denisismagilov - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Equilibre el cumplimiento y la prevención del fraude con estos tips

Los líderes de TI deben estar atentos contra el fraude cibernético. Use esta lista de estatutos de cumplimiento contra el fraude y consejos de prevención para proteger los recursos de TI, los clientes y la reputación de su empresa.

El fraude no es solo para las instituciones financieras: todas las organizaciones, independientemente de la industria o el tamaño, deben lidiar con actividades fraudulentas. Esto hace que el cumplimiento contra el fraude cibernético sea una tarea crítica para los profesionales de TI, los equipos de gestión de riesgos y el personal de prevención de fraude.

Asegurar el cumplimiento del fraude comienza con la comprensión de los estatutos, estándares, regulaciones y otros requisitos legales relevantes que abordan el fraude desde una perspectiva de TI. Una de las áreas que los auditores de cumplimiento investigan es la detección y mitigación de actividades fraudulentas que utilizan recursos de TI, como aplicaciones, dispositivos de escritorio, computadoras portátiles, redes, servidores, bases de datos o datos de usuarios.

Los programas de TI empresariales primero deben examinar el fraude en relación con las políticas y procedimientos de seguridad. El siguiente paso es evaluar el uso de esas políticas y procedimientos para garantizar el cumplimiento de los estatutos pertinentes.

Aquí, los líderes de TI pueden examinar las diversas reglas aplicables con respecto a actividades fraudulentas que resultan de infracciones de seguridad cibernética.

Normas y estatutos para el cumplimiento contra fraudes

Además de las normas de seguridad y privacidad de los datos, existen normas que abordan la seguridad y la prevención del fraude. Por ejemplo, el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Examinadores de Fraude Certificados han completado investigaciones sobre fraude y han publicado informes y orientación sobre el tema que cruza la mayoría de los mercados verticales. ISACA también proporciona una amplia guía para auditores de TI que realizan exámenes por brechas de seguridad y fraude.

La AICPA definió el fraude cibernético como «el acto intencional de privar a otro de propiedad o dinero por engaño, tergiversación u otro medio injusto usando computadoras u otras tecnologías». Los auditores internos, los auditores de TI y los contadores públicos certificados se enfrentan cada vez más a los desafíos de los actores de amenazas internos y externos. Lo mismo ocurre con los profesionales de ciberseguridad de TI. A continuación se muestra una lista de los estándares más relevantes para los profesionales de la seguridad cibernética.

El marco NIST enfatiza cinco requisitos centrales para los líderes y ejecutivos de la organización.

Publicación especial del NIST (SP) 800-53. Este estándar, Controles de seguridad y privacidad para organizaciones y sistemas de información federales, es ampliamente utilizado por las agencias gubernamentales federales, estatales y locales de Estados Unidos. También es uno de los estándares de referencia dentro del sector privado. Está disponible como descarga gratuita desde NIST. El estándar está organizado lógicamente y es fácil de seguir cuando se prepara un plan de cumplimiento contra fraudes.

NIST SP 800-83. Este documento, Guía para la prevención y el manejo de incidentes de malware para computadoras de escritorio y portátiles, brinda una guía detallada sobre problemas de malware. Estas estrategias de prevención y mitigación de malware pueden ser valiosas para los profesionales de TI. Si bien no se trata específicamente de un documento de auditoría, su orientación se puede utilizar para identificar con éxito los posibles eventos de fraude y mitigarlos de manera proactiva. La evidencia de tales esfuerzos de identificación y mitigación puede ser importante durante la auditoría de una organización de TI.

Organización Internacional de Estandarización (ISO, por sus siglas en inglés) 27001 y 27002. ISO publica la serie 27000 de estándares de seguridad de la información ampliamente utilizada. Los dos estándares más destacados incluyen ISO 27001, Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos, e ISO 27002, Tecnología de la información - Técnicas de seguridad - Código de prácticas para controles de seguridad de la información. Estos puntos de referencia de ciberseguridad se pueden usar para abordar problemas de cumplimiento de fraude. El cumplimiento de las normas ISO 27001 y 27002 implica un examen y auditoría exhaustivos de las políticas, procedimientos y actividades administrativas de ciberseguridad. Puede llevar más de un año lograr el cumplimiento de estas normas. El proceso a menudo requiere el uso de auditores y examinadores experimentados acreditados en los estándares.

Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) de 1996. Las regulaciones de la Regla de Seguridad de HIPAA son esenciales para las instituciones de atención médica que utilizan registros de salud electrónicos, como datos de pacientes. El cumplimiento de este requisito se logra al proporcionar evidencia relevante de apoyo para los controles de la Regla de Seguridad a través de una auditoría.

Consejo de examen de instituciones financieras federales (FFIEC). Manual de examen de seguridad de la información y herramienta de evaluación de seguridad cibernética (CAT). El cumplimiento de este requisito se logra a través de una auditoría detallada. Las instrucciones sobre cómo cumplir mejor con los requisitos se detallan en el programa de trabajo de auditoría de seguridad de la información de FFIEC. El CAT proporciona un enfoque estructurado para evaluar el nivel de preparación de una institución financiera para un evento de seguridad cibernética.

Regulaciones estatales de fraude. La mayoría de los estados en los EE. UU. tienen regulaciones que abordan problemas de seguridad y fraude. Si bien la mayoría de las regulaciones estatales se centran en organizaciones financieras y no financieras, no específicamente en TI y ciberseguridad, vale la pena revisarlas para garantizar que las iniciativas de ciberseguridad de TI estén alineadas.

En la mayoría de los casos, es necesario un proceso de validación como una auditoría, ya sea interna o externa, para garantizar el cumplimiento de normas y regulaciones específicas. La preparación para una auditoría es esencial. Es fundamental que los líderes de TI presenten primero la documentación que afirme el cumplimiento de los controles de seguridad y fraude. En segundo lugar, deben proporcionar una demostración de cumplimiento en tiempo real a través de entrevistas de auditoría y demostraciones en vivo. Finalmente, deben satisfacer los hallazgos del informe de auditoría y las acciones recomendadas de acuerdo con los plazos especificados.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close