El uso intensivo y cada vez más pervasivo de las nuevas tecnologías, para sostener los procesos de negocio, ha incrementado la exposición al riesgo tecnológico de todas las organizaciones. Esta transformación digital se ha visto acelerada por la reciente crisis sanitaria provocada por el COVID 19. El auge de la ciberseguridad es directamente proporcional a este crecimiento exponencial de las amenazas relacionadas con el uso de las nuevas tecnologías y la digitalización, y más en este entorno VUCA (Volatile, Uncertain, Complex, Ambiguous) que nos está tocando vivir.

A pesar del foco en la prevención y de las inversiones realizadas en medidas de seguridad, los ciberincidentes son inevitables y cada vez más frecuentes. Es crucial, por ende, desarrollar nuevas capacidades de respuesta y recuperación que limiten el impacto en las operaciones y mitiguen el daño reputacional.

El modelo de tres líneas está evolucionado hacia un modelo más simple, claro y efectivo, donde la aportación de valor a la organización cobra un mayor peso. En este sentido, auditoría interna - que desde hace un tiempo ya ha incluido en sus planes la supervisión a priori de las capacidades, competencias y procesos existentes-, debe ampliar su espectro de análisis a todas las fases del sistema de gestión de la ciberseguridad, donde una involucración a posteriori, analizando la efectividad y eficacia de la respuesta dada a un ciber incidente concreto (resolución de la crisis, comunicación y gestión del riesgo de reputación), aportará un importante valor añadido . En esta labor, auditoría interna puede retroalimentar la gestión de la ciberseguridad evaluando su adecuación a la estrategia de la organización e impulsando la mejora a través de su trabajo de revisión, proporcionando, además, un análisis independiente al consejo de administración y la alta dirección de la organización.