, el Departamento de Servicios Financieros de Nueva York tiene Alentamos a las empresas a
una regulación de seguridad cibernética que muchas empresas de servicios
adoptar políticas y procedimientos
integrales relacionados con la
financieros deben cumplir.13
seguridad cibernética y evaluar su
cumplimiento con regularidad, incluida
la suficiencia de sus controles y
procedimientos de divulgación en lo
que respecta a la divulgación de la seguridad cibernética.
Para que un programa de ERM identifique suficientemente y permita que la Fuente: Declaración y orientación de la SEC
sobre divulgaciones de seguridad cibernética de empresas
entidad responda adecuadamente a los riesgos cibernéticos, una organización públicas (17 CFR Partes 229 y 249).
debe implementar un proceso claramente definido para la presentación de
informes pertinentes y oportunos en varios niveles.
Las organizaciones pueden aprovechar un conjunto de reglas existente, como
el marco de informes de gestión de riesgos de ciberseguridad de AICPA, para La información, la comunicación y los informes son clave para compartir
establecer una línea de base y facilitar este proceso. Los informes deben indicadores que se pueden usar para prevenir, detectar o responder a incidentes
adaptarse a cada audiencia específica (p. ej., equipo de seguridad de la cibernéticos.
información, equipo de gestión de riesgos cibernéticos, dirección ejecutiva, junta
directiva) ya que los hechos relevantes y el nivel de detalle requerido
probablemente diferirán entre las partes relevantes. Los incidentes menores y los
datos de incidentes más detallados deben informarse al equipo de seguridad de la
información o al equipo de gestión de riesgos cibernéticos y resolverse periódicamente,
mientras que los incidentes más graves que implican una pérdida de activos o
interrupciones del sistema pueden requerir una derivación a la dirección ejecutiva y,
en determinados casos, la Junta Directiva. La gerencia debe tener un entendimiento
detallado con la junta sobre los tipos y la gravedad de las instancias que se les
comunicarán.
coso.org
CONCLUSIÓN
La seguridad cibernética continúa evolucionando a medida que los malos Es imperativo que los encargados del gobierno corporativo, incluida
actores buscan aprovechar la interrupción y la digitalización como puntos la junta directiva, los miembros del comité de auditoría y los ejecutivos
de lanzamiento para la intrusión cibernética. Las organizaciones líderes comerciales, impulsen un tono fuerte en la parte superior, comuniquen un
necesitarán un enfoque estructurado para gestionar el riesgo cibernético sentido de severidad y urgencia y desafíen el status quo de su ERM.
empresarial. El marco ERM de COSO proporciona una base sobre la que se programas y conciencia de seguridad cibernética en todos los niveles de la
puede construir un programa de seguridad cibernética, integrando conceptos organización. La ciberdefensa y la gestión de riesgos es una responsabilidad
de gestión de riesgos cibernéticos con elementos de estrategia, objetivos compartida de todos los empleados y la empresa ampliada. Las amenazas
comerciales y rendimiento, lo que puede resultar en un mayor valor comercial. cibernéticas continúan evolucionando rápidamente y aumentando su
complejidad todos los días, lo que requiere que el liderazgo de una
Esta guía proporcionó información sobre cómo una organización puede organización, los proveedores de servicios externos y los empleados no solo
aprovechar los cinco componentes y los veinte principios de la gestión estén preparados para responder a un ataque o una infracción sofisticados,
eficaz de riesgos para mejorar sus capacidades para identificar y gestionar sino que también se mantengan un paso por delante. vulnerabilidades nuevas
los riesgos cibernéticos. Al utilizar esta guía como base y adoptar uno o o desconocidas. Un enfoque habitual de la gestión del riesgo cibernético ya
más de los marcos de seguridad cibernética mencionados anteriormente (p. no es capaz de lograr estos objetivos y está destinado a provocar daños
ej., NIST, ISO o AICPA), las organizaciones pueden estar mejor preparadas catastróficos para las partes interesadas en todos los niveles de la
para administrar el riesgo cibernético en esta era digital. organización.
coso.org
APÉNDICE
Marcos de ciberseguridad: ejemplos ilustrativos
Patrocinio Estructura Destinado Estructura

Organización Usar Descripción
Instituto Nacional de NIST General Este Marco voluntario consta de estándares, pautas y mejores prácticas para administrar el
Normas y La seguridad cibernética Estándares riesgo relacionado con la seguridad cibernética. El enfoque priorizado, flexible y rentable
Tecnología (NIST) Estructura del marco de seguridad cibernética ayuda a promover la protección y la resiliencia de la
La seguridad cibernética infraestructura crítica y otros sectores importantes para la economía y la seguridad nacional.
Estructura
Fuente: https://www.nist.gov/cyberframework
La Ciberseguridad y la N/A Sector Industria La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) proporciona amplios

Infraestructura Específico Específico & conocimientos y prácticas de seguridad de infraestructura y ciberseguridad a sus partes
Agencia de seguridad Orientación País interesadas, comparte ese conocimiento para permitir una mejor gestión de riesgos y lo pone
(CISA) en el basada en NIST Específico en práctica para proteger los recursos esenciales de la Nación.
Departamento de La seguridad cibernética Estándares
Patria Estructura
CISA se basa en el marco de seguridad cibernética del NIST, pero también brinda orientación
Seguridad (DHS)
específica del sector para los sectores de infraestructura crítica (p. ej., químico, instalaciones
comerciales, manufactura crítica, federal, atención de la salud y salud pública, etc.).
Fuente: https://www.uscert.gov/resources/cybersecurityframework
Internacional ISO 27001/2 General ISO/IEC 27000 mantiene un comité de expertos dedicado al desarrollo de estándares

Organización para Estándares de sistemas de gestión internacionales para la seguridad de la información, también
Estandarización conocida como la familia de estándares del sistema de gestión de seguridad de la
(YO ASI) información (ISMS).
Mediante el uso de la familia de estándares ISMS, las organizaciones pueden desarrollar
e implementar un marco para administrar la seguridad de sus activos de información, incluida
la información financiera, la propiedad intelectual y los detalles de los empleados, o la
información que les confían los clientes o terceros. Estos estándares también se pueden utilizar
para prepararse para una evaluación independiente de su SGSI aplicado a la protección de la
información.
Fuente: https://www.iso.org/obp/ui/#iso:std:isoiec:27000:ed5:v1:en
Instituto Americano La seguridad cibernética General El AICPA ha desarrollado un marco de informes de gestión de riesgos de ciberseguridad que

de Certificados Marco de Estándares ayuda a las organizaciones a comunicar información relevante y útil sobre la eficacia de sus
Contadores Públicos informes de programas de gestión de riesgos de ciberseguridad. El marco es un componente clave de un
(AICPA) gestión de riesgos nuevo Sistema y Controles de Organización (SOC) para el compromiso de Ciberseguridad, a
través del cual un CPA informa sobre el programa de gestión de riesgos de ciberseguridad en
toda la empresa de una organización. Esta información puede ayudar a la alta gerencia, las
juntas directivas, los analistas, los inversionistas y los socios comerciales a comprender mejor los
esfuerzos de las organizaciones.
Fuente: https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpacybersecurityinitiative.html
Tarjeta de pago Tarjeta de pago Industria El PCI Security Standards Council influye en la vida de cientos de millones de personas

Industria (PCI) Datos de la industria Específico en todo el mundo. Una organización global, mantiene, desarrolla y promueve los estándares de
Normas de seguridad Estándar de Estándares la industria de tarjetas de pago para la seguridad de los datos de los titulares de tarjetas en todo
Concejo seguridad (PCI DSS) el mundo.
Se requiere mantener la seguridad de los pagos para todas las entidades que almacenan,
procesan o transmiten datos de titulares de tarjetas. Las normas de seguridad de PCI proporcionan
orientación para mantener la seguridad de los pagos. Estos establecen los requisitos técnicos y
operativos para las organizaciones que aceptan o procesan transacciones de pago y para los
desarrolladores de software y fabricantes de aplicaciones y dispositivos utilizados en esas
transacciones.
Nota: El PCI Security Standards Council proporciona un mapeo ilustrativo del marco PCI DSS al
marco de ciberseguridad NIST.
Fuente: https://www.pcisecuritystandards.org/pci_security/
coso.org
APÉNDICE (continuación)
Marcos de ciberseguridad: ejemplos ilustrativos
Patrocinio Estructura Destinado Estructura

Organización Usar Descripción
Alianza HITRUST HITRUST LCR General HITRUST ha defendido programas que protegen la información confidencial y gestionan
Estándares el riesgo de la información para organizaciones globales en todas las industrias y en toda
la cadena de suministro de terceros. En colaboración con líderes en privacidad, seguridad
de la información y gestión de riesgos de los sectores público y privado, HITRUST
desarrolla, mantiene y proporciona un amplio acceso a sus marcos comunes de gestión de
riesgos y cumplimiento ampliamente adoptados, así como metodologías de evaluación y
aseguramiento relacionadas.
Fuente: https://hitrustalliance.net/aboutus/
SIN Controles CIS General Las organizaciones de todo el mundo confían en las mejores prácticas de seguridad

Versión 7.1 Estándares de CIS Controls para mejorar sus defensas cibernéticas. La versión 7.1 de los
controles de CIS presenta una nueva guía para priorizar la utilización de los controles,
conocida como grupos de implementación (IG) de CIS. Los IG son una forma simple y
accesible de ayudar a las organizaciones a clasificarse y enfocar sus recursos y
experiencia en seguridad mientras aprovechan el valor de los Controles CIS.
Fuente: https://www.sans.org/criticalsecuritycontrols/
ISACA COBIT 2019 – General COBIT es un marco para el gobierno y la gestión de la información y la tecnología.

Gobernanza y Estándares
Gestión
El marco COBIT hace una clara distinción entre gobierno y gestión. Estas dos disciplinas
Objetivos
abarcan diferentes actividades, requieren diferentes estructuras organizacionales y sirven
para diferentes propósitos.
El Marco COBIT® 2019: Objetivos de Gobierno y Gestión describe de manera integral
los 40 objetivos centrales de gobierno y gestión, los procesos contenidos en ellos y
otros componentes relacionados. Esta guía también hace referencia a otros estándares
y marcos.
Fuente: http://m.isaca.org/KnowledgeCenter/Research/Documents/COBIT2019FrameworkGover
nanceandManagementObjectives_res_eng_1118.pdf
Seguridad en la nube Seguridad en la nube Técnico Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) está diseñado

Alianza (CSA) Nube de la Alianza Específico específicamente para proporcionar principios de seguridad fundamentales para guiar a
Matriz de controles Estándares los proveedores de nube y ayudar a los posibles clientes de nube a evaluar el riesgo de
(MCC) seguridad general de un proveedor de nube. CSA CCM proporciona un marco de controles
que brinda una comprensión detallada de los conceptos y principios de seguridad que están
alineados con la guía de CSA en 13 dominios. Los cimientos de CSA Controls Matrix se
basan en su relación personalizada con otros estándares de seguridad, regulaciones y
marcos de control aceptados por la industria, como ISO 27001/27002, ISACA COBIT, PCI,
NIST, Jericho Forum y NERC CIP, y aumentarán o proporcionarán dirección de control
interno para las certificaciones de informes de control de la organización de servicios
proporcionadas por los proveedores de la nube.
Fuente: https://cloudsecurityalliance.org/research/workinggroups/cloudcontrolsmatrix/
coso.org
REFERENCIAS
1 Comité de Organizaciones Patrocinadoras de la Comisión Treadway, Marco de Gestión de Riesgo Empresarial COSO, 2017.
2 La encuesta Future of Cyber de 2019 de Deloitte, en conjunto con Wakefield Research, encuestó a 500 ejecutivos de nivel C que supervisan
ciberseguridad en empresas con al menos $500 millones en ingresos anuales, incluidos 100 CISO, 100 CSO, 100 CTO, 100 CIO y 100 CRO entre el 9 y
el 25 de enero de 2019, mediante una encuesta en línea.
3 Khalid Kark, Caroline Brown, Jason Lewris, Bridging the boardroom's technology gap, Deloitte University Press, 29 de junio de 2017.
4 Instituto Nacional de Estándares y Tecnología (NIST), “Marco para mejorar la ciberseguridad de la infraestructura crítica”,
16 de abril de 2018.
5 Marc Kaplan, et al., "Dar forma a la cultura, impulsar la estrategia", Tendencias globales de capital humano 2016, Deloitte University Press, 2016.
6
Deloite, “El nuevo marco de informes de atestación de seguridad cibernética de AICPA beneficiará a una variedad de partes interesadas clave”,
ISAS Journal, volumen 6, 2017. m.isaca.org/Journal/archives/2017/Volume6/Documents/TheAICPAs NewCybersecurityAttestation Reporting
Framework_joa_Eng_1117.pdf.
7 Instituto Nacional de Estándares y Tecnología, Cybersecurity Framework, 2014. nist.gov/cyberframework.
8 Organización Internacional de Normalización. Deloitte, “Cyber Incidents and Breaches: The Data Dilemma”, The Wall Street
Journal, 11 de julio de 2019 deloitte.wsj.com/cio/2019/07/11/cyberincidentsandbreachesthedatadilemma/.
9 Instituto Americano de Contadores Públicos Certificados, Controles de Sistemas y Organizaciones para la Ciberseguridad, EE. UU., 2017.
aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpacybersecurityinitiative.html.
10 Instituto Americano de Contadores Públicos Certificados, Controles de Sistemas y Organizaciones para la Ciberseguridad, EE. UU., 2017.
aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpacybersecurityinitiative.html.
11 Comisión Federal de Comercio, “Respuesta ante filtraciones de datos: una guía para empresas”, abril
de 2019 ftc.gov/tipsadvice/businesscenter/guidance/databreachresponseguidebusiness.
12 Comisión de Bolsa y Valores, “Spotlight on Cybersecurity, the SEC and You”, consultado en septiembre de 2019,
sec.gov/spotlight/ciberseguridad.
13 Departamento de Servicios Financieros del Estado de Nueva York, “Requisitos de ciberseguridad para empresas de servicios financieros”,
a partir de marzo de 2017 dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf.
coso.org
SOBRE LOS AUTORES
Mary E. Galligan, directora general, Deloitte & Touche LLP
Mary Galligan es directora gerente en la práctica cibernética de Deloitte. Mary asesora a los altos ejecutivos
sobre los desafíos de gestión de crisis que enfrentan, en particular los riesgos cibernéticos.
Ayuda a los clientes a desarrollar y ejecutar programas de seguridad para prevenir y reducir el impacto
empresarial de las ciberamenazas. Esto incluye educación de la junta, juegos de guerra cibernética y
otros esfuerzos estratégicos a medida que la colaboración del sector público y privado en torno a la
ciberseguridad en los EE. UU. comienza a tomar forma. Mary ha brindado sesiones informativas de
concientización cibernética a más de 70 juntas directivas en empresas privadas, así como en empresas
Fortune 500. Se ha presentado en numerosos eventos de la NACD, así como en el Directors College de
Stanford. Debido a su liderazgo en el riesgo cibernético y la gestión de crisis, los medios impresos y de
televisión le piden con frecuencia a Mary que comente sobre el desarrollo de eventos cibernéticos.
Mary se unió a Deloitte después de jubilarse en 2013 de una carrera distinguida en la Oficina Federal de
Investigaciones (FBI). Mary supervisó todas las investigaciones del FBI sobre la seguridad nacional y las
intrusiones cibernéticas criminales en la ciudad de Nueva York, y asesoró a numerosas instituciones
financieras, entidades de medios y bufetes de abogados durante sus situaciones de alta presión.
Su puesto más reciente fue en la oficina de Nueva York como agente especial a cargo de
operaciones cibernéticas y especiales, donde dirigió la operación de vigilancia técnica y física más
grande del FBI.
Adquirió una importante experiencia en gestión de crisis como supervisora de la investigación del
FBI sobre los ataques terroristas del 11 de septiembre, como una de las comandantes en el lugar de
los hechos en Yemen después del bombardeo del USS Cole y como agente especial a cargo de
eventos especiales. y SWAT en la ciudad de Nueva York.
Mary ocupó otros puestos de liderazgo durante su permanencia de 25 años en el FBI.
• Primera mujer agente especial a cargo, Nueva York, FBI
• Inspector jefe del FBI
• Lideró una Iniciativa de Directores sobre Gestión Basada en Riesgos
Mary tiene una licenciatura de la Universidad de Fordham, Bronx, Nueva York, una maestría en Psicología
de la New School for Social Research, Nueva York, Nueva York, y un doctorado honorario en derecho de la
Universidad de Marian, Fond du Lac, Wisconsin.
Es negociadora de crisis y administradora de crisis certificada por el FBI.
coso.org
Sandy Herrygers, socia, Deloitte & Touche LLP
Sandy lidera la oferta de mercado de Garantía Global de Deloitte y el Grupo de Especialistas en Tecnología
de la Información de EE. UU. Ha dedicado su carrera a los controles internos y la seguridad de la información
en las industrias de productos de consumo e industriales y servicios financieros. Ha estado en la práctica de
Riesgo y Asesoramiento Financiero desde 1998 y ha ejercido en las oficinas de Chicago y Detroit.
Sandy dirige nuestros servicios de auditoría de control interno a varios grandes clientes globales de Deloitte.
En esa capacidad, lidera las áreas de prueba a nivel de entidad, ciclo comercial y tecnología de la información.
Este rol incluye habilidades tales como liderar grandes equipos de Deloitte transfronterizos y lidiar con
entornos de tecnología de la información diversos, complejos y completamente subcontratados y entornos
comerciales y de control interno que cambian rápidamente y son desafiantes.
Desde una perspectiva de liderazgo, Sandy supervisa la calidad de los servicios de auditoría de
TI, incluido el funcionamiento como un recurso de consulta para asuntos relacionados con TI y
control interno en las auditorías integradas más grandes y complejas. Además, lidera el desarrollo
de metodologías de enfoque de auditoría, herramientas, ayudas prácticas y aprendizaje para
especialistas de TI.
Sandy representa a Deloitte en varias iniciativas externas relacionadas con la seguridad de la información
y el control interno, incluido el Grupo de trabajo cibernético del Centro para la calidad de auditoría y el
Grupo de trabajo de seguridad cibernética AICPA ASEC.
Kelly Rau, directora general, Deloitte & Touche LLP
Kelly Rau es directora gerente en la práctica de Asesoramiento Financiero y de Riesgos de Deloitte, y
se especializa en ofertas de Aseguramiento y Auditoría Interna. Kelly se unió a Deloitte en 2002 y tiene
una amplia experiencia en ayudar a las empresas con una variedad de asuntos de control interno y
tecnología de la información. A través del compromiso con varias empresas de Fortune 500, Kelly ha
dirigido equipos de control interno para comprender, evaluar y mejorar el diseño y la eficacia operativa
de los controles a nivel de entidad, de ciclo comercial y de tecnología de la información. Kelly ha sido
miembro del liderazgo de la oficina nacional de Deloitte en la supervisión de la calidad de los servicios de
auditoría de TI, incluido el funcionamiento como recurso de consulta para asuntos relacionados con TI y
control interno en nuestras auditorías integradas más grandes y complejas.
Kelly es un profesional certificado en seguridad de sistemas de información (CISSP) y un
auditor certificado de sistemas de información (CISA) y tiene una maestría en
administración de empresas y una licenciatura en contabilidad de la Universidad Central
de Michigan.
coso.org
ACERCA DE COSO
Formado originalmente en 1985, COSO es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a brindar liderazgo
intelectual a través del desarrollo de marcos y orientación sobre gestión de riesgos empresariales (ERM), control interno y disuasión del fraude.
Las organizaciones de apoyo de COSO son el Instituto de Auditores Internos (IIA), la Asociación Estadounidense de Contabilidad (AAA), el
Instituto Estadounidense de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI) y el Instituto de Contadores
Administrativos (IMA).
SOBRE DELOITTE
Tal como se utiliza en este documento, “Deloitte” significa Deloitte & Touche LLP, una subsidiaria de Deloitte LLP.
Consulte deloitte.com/us/about para una descripción detallada de nuestra estructura legal.
Ciertos servicios pueden no estar disponibles para atestiguar clientes bajo las reglas y regulaciones de la contabilidad pública.
Esta publicación contiene información general únicamente y ninguno de COSO, ninguna de sus organizaciones constituyentes o cualquiera de
los autores de esta publicación está, por medio de esta publicación, brindando asesoramiento o servicios contables, comerciales, financieros, de
inversión, legales, impositivos u otros profesionales. . La información contenida en este documento no reemplaza dicho asesoramiento o servicios
profesionales, ni debe utilizarse como base para ninguna decisión o acción que pueda afectar su negocio. Los puntos de vista, las opiniones o las
interpretaciones expresadas en este documento pueden diferir de las de los reguladores pertinentes, las organizaciones de autorregulación u otras
autoridades y pueden reflejar leyes, reglamentos o prácticas que están sujetas a cambios con el tiempo.
La evaluación de la información aquí contenida es responsabilidad exclusiva del usuario. Antes de tomar cualquier decisión o tomar cualquier acción
que pueda afectar su negocio con respecto a los asuntos descritos en este documento, debe consultar con asesores profesionales calificados relevantes.
COSO, sus organizaciones constituyentes y los autores renuncian expresamente a cualquier responsabilidad por cualquier error, omisión o inexactitud
contenida en este documento o cualquier pérdida sufrida por cualquier persona que confíe en esta publicación.
coso.org
Comité de Organizaciones Patrocinadoras de
la Comisión Treadway
coso.org
GERENTE
RIESGO CIBERNÉTICO
EN UNA ERA DIGITAL
coso.org

COSO Deloitte Managing Cyber Risk in A Digital Age

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COSO Deloitte Managing Cyber Risk in A Digital Age

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Mary E. Galligan Sandy Herrygers kelly rau

MISIÓN VISIÓN ESTRATEGIA NEGOCIO IMPLEMENTACIÓN MEJORADO

Gobernancia Estrategia & Actuación Revisar Información,

Sénior Cruz La gobernanza también debe incluir un sistema para la gestión de

Patrocinio Estructura Destinado Estructura

La Ciberseguridad y la N/A Sector Industria La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) proporciona amplios

Internacional ISO 27001/2 General ISO/IEC 27000 mantiene un comité de expertos dedicado al desarrollo de estándares

Instituto Americano La seguridad cibernética General El AICPA ha desarrollado un marco de informes de gestión de riesgos de ciberseguridad que

Tarjeta de pago Tarjeta de pago Industria El PCI Security Standards Council influye en la vida de cientos de millones de personas

Patrocinio Estructura Destinado Estructura

SIN Controles CIS General Las organizaciones de todo el mundo confían en las mejores prácticas de seguridad

ISACA COBIT 2019 – General COBIT es un marco para el gobierno y la gestión de la información y la tecnología.

Seguridad en la nube Seguridad en la nube Técnico Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) está diseñado

También podría gustarte

COSO Deloitte Managing Cyber Risk in A Digital Age

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COSO Deloitte Managing Cyber Risk in A Digital Age

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Mary E. Galligan Sandy Herrygers kelly rau

MISIÓN VISIÓN ESTRATEGIA NEGOCIO IMPLEMENTACIÓN MEJORADO

Gobernancia Estrategia & Actuación Revisar Información,

Sénior Cruz La gobernanza también debe incluir un sistema para la gestión de

Patrocinio Estructura Destinado Estructura

La Ciberseguridad y la N/A ­ Sector Industria La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) proporciona amplios

Internacional ISO 27001/2 General ISO/IEC 27000 mantiene un comité de expertos dedicado al desarrollo de estándares

Instituto Americano La seguridad cibernética General El AICPA ha desarrollado un marco de informes de gestión de riesgos de ciberseguridad que

Tarjeta de pago Tarjeta de pago Industria El PCI Security Standards Council influye en la vida de cientos de millones de personas

Patrocinio Estructura Destinado Estructura

SIN Controles CIS General Las organizaciones de todo el mundo confían en las mejores prácticas de seguridad

ISACA COBIT 2019 – General COBIT es un marco para el gobierno y la gestión de la información y la tecnología.

Seguridad en la nube Seguridad en la nube Técnico Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) está diseñado

También podría gustarte

La Ciberseguridad y la N/A Sector Industria La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) proporciona amplios