TOP

TONE
at the
Edicin 66 | Febrero 2014

Proporcionando informacin concisa en asuntos de gobernabilidad

a la alta direccin, consejos de administracin y comits de auditora.

Seguridad ciberntica: Manteniendo

la Propiedad Intelectual bajo llave
La valiosa propiedad intelectual (PI) de su empresa
sus secretos comerciales, patentes, y lista de clientes
est ms susceptible a ataques por Internet hoy
de lo que estaban ayer. Y estarn an ms vulnerable
maana. De hecho, un estudio reciente realizado por
el Instituto Ponemon encontr que
el nmero de ataques cibernticos
exitosos en empresas se ha ms que
duplicado en los ltimos dos aos y
que el impacto financiero resultante
se increment en aproximadamente
un 40 por ciento.
La tecnologa est cambiando muy
rpidamente, como as mismo los
medios por los cuales los perpetradores de los delitos cibernticos
estn llevando a cabo sus nefastas
actividades. Un incremento de la
conectividad global y una mayor
dependencia de las organizaciones
en terceras partes tambin aumentan
el riesgo de exposicin de propiedad
intelectual.
Esta edicin de Tone at the Top explica cmo los comits de auditora,
la administracin, y los auditores
internos pueden trabajar para reducir
la exposicin de riesgos de PI y
proteger a sus organizaciones de los
paralizantes ataques cibernticos.

Activos Valiosos
Propiedad intelectual es un trmino bastante genrico que abarca la mayora de los datos relacionados
con los productos - y servicios - importantes de una

empresa, los activos intangibles que dan a la compaa su ventaja. Una base de datos confidencial de
clientes es un buen ejemplo, al igual que los planes
de marketing, informacin de las transacciones de
los clientes, y los resultados de pruebas beta. La lista
contina.
Hubo un tiempo en que este tipo
de informacin se almacenaba
literalmente bajo llave. Sin embargo, hoy en da el ambiente de
negocios de alta tecnologa requiere
el almacenamiento digital, accesibilidad remota y transferencia rpida
y sencilla de datos. Mantener la
propiedad intelectual segura es cada
vez ms difcil porque las empresas
se han movido al mundo digital y
tambin lo han hecho los delincuentes.
Desde el punto de vista de los
vectores de amenazas, tu celular
es probablemente tu riesgo ms
grande, dice Jeff Spivey, presidente
de Security Risk Management Inc.
y vicepresidente de ISACA, que
establece las normas internacionales para la auditora y control en
tecnologa informtica.
Hay aplicaciones que permiten a los hackers
utilizar tu telfono mvil para monitorear tu correo
electrnico, acceder a tus contraseas, propiedad
intelectual e incluso operar de forma remota la cmara de tu telfono dice Spivey, quien hablar sobre
cyber seguridad en la conferencia General Audit
Management del IIA en Marzo.
1

TONE AT THE TOP | Febrero 2014

Amenaza Invisible
El primer paso para impulsar la seguridad ciberntica consiste en identificar la amenaza. Los cuatro
tipos principales son: hackers fastidiosos, hackers
apoyados por el estado, atacantes criminales y
hacktivistas, que pueden estar buscando temas
relacionados con el medio ambiente o los derechos
humanos.
Los modos de ataque ms comunes incluyen la introduccin de un programa malicioso como Troyano,
gusano, virus o software espa; phishing (obtencin
va engao) de contraseas; y ataques de negacin
de servicio destinados a bloquear los sitios web.
Los resultados pueden ser devastadores, incluyendo
prdidas financieras, robo de propiedad intelectual,
dao reputacional, fraude y exposicin legal.

Seis Pasos para Proteger la PI

Robert Smallwood, consultor de Seguridad
de Tecnologa de Informacin y autor del
libro Safe-guarding Critical e-documents,
recomienda los siguientes seis pasos para
proteger la propiedad intelectual.
1. Identifique los documentos electrnicos
confidenciales (tipos de documentos y
categoras).
2. Determine dnde son creados, quin
necesita tener acceso a ellos y cundo.
3. Desarrolle polticas de gobierno de la
informacin para administrar y controlar
el acceso a documentos sensibles.
4. Aplique las polticas de gobierno de la
informacin con tecnologas de Seguridad de Documentos Electrnicos (EDSElectronic Document Security), que
pueden incluir la administracin de derechos sobre informacin, prevencin
de prdida de datos, tecnologas de
firmas digitales sobre documentos o
cifrado.
5. Pruebe y audite su programa de gobierno de la informacin.
6. Perfeccione las polticas y contine
evaluando la implementacin de nuevas
tecnologas de seguridad ciberntica y
EDS.
2

TONE AT THE TOP | Febrero 2014

Lo ms insidioso son los ataques llamados da cero

en los que los hackers se infiltran en una base de
datos, copian o modifican datos y luego salen sin ser
detectados, dice Marc Vael, director ejecutivo de
auditora de Smals, que proporciona la infraestructura de TI para los sistemas de servicios sociales
y atencin de salud de Blgica. Bajo este tipo de
ataques, pueden transcurrir meses o incluso aos
antes de que se detecten, mucho despus de que el
dao se ha producido.

Esfuerzo Holstico
Mantener la propiedad intelectual a salvo de los
criminales requiere que las tres lneas de defensa
gerencia de tecnologa de informacin, gestin
de riesgos y auditora interna estn al da en lo
correspondiente a tecnologa y compartan los conocimientos para evitar puntos ciegos y silos. David
Brand, gerente a cargo de auditora de TI de la firma
consultora Protiviti, advierte en contra de poner demasiada responsabilidad en los administradores de
TI. La seguridad ciberntica, dice l, debera ser una
preocupacin mayor de la gestin de riesgos y una
parte habitual de los planes de auditora interna.
Hay una tendencia en las organizaciones a pensar
que la seguridad ciberntica es un asunto de TI,
pero realmente depende de la direccin ejecutiva
para decirle a TI qu necesita estar protegido, dnde
reside la propiedad intelectual y quin debera tener
acceso a ella, dice Brand. El riesgo de seguridad
ciberntica es el mismo que cualquier otro tipo de
riesgo. Es slo que el activo es de tipo electrnico en
lugar de fsico. Usted necesita un buen sistema de
control interno.
Las responsabilidades del comit de auditora pueden incluir el establecimiento de expectativas y
responsabilidad para la administracin, la evaluacin
de la suficiencia de los recursos, financiamiento, y el
enfoque en las actividades de seguridad ciberntica.
Es importante que los comits de auditora comuniquen las expectativas con respecto a la seguridad y la
mitigacin de riesgos.

El punto ms dbil
No todas las amenazas son externas. Como cualquier
esfuerzo de mitigacin de riesgos, las personas son
el punto ms dbil. Vael recomienda entrenamiento
regular de los empleados desde la base hasta el nivel
superior de la organizacin. El mayor problema es
el entendimiento, dice Vael. Explqueme, en mi
idioma, los riesgos involucrados, qu se espera y lo
que eso implica.
Como parte de la auditora de TI, Vael recomienda
una evaluacin anual de la habilidad de la orga-

Comunicaciones de la Junta
Directiva
Los datos generados por la junta directiva
son tan vulnerables a los ciberataques como
cualquier propiedad intelectual de la organizacin. De hecho, segn la Encuesta de
Gobierno a Juntas directivas de Thomson
Reuters 2013, ms del 75 por ciento de las
organizaciones utiliza cuentas personales
no seguras de correo electrnico para
distribuir documentos de la Junta, y casi el
50 por ciento no garantiza que las comunicaciones de la Junta estn cifradas. Pero
el 52 por ciento de las organizaciones
ahora utiliza un portal de la Junta directiva
para compartir informacin sensible de la
misma.

nizacin para mantener y asegurar sus aplicaciones,

activos e infraestructura de TI algo que l llama
competencias electrnicas.
Finalmente, a medida que ms organizaciones externalizan las funciones de TI o trasladan la infraestructura y aplicaciones a la nube, Vael exhorta
a los directores y ejecutivos para mantener en las
gerencias la responsabilidad para realizar la debida
diligencia de los proveedores contratados a fin de
asegurar que cumplan con las polticas, prcticas y la
cultura de la organizacin, cuando se trata de la proteccin de la propiedad intelectual y de la seguridad
ciberntica.
La gente tiende a centrarse en las cosas tangibles
procesos y procedimientos, estructura organizacional, dice Vael. Lo que est faltando es el componente cultural.

Preguntas
que los
Directorios
deberan hacer.

??

Cules son los activos de informacin

ms crticos, y cul es el valor en juego
en un evento de violacin de seguridad?

La junta directiva / comit de auditora

trabaj suficiente tiempo para comprender los riesgos y controles clave necesarios para proteger a la organizacin del
ataque ciberntico?

Se ha efectuado un inventario de
Propiedad Intelectual, incluyendo dnde
reside y quin tiene acceso a ella?

Tiene la organizacin destinados recursos y financiamiento suficientes para

ejecutar seguridad ciberntica?

La proteccin de la propiedad intelectual ha sido incluida en la evaluacin de

riesgos en toda la compaa?

Existen procedimientos formales que

deben seguirse en caso de violaciones y
se han probado estos procedimientos?

Cul es la evaluacin de la auditora

interna respecto de la capacidad de la
organizacin para asegurar su propiedad
intelectual?

Los auditores internos tambin deben verificar que

la compaa actualice los programas de entrenamiento de los empleados segn sea necesario de manera
que incluyan los requisitos para la proteccin y la
eliminacin segura de material confidencial, y asegurar que nuevos empleados tengan entrenamiento
adecuado, que incorpore una cuidadosa explicacin
de la poltica de seguridad de la informacin y del
cdigo de conducta.

Pregunta para la Encuesta rpida

De hecho, son los empleados quienes desafortunadamente representan el vnculo ms dbil en la cadena
de cyber proteccin. Las organizaciones tienen un
largo camino que recorrer hacia la proteccin de su
cyber- propiedad intelectual haciendo todo lo posible
para eliminar esta amenaza desde adentro.

Visite www.theiia.org/goto/quickpoll
para responder esta pregunta y ver lo que
otros estn respondiendo.

Qu tan seguro est usted de que los controles de su organizacin pueden prevenir
una amenaza de seguridad ciberntica
significativa?

TONE AT THE TOP | Febrero 2014

Sobre El IIA
El Instituto de Auditores Internos Inc. (IIA) es una
asociacin profesional mundial con 180.000 miembros en 190 pases. El IIA sirve como defensor de la
profesin de auditora interna, pionero de las normas
internacionales y principal investigador y educador.
www.globaliia.org

Suscripciones a disposicin

Comentarios de los Lectores

Enve sus preguntas / comentarios a tone@theiia.org.

Contenido del Consejo Consultivo

Con dcadas de experiencia en la alta direccin y
consejo de administracin, los siguientes apreciados
profesionales proporcionan orientacin sobre el contenido de esta publicacin:
Martin M. Coyne II
Michele J. Hooper

Visite www.globaliia.org/Tone-at-the-Top o llame al:

+1-407-937-1111 para solicitar su suscripcin gratuita.

Nancy A. Eckl
Kenton J. Sicchitano

TOP

TONE
at the

Resultados de la
Encuesta rpida:
Qu tan bien los
ejecutivos financieros,
auditores internos,
auditores externos y
los miembros del
consejo de su organizacin se comunican
entre s?

37 52 11
%

Pobre o Ausente

Adecuado

Excepcional
555-555-5555

*Basado en 501 respuestas.

Los encuestados slo podan
elegir una respuesta.

Derechos de autor 2013 por The Institute of Internal Auditors, Inc., (El IIA) estrictamente reservados. Toda reproduccin
del nombre o del logo del IIA llevar el smbolo de registro de la marca registrada federal de los EE. UU. . Ninguna parte de
este material podr reproducirse de ninguna forma sin el permiso escrito del IIA.

El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traduccin, que es la misma en todos los aspectos materiales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser
reproducida, guardada en ningn sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico,
mecnico, fotocopia, grabacin, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

El
presente
documento
fue traducido por el IIA ECUADOR el 12/02/2014.
*Based
on 501
responses. Respondents
could only choose a single response.

02/140485

TONE AT THE TOP | Febrero 2014