Edicin 66 | Febrero 2014
TONE
at the
Seguridad ciberntica: Manteniendo
la Propiedad Intelectual bajo llave
La valiosa propiedad intelectual (PI) de su empresa
sus secretos comerciales, patentes, y lista de clientes
est ms susceptible a ataques por Internet hoy
de lo que estaban ayer. Y estarn an ms vulnerable
maana. De hecho, un estudio reciente realizado por
el Instituto Ponemon encontr que
el nmero de ataques cibernticos
exitosos en empresas se ha ms que
duplicado en los ltimos dos aos y
que el impacto financiero resultante
se increment en aproximadamente
un 40 por ciento.
La tecnologa est cambiando muy
rpidamente, como as mismo los
medios por los cuales los perpe-
tradores de los delitos cibernticos
estn llevando a cabo sus nefastas
actividades. Un incremento de la
conectividad global y una mayor
dependencia de las organizaciones
en terceras partes tambin aumentan
el riesgo de exposicin de propiedad
intelectual.
Esta edicin de Tone at the Top ex-
plica cmo los comits de auditora,
la administracin, y los auditores
internos pueden trabajar para reducir
la exposicin de riesgos de PI y
proteger a sus organizaciones de los
paralizantes ataques cibernticos.
Activos Valiosos
Propiedad intelectual es un trmino bastante genri-
co que abarca la mayora de los datos relacionados
con los productos - y servicios - importantes de una
TOPProporcionando informacin concisa en asuntos de gobernabilidad
a la alta direccin, consejos de administracin y comits de auditora.
empresa, los activos intangibles que dan a la com-
paa su ventaja. Una base de datos confidencial de
clientes es un buen ejemplo, al igual que los planes
de marketing, informacin de las transacciones de
los clientes, y los resultados de pruebas beta. La lista
contina.
Hubo un tiempo en que este tipo
de informacin se almacenaba
literalmente bajo llave. Sin em-
bargo, hoy en da el ambiente de
negocios de alta tecnologa requiere
el almacenamiento digital, accesibi-
lidad remota y transferencia rpida
y sencilla de datos. Mantener la
propiedad intelectual segura es cada
vez ms difcil porque las empresas
se han movido al mundo digital y
tambin lo han hecho los delin-
cuentes.
Desde el punto de vista de los
vectores de amenazas, tu celular
es probablemente tu riesgo ms
grande, dice Jeff Spivey, presidente
de Security Risk Management Inc.
y vicepresidente de ISACA, que
establece las normas internacio-
nales para la auditora y control en
tecnologa informtica.
Hay aplicaciones que permiten a los hackers
utilizar tu telfono mvil para monitorear tu correo
electrnico, acceder a tus contraseas, propiedad
intelectual e incluso operar de forma remota la c-
mara de tu telfono dice Spivey, quien hablar sobre
cyber seguridad en la conferencia General Audit
Management del IIA en Marzo.
TONE AT THE TOP | Febrero 2014
 Amenaza Invisible
El primer paso para impulsar la seguridad cibern-
tica consiste en identificar la amenaza. Los cuatro
tipos principales son: hackers fastidiosos, hackers
apoyados por el estado, atacantes criminales y
hacktivistas, que pueden estar buscando temas
relacionados con el medio ambiente o los derechos
humanos.
Los modos de ataque ms comunes incluyen la in-
troduccin de un programa malicioso como Troyano,
gusano, virus o software espa; phishing (obtencin
va engao) de contraseas; y ataques de negacin criminales requiere que las tres lneas de defensa
de servicio destinados a bloquear los sitios web.
Los resultados pueden ser devastadores, incluyendo
prdidas financieras, robo de propiedad intelectual,
dao reputacional, fraude y exposicin legal.
Seis Pasos para Proteger la PI
Robert Smallwood, consultor de Seguridad
de Tecnologa de Informacin y autor del
libro Safe-guarding Critical e-documents,
recomienda los siguientes seis pasos para
proteger la propiedad intelectual.
1. Identifique los documentos electrnicos
confidenciales (tipos de documentos y
categoras).
2. Determine dnde son creados, quin
necesita tener acceso a ellos y cundo.
3. Desarrolle polticas de gobierno de la
informacin para administrar y controlar
el acceso a documentos sensibles.
4. Aplique las polticas de gobierno de la
informacin con tecnologas de Seguri-
dad de Documentos Electrnicos (EDS-
Electronic Document Security), que
pueden incluir la administracin de de-
rechos sobre informacin, prevencin
de prdida de datos, tecnologas de
firmas digitales sobre documentos o
cifrado.
5. Pruebe y audite su programa de gobier-
no de la informacin.
6. Perfeccione las polticas y contine
evaluando la implementacin de nuevas
tecnologas de seguridad ciberntica y
EDS.
TONE AT THE TOP | Febrero 2014
Lo ms insidioso son los ataques llamados da cero
en los que los hackers se infiltran en una base de
datos, copian o modifican datos y luego salen sin ser
detectados, dice Marc Vael, director ejecutivo de
auditora de Smals, que proporciona la infraestruc-
tura de TI para los sistemas de servicios sociales
y atencin de salud de Blgica. Bajo este tipo de
ataques, pueden transcurrir meses o incluso aos
antes de que se detecten, mucho despus de que el
dao se ha producido.
Esfuerzo Holstico
Mantener la propiedad intelectual a salvo de los
gerencia de tecnologa de informacin, gestin
de riesgos y auditora interna estn al da en lo
correspondiente a tecnologa y compartan los cono-
cimientos para evitar puntos ciegos y silos. David
Brand, gerente a cargo de auditora de TI de la firma
consultora Protiviti, advierte en contra de poner de-
masiada responsabilidad en los administradores de
TI. La seguridad ciberntica, dice l, debera ser una
preocupacin mayor de la gestin de riesgos y una
parte habitual de los planes de auditora interna.
Hay una tendencia en las organizaciones a pensar
que la seguridad ciberntica es un asunto de TI,
pero realmente depende de la direccin ejecutiva
para decirle a TI qu necesita estar protegido, dnde
reside la propiedad intelectual y quin debera tener
acceso a ella, dice Brand. El riesgo de seguridad
ciberntica es el mismo que cualquier otro tipo de
riesgo. Es slo que el activo es de tipo electrnico en
lugar de fsico. Usted necesita un buen sistema de
control interno.
Las responsabilidades del comit de auditora pue-
den incluir el establecimiento de expectativas y
responsabilidad para la administracin, la evaluacin
de la suficiencia de los recursos, financiamiento, y el
enfoque en las actividades de seguridad ciberntica.
Es importante que los comits de auditora comuni-
quen las expectativas con respecto a la seguridad y la
mitigacin de riesgos.
El punto ms dbil
No todas las amenazas son externas. Como cualquier
esfuerzo de mitigacin de riesgos, las personas son
el punto ms dbil. Vael recomienda entrenamiento
regular de los empleados desde la base hasta el nivel
superior de la organizacin. El mayor problema es
el entendimiento, dice Vael. Explqueme, en mi
idioma, los riesgos involucrados, qu se espera y lo
que eso implica.
Como parte de la auditora de TI, Vael recomienda
una evaluacin anual de la habilidad de la orga-
 Comunicaciones de la Junta
Directiva
Los datos generados por la junta directiva
son tan vulnerables a los ciberataques como
cualquier propiedad intelectual de la orga-
Preguntas
que los
Directorios
deberan hacer.
??
nizacin. De hecho, segn la Encuesta de
Gobierno a Juntas directivas de Thomson Cules son los activos de informacin
Reuters 2013, ms del 75 por ciento de las ms crticos, y cul es el valor en juego
organizaciones utiliza cuentas personales en un evento de violacin de seguridad?
no seguras de correo electrnico para
distribuir documentos de la Junta, y casi el La junta directiva / comit de auditora
50 por ciento no garantiza que las comu- trabaj suficiente tiempo para compren-
nicaciones de la Junta estn cifradas. Pero
der los riesgos y controles clave necesa-
el 52 por ciento de las organizaciones
ahora utiliza un portal de la Junta directiva rios para proteger a la organizacin del
para compartir informacin sensible de la ataque ciberntico?
misma.
Se ha efectuado un inventario de
Propiedad Intelectual, incluyendo dnde
reside y quin tiene acceso a ella?
nizacin para mantener y asegurar sus aplicaciones,
activos e infraestructura de TI algo que l llama Tiene la organizacin destinados re-
competencias electrnicas. cursos y financiamiento suficientes para
ejecutar seguridad ciberntica?
Finalmente, a medida que ms organizaciones exter-
nalizan las funciones de TI o trasladan la infra- La proteccin de la propiedad intelec-
estructura y aplicaciones a la nube, Vael exhorta
a los directores y ejecutivos para mantener en las tual ha sido incluida en la evaluacin de
gerencias la responsabilidad para realizar la debida riesgos en toda la compaa?
diligencia de los proveedores contratados a fin de
asegurar que cumplan con las polticas, prcticas y la Existen procedimientos formales que
cultura de la organizacin, cuando se trata de la pro- deben seguirse en caso de violaciones y
teccin de la propiedad intelectual y de la seguridad se han probado estos procedimientos?
ciberntica.
Cul es la evaluacin de la auditora
La gente tiende a centrarse en las cosas tangibles
interna respecto de la capacidad de la
procesos y procedimientos, estructura organizacio-
nal, dice Vael. Lo que est faltando es el compo- organizacin para asegurar su propiedad
nente cultural. intelectual?

Los auditores internos tambin deben verificar que

la compaa actualice los programas de entrenamien-
to de los empleados segn sea necesario de manera
que incluyan los requisitos para la proteccin y la
eliminacin segura de material confidencial, y ase- Pregunta para la Encuesta rpida
gurar que nuevos empleados tengan entrenamiento Qu tan seguro est usted de que los con-
adecuado, que incorpore una cuidadosa explicacin troles de su organizacin pueden prevenir
de la poltica de seguridad de la informacin y del
una amenaza de seguridad ciberntica
cdigo de conducta.
significativa?
De hecho, son los empleados quienes desafortunada-
mente representan el vnculo ms dbil en la cadena Visite www.theiia.org/goto/quickpoll
de cyber proteccin. Las organizaciones tienen un para responder esta pregunta y ver lo que
largo camino que recorrer hacia la proteccin de su
cyber- propiedad intelectual haciendo todo lo posible otros estn respondiendo.
para eliminar esta amenaza desde adentro.

TONE AT THE TOP | Febrero 2014

 Sobre El IIA
El Instituto de Auditores Internos Inc. (IIA) es una
asociacin profesional mundial con 180.000 miem-
bros en 190 pases. El IIA sirve como defensor de la
profesin de auditora interna, pionero de las normas
internacionales y principal investigador y educador.
www.globaliia.org
Suscripciones a disposicin
Visite www.globaliia.org/Tone-at-the-Top o llame al:
+1-407-937-1111 para solicitar su suscripcin gratuita.
Comentarios de los Lectores
Enve sus preguntas / comentarios a tone@theiia.org.
Contenido del Consejo Consultivo
Con dcadas de experiencia en la alta direccin y
consejo de administracin, los siguientes apreciados
profesionales proporcionan orientacin sobre el con-
tenido de esta publicacin:
Martin M. Coyne II Nancy A. Eckl
Michele J. Hooper Kenton J. Sicchitano

TONE
at the
TOP
37 52 11 % % %
Resultados de la
Encuesta rpida:
Qu tan bien los
ejecutivos financieros,
auditores internos,
auditores externos y
Pobre o Ausente Adecuado Excepcional
los miembros del
consejo de su organi-
555-555-5555
zacin se comunican
entre s?

*Basado en 501 respuestas.

Los encuestados slo podan
elegir una respuesta.

Derechos de autor 2013 por The Institute of Internal Auditors, Inc., (El IIA) estrictamente reservados. Toda reproduccin
del nombre o del logo del IIA llevar el smbolo de registro de la marca registrada federal de los EE. UU. . Ninguna parte de
este material podr reproducirse de ninguna forma sin el permiso escrito del IIA.

El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traduccin, que es la misma en todos los aspectos ma-
teriales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser
reproducida, guardada en ningn sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico,
mecnico, fotocopia, grabacin, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

El presente
*Based documento
on 501 fue traducido por el IIA ECUADOR el 12/02/2014.
responses. Respondents
could only choose a single response.

02/140485 TONE AT THE TOP | Febrero 2014