Propuesta de un conjunto de herramientas de evaluación de riesgos cibernéticos, basado en el marco de trabajo NIST – Cybersecurity Framework, para el mejoramiento y estandarización de las evaluaciones tecnológicas del área de auditoría de TI que apoya las auditorías financieras de los clientes de HCR

Abstract

El objetivo de este estudio recae en proponer un conjunto de herramientas de evaluación de riesgos cibernéticos, basado en el marco de trabajo NIST – Cybersecurity Framework, para el mejoramiento y estandarización de las evaluaciones tecnológicas del área de auditoría de TI que apoya las auditorías financieras, mediante el análisis de la documentación actual del área de auditoría de TI y los componentes del marco NIST- Cybersecurity Framework, para posteriormente elaborar un conjunto de herramientas que cumplan con las necesidades de HCR y de sus clientes. Además de determinar el retorno de inversión y beneficios que se derivan de este estudio. La propuesta del proyecto surge debido a que por directriz de la empresa en todas las auditorías se deben evaluar los riesgos cibernéticos, sin embargo, la evaluación realizada por el área de auditoría de TI no es suficiente ya que, se presenta de forma indagatoria y no cuenta con un estándar o herramientas establecidas para tomar de referencia, provocando falta de claridad en la evaluación. La investigación está basada en una metodología con diseño de investigación-acción, donde se utiliza un enfoque cualitativo que permite analizar las necesidades de los sujetos de estudio y brindarles soluciones de acuerdo con las situaciones identificadas. El resultado del estudio proporcionó los procedimientos que se deben evaluar para determinar los riesgos cibernéticos en los clientes, así como definir que el componente del marco NIST- Cybersecurity Framework más adecuado para la evaluación es el Framework Core. Con base a lo anterior se elaboró un conjunto de herramientas que permitirá al equipo de auditoría de TI identificar los riesgos cibernéticos de forma clara y puntual.

The objective of this study is to propose a set of cyber risk assessment tools, based on the NIST - Cybersecurity Framework for the improvement and standardization of technological evaluations of the IT audit area that supports financial audits, by analyzing the current documentation of the IT audit area and the components of the NIST-Cybersecurity Framework, to later develop a set of tools that meet the needs of HCR and its clients. In addition to determining the return on investment and benefits derived from this study. The project proposal arises because by company guideline in all audits cyber risks must be evaluated, however, the evaluation carried out by the IT audit area is not enough since it is presented in an investigative way and not It has a standard or established tools to take as a reference, causing a lack of clarity in the evaluation. The research is based on a methodology with an action-research design, where a qualitative approach is used that allows to analyze the needs of the study subjects and provide them with solutions according to the identified situations. The result of the study provided the procedures to be evaluated to determine cyber risks in clients, as well as to define that the most suitable component of the NIST-Cybersecurity Framework for the evaluation is the Framework Core. Based on the above, a set of tools was developed that will allow the IT audit team to identify cyber risks in a clear and timely manner.