Seguridad cibernética: Manteniendo la Propiedad Intelectual bajo llaveLa valiosa propiedad intelectual (PI) de su empresa — sus secretos comerciales, patentes, y lista de clientes — está más susceptible a ataques por Internet hoy de lo que estaban ayer. Y estarán aún más vulnerable mañana. De hecho, un estudio reciente realizado por el Instituto Ponemon encontró que el número de ataques cibernéticos exitosos en empresas se ha más que duplicado en los últimos dos años y que el impacto financiero resultante se incrementó en aproximadamente un 40 por ciento.

La tecnología está cambiando muy rápidamente, como así mismo los medios por los cuales los perpe-tradores de los delitos cibernéticos están llevando a cabo sus nefastas actividades. Un incremento de la conectividad global y una mayor dependencia de las organizaciones en terceras partes también aumentan el riesgo de exposición de propiedad intelectual.

Esta edición de Tone at the Top ex-plica cómo los comités de auditoría, la administración, y los auditores internos pueden trabajar para reducir la exposición de riesgos de PI y proteger a sus organizaciones de los paralizantes ataques cibernéticos.

Activos ValiososPropiedad intelectual es un término bastante genéri-co que abarca la mayoría de los datos relacionados con los productos - y servicios - importantes de una

empresa, los activos intangibles que dan a la com-pañía su ventaja. Una base de datos confidencial de clientes es un buen ejemplo, al igual que los planes de marketing, información de las transacciones de los clientes, y los resultados de pruebas beta. La lista

continúa.

Hubo un tiempo en que este tipo de información se almacenaba literalmente bajo llave. Sin em-bargo, hoy en día el ambiente de negocios de alta tecnología requiere el almacenamiento digital, accesibi-lidad remota y transferencia rápida y sencilla de datos. Mantener la propiedad intelectual segura es cada vez más difícil porque las empresas se han movido al mundo digital y también lo han hecho los delin-cuentes.

¨Desde el punto de vista de los vectores de amenazas, tu celular es probablemente tu riesgo más grande¨, dice Jeff Spivey, presidente de Security Risk Management Inc. y vicepresidente de ISACA, que establece las normas internacio-nales para la auditoría y control en tecnología informática.

¨Hay aplicaciones que permiten a los hackers utilizar tu teléfono móvil para monitorear tu correo electrónico, acceder a tus contraseñas, propiedad intelectual e incluso operar de forma remota la cá-mara de tu teléfono¨ dice Spivey, quien hablará sobre cyber seguridad en la conferencia General Audit Management del IIA en Marzo.

TOPTONEat the

Proporcionando información concisa en asuntos de gobernabilidad a la alta dirección, consejos de administración y comités de auditoría.

Edición 66 | Febrero 2014

TONE AT THE TOP | Febrero 2014

1

TONE AT THE TOP | Febrero 2014

Amenaza Invisible

El primer paso para impulsar la seguridad ciberné-tica consiste en identificar la amenaza. Los cuatro tipos principales son: hackers fastidiosos, hackers apoyados por el estado, atacantes criminales y ¨hacktivistas¨, que pueden estar buscando temas relacionados con el medio ambiente o los derechos humanos.

Los modos de ataque más comunes incluyen la in-troducción de un programa malicioso como Troyano, gusano, virus o software espía; phishing (obtención vía engaño) de contraseñas; y ataques de negación de servicio destinados a bloquear los sitios web. Los resultados pueden ser devastadores, incluyendo pérdidas financieras, robo de propiedad intelectual, daño reputacional, fraude y exposición legal.

Lo más insidioso son los ataques llamados “día cero” en los que los hackers se infiltran en una base de datos, copian o modifican datos y luego salen sin ser detectados, dice Marc Vael, director ejecutivo de auditoría de Smals, que proporciona la infraestruc-tura de TI para los sistemas de servicios sociales y atención de salud de Bélgica. Bajo este tipo de ataques, pueden transcurrir meses o incluso años antes de que se detecten, mucho después de que el daño se ha producido.

Esfuerzo HolísticoMantener la propiedad intelectual a salvo de los criminales requiere que las tres líneas de defensa — gerencia de tecnología de información, gestión de riesgos y auditoría interna — estén al día en lo correspondiente a tecnología y compartan los cono-cimientos para evitar puntos ciegos y silos. David Brand, gerente a cargo de auditoría de TI de la firma consultora Protiviti, advierte en contra de poner de-masiada responsabilidad en los administradores de TI. La seguridad cibernética, dice él, debería ser una preocupación mayor de la gestión de riesgos y una parte habitual de los planes de auditoría interna.

“Hay una tendencia en las organizaciones a pensar que la seguridad cibernética es un asunto de TI, pero realmente depende de la dirección ejecutiva para decirle a TI qué necesita estar protegido, dónde reside la propiedad intelectual y quién debería tener acceso a ella”, dice Brand. “El riesgo de seguridad cibernética es el mismo que cualquier otro tipo de riesgo. Es sólo que el activo es de tipo electrónico en lugar de físico. Usted necesita un buen sistema de control interno”. Las responsabilidades del comité de auditoría pue-den incluir el establecimiento de expectativas y responsabilidad para la administración, la evaluación de la suficiencia de los recursos, financiamiento, y el enfoque en las actividades de seguridad cibernética. Es importante que los comités de auditoría comuni-quen las expectativas con respecto a la seguridad y la mitigación de riesgos.

El punto más débilNo todas las amenazas son externas. Como cualquier esfuerzo de mitigación de riesgos, las personas son el punto más débil. Vael recomienda entrenamiento regular de los empleados desde la base hasta el nivel superior de la organización. ¨El mayor problema es el entendimiento,¨ dice Vael. ¨Explíqueme, en mi idioma, los riesgos involucrados, qué se espera y lo que eso implica.¨

Como parte de la auditoría de TI, Vael recomienda una evaluación anual de la habilidad de la orga-

2

Seis Pasos para Proteger la PI

Robert Smallwood, consultor de Seguridad de Tecnología de Información y autor del libro Safe-guarding Critical e-documents, recomienda los siguientes seis pasos para proteger la propiedad intelectual.

1. Identifique los documentos electrónicos confidenciales (tipos de documentos y categorías).

2. Determine dónde son creados, quién necesita tener acceso a ellos y cuándo.

3. Desarrolle políticas de gobierno de la información para administrar y controlar el acceso a documentos sensibles.

4. Aplique las políticas de gobierno de la información con tecnologías de Seguri- dad de Documentos Electrónicos (EDS- Electronic Document Security), que pueden incluir la administración de de- rechos sobre información, prevención de pérdida de datos, tecnologías de firmas digitales sobre documentos o cifrado.

5. Pruebe y audite su programa de gobier- no de la información. 6. Perfeccione las políticas y continúe evaluando la implementación de nuevas tecnologías de seguridad cibernética y EDS.

TONE AT THE TOP | Febrero 2014

nización para mantener y asegurar sus aplicaciones, activos e infraestructura de TI — algo que él llama “competencias electrónicas”.

Finalmente, a medida que más organizaciones exter-nalizan las funciones de TI o trasladan la infra-estructura y aplicaciones a la nube, Vael exhorta a los directores y ejecutivos para mantener en las gerencias la responsabilidad para realizar la debida diligencia de los proveedores contratados a fin de asegurar que cumplan con las políticas, prácticas y la cultura de la organización, cuando se trata de la pro-tección de la propiedad intelectual y de la seguridad cibernética.

¨La gente tiende a centrarse en las cosas tangibles — procesos y procedimientos, estructura organizacio-nal,” dice Vael. “Lo que está faltando es el compo-nente cultural.”

Los auditores internos también deben verificar que la compañía actualice los programas de entrenamien-to de los empleados según sea necesario de manera que incluyan los requisitos para la protección y la eliminación segura de material confidencial, y ase-gurar que nuevos empleados tengan entrenamiento adecuado, que incorpore una cuidadosa explicación de la política de seguridad de la información y del código de conducta.

De hecho, son los empleados quienes desafortunada-mente representan el vínculo más débil en la cadena de cyber protección. Las organizaciones tienen un largo camino que recorrer hacia la protección de su cyber- propiedad intelectual haciendo todo lo posible para eliminar esta amenaza desde adentro.

Comunicaciones de la Junta DirectivaLos datos generados por la junta directiva son tan vulnerables a los ciberataques como cualquier propiedad intelectual de la orga-nización. De hecho, según la Encuesta de Gobierno a Juntas directivas de Thomson Reuters 2013, más del 75 por ciento de las organizaciones utiliza cuentas personalesno seguras de correo electrónico para distribuir documentos de la Junta, y casi el 50 por ciento no garantiza que las comu-nicaciones de la Junta estén cifradas. Pero el 52 por ciento de las organizaciones ahora utiliza un portal de la Junta directiva para compartir información sensible de la misma.

3

Pregunta para la Encuesta rápida¿Qué tan seguro está usted de que los con-troles de su organización pueden prevenir una amenaza de seguridad cibernética significativa?

Visite www.theiia.org/goto/quickpoll para responder esta pregunta y ver lo que otros están respondiendo.

Preguntas que los Directorios deberían hacer.

■ ¿Cuáles son los activos de información más críticos, y cuál es el valor en juego en un evento de violación de seguridad?

■ ¿La junta directiva / comité de auditoría trabajó suficiente tiempo para compren-der los riesgos y controles clave necesa-rios para proteger a la organización del ataque cibernético?

■ ¿Se ha efectuado un inventario de Propiedad Intelectual, incluyendo dónde reside y quién tiene acceso a ella?

■ ¿Tiene la organización destinados re-cursos y financiamiento suficientes para ejecutar seguridad cibernética?

■ ¿La protección de la propiedad intelec-tual ha sido incluida en la evaluación de riesgos en toda la compañía?

■ ¿Existen procedimientos formales que deben seguirse en caso de violaciones y se han probado estos procedimientos?

■ ¿Cuál es la evaluación de la auditoría interna respecto de la capacidad de la organización para asegurar su propiedad intelectual?

? ?

Sobre El IIAEl Instituto de Auditores Internos Inc. (IIA) es una asociación profesional mundial con 180.000 miem-bros en 190 países. El IIA sirve como defensor de la profesión de auditoría interna, pionero de las normas internacionales y principal investigador y educador. www.globaliia.org

Suscripciones a disposiciónVisite www.globaliia.org/Tone-at-the-Top o llame al: +1-407-937-1111 para solicitar su suscripción gratuita.

Comentarios de los LectoresEnvíe sus preguntas / comentarios a tone@theiia.org.

Contenido del Consejo ConsultivoCon décadas de experiencia en la alta dirección y consejo de administración, los siguientes apreciados profesionales proporcionan orientación sobre el con-tenido de esta publicación:

Martin M. Coyne II Nancy A. Eckl Michele J. Hooper Kenton J. Sicchitano

TOPTONEat the

02/140485 TONE AT THE TOP | Febrero 2014

555-555-5555

52%

Adecuado

11%

Excepcional

37%

Pobre o Ausente

Resultados de la Encuesta rápida:

¿Qué tan bien los ejecutivos financieros, auditores internos, auditores externos y los miembros del consejo de su organi-zación se comunican entre sí?

*Basado en 501 respuestas. Los encuestados sólo podían elegir una respuesta.

*Based on 501 responses. Respondents could only choose a single response.

❏ Derechos de autor © 2013 por The Institute of Internal Auditors, Inc., (“El IIA”) estrictamente reservados. Toda reproducción del nombre o del logo del IIA llevará el símbolo de registro de la marca registrada federal de los EE. UU. ®. Ninguna parte de este material podrá reproducirse de ninguna forma sin el permiso escrito del IIA.

❏

❏ El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traducción, que es la misma en todos los aspectos ma-teriales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser reproducida, guardada en ningún sistema de recuperación o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico, fotocopia, grabación, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

❏

❏ El presente documento fue traducido por el IIA ECUADOR el 12/02/2014.