Auditoría Pública nº 73. Revista de los órganos autonómicos de control extreno

47 Auditoría Pública nº 73 (2019), pp. 43 - 51 Fuente: European Confederation of institutes of internal Auditors/Federation of risk Management Association (2013) Tal y como se indica en el informe Coso in the cyber age (2015), cada organización está gestionada por dife- rentes personas con habilidades y experiencias únicas que impulsan los juicios profesionales que se aplican para afectar el control interno. Al evaluar si la organiza- ción ha diseñado e implementado controles apropiados para mitigar los riesgos cibernéticos, es útil comparar las actividades de control con los estándares y marcos que están alineados con la gestión de los riesgos cibernéti- cos. La figura que se indica continuación proporciona referencias y antecedentes sobre los marcos y estándares centrados en el ciberespacio que pueden proporcionar asistencia adicional a las organizaciones al evaluar la su- ficiencia de los controles para estar seguros, vigilantes y resilientes. Nuevas tendencias en la gestión de riesgos del control interno Fuente: Elaboración propia basada en el documento Coso in the cyber age (2015). Modelo de las Tres Líneas de Defensa* adaptado al riesgo de Ciberseguridad CONSEJO DE ADMINISTRACIÓN/COMISIÓN DE AUDITORÍA ALTA DIRECCIÓN 1ª LÍNEA DE DEFENSA 2ª LÍNEA DE DEFENSA 3ª LÍNEA DE DEFENSA Control de las áreas Cumplimiento Normativo de TI Auditoría Interna de TI Control interno de TI Seguridad de TI Gestión de Riesgos de TI ... Auditoría de Cuentas Regulador/Superior *European Confederation of Institutes of Internal Auditors/Federation of Risk Management Association - 2013. Endorse By Global Institute of Internal Auditors - 2014. COBIT ISO NIST Los objetivos de control para información y tecno- logía relacionada (COBIT, por sus siglas en inglés) es un marco creado por ISACA que permite a los gerentes reducir la brecha entre los requisitos de control, los problemas- técnicos y los riesgos comerciales. La Organización Interna- cional de Normalización desarrolló la serie ISO 27000 para abordar los estándares que permi- ten a las organizaciones implementar procesos y controles que respalden los principios de seguri- dad de la información. El Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de EE. UU. Lanzó la primera versión del Marco para mejorar la ciberseguridad de la infraestructura crítica en febrero de 2014. El marco se basa en estándares, directrices y prácticas existentes para guiar a las organizaciones en prácticas que reducen los impactos potenciales de Riesgos cibernéticos.