Llegamos a ustedes gracias a:



Noticias

Gartner señala las principales preocupaciones de los CAE

[18/11/2019] A medida que las organizaciones continúan recopilando datos de clientes y empleados, los directores ejecutivos de auditoría (CAE, por sus siglas en inglés) están cada vez más preocupados sobre cómo gobernarlos y protegerlos, según Gartner, Inc. Gartner realizó entrevistas y encuestas a través de su red global de organizaciones clientes para identificar los mayores riesgos a los que se enfrentarán los consejos, comités de auditoría y ejecutivos en el 2020.

Según el informe anual del plan de auditoría de Gartner, el gobierno de los datos ha subido hasta el primer puesto de las preocupaciones de auditoría de los CAE, en comparación con el segundo puesto del informe del año pasado, en sustitución de la preparación para la ciberseguridad. El aumento del escrutinio regulatorio ha hecho que los riesgos de gobernanza, junto con los desafíos relacionados con la gestión de datos, como los ecosistemas de terceros, las vulnerabilidades cibernéticas y la privacidad de los datos, serán una de las principales preocupaciones de los departamentos de auditoría.

"A pesar de la importancia estratégica de los datos, las organizaciones han sido lentas en adoptar marcos de gobierno de datos, lo que las ha puesto en riesgo de grandes multas, de una toma de decisiones estratégicas deficiente y de una mala asignación de recursos críticos", señaló Malcolm Murray, vicepresidente de la práctica de auditoría de Gartner. "Las fallas en la gestión de datos han atraído al regulador y al público, lo que ha llevado a un aumento de la carga regulatoria y de la presión sobre las organizaciones y su uso de los datos".

Los tres principales riesgos para los que los ejecutivos de auditoría deben prepararse en el 2020 según Gartner incluyen:

Gobernanza de datos: Casi el 80% de los ejecutivos están de acuerdo en que las empresas perderán ventaja competitiva si no utilizan los datos de manera efectiva, y el 49% dice que los datos se pueden utilizar para reducir los gastos y crear nuevas vías para la innovación. Sin embargo, más de la mitad de las organizaciones carecen de un marco oficial de gobernanza de datos y de un presupuesto específico.

"A medida que los CAE auditan sus prácticas de gestión de datos, los equipos de auditoría deben prestar especial atención a los controles de seguridad en torno a los activos de datos, los planes de migración de datos y las copias de seguridad de los activos de datos críticos. Para asegurar el cumplimiento de regulaciones como la GDPR de Europa, las organizaciones también deben revisar sus controles y reglas sobre la recolección y retención, y asegurarse de que existan políticas de eliminación, señaló Murray.

Ecosistemas de terceros: El 53% de los líderes de alto nivel informan de una mayor dependencia de terceros y, en algunos casos, de un cuarto o quinto. A pesar del vasto acceso que estos terceros tienen a los datos comerciales importantes, las organizaciones generalmente están en una posición deficiente para administrarlos. Solo el 53% de las empresas tienen una estrategia para mitigar los riesgos, y solo el 28% de las organizaciones monitorean continuamente a terceros.

"El monitoreo continuo y las disposiciones de los contratos de derecho a auditoría pueden ayudar a asegurar que los terceros se adhieran a los protocolos de una organización en relación con el uso y el comportamiento de los datos. Una organización también debe dar cuenta de los requisitos contractuales de presentación de informes si algún tercero experimenta una violación que comprometa sus datos, anotó el analista.

Vulnerabilidades cibernéticas: Los ciberdelincuentes están operando organizaciones altamente sofisticadas con una variedad de herramientas de hacking de bajo costo y fácil acceso. La falta de conocimientos pertinentes y los bajos presupuestos de ciberseguridad hacen que las organizaciones se estén quedando rezagadas en sus intentos de contrarrestar el creciente número de ciberataques. "Sin un aumento de los recursos, las organizaciones seguirán siendo incapaces de mitigar la amenaza de los ciberataques, lo que puede dar lugar a posibles filtraciones de datos, pérdida de propiedad intelectual y exposición a la reglamentación, indicó Murray.

Como mínimo, agregó, las organizaciones deben contar con medidas de seguridad fundamentales, como controles de acceso privilegiados sobre activos sensibles e identificación de vulnerabilidades maduras. "También es importante evaluar no solo las políticas de formación en ciberseguridad de los empleados y de gestión del acceso, sino también los mecanismos generales de seguridad de la red y los activos de tecnología operativa de la organización. Por último, las organizaciones deben asegurarse de que su plan de respuesta a los ataques cibernéticos (que se centran en el control de la infraestructura física de una organización) aborda todas sus vulnerabilidades en caso de un incidente, indicó el analista.

Murray anotó, asimismo que, si bien hay numerosos pasos que una organización puede dar para abordar los riesgos antes mencionados y más, para prepararse para los desafíos del 2020 y más allá, todos comienzan con la evaluación de la idoneidad de las estrategias de gestión de riesgos y la garantía de que estas estrategias sean adaptables.

"Los CAE también están vigilando los riesgos relacionados con el aumento de la complejidad organizativa, la transformación del negocio digital y la volatilidad geopolítica y normativa. Completando los 10 "puntos calientes" principales para el 2020 se encuentran la privacidad de datos, la cultura de riesgo y la toma de decisiones, la gestión de proyectos, la gobernanza de TI, los desarrollos normativos, la resistencia organizativa y la cadena de suministro.