Según el World Economic Forum, el riesgo de ciberseguridad está en la actualidad entre los cinco primeros a los que se enfrentan las compañías, habiéndose convertido en un riesgo sistémico. Ciberataques como el de WannaCry, que el pasado mayo afectó a 425.000 equipos en más de 170 países, demuestran el alcance que puede tener un incidente de estas características en una organización o en un país.
Los últimos ataques de ramsonware como este demuestran que la materialización de estos riesgos no es remota e incluso puede convertirse en habitual. El objetivo de la última edición de Los Lunes del Instituto de Auditores Internos ha sido el de concienciar a las direcciones de Auditoría Interna sobre el cambio de paradigma que estamos sufriendo en la actualidad: pasar de gestionar únicamente los riesgos que afectan a una compañía a tener que preverlos y saber cómo reaccionar ante los incidentes que van a ocurrir.
Andrés de Benito, Senior Manager del área de Ciberseguridad de PwC y ponente en esta edición de Los Lunes del IAI asegura que “gran parte de los riesgos de en ciberseguridad tienen las características de un cisne negro”, que según la teoría de Nassim Taleb es un suceso, a priori, altamente improbable, que tiene un impacto muy grande y sobre el que, una vez ha ocurrido, podemos racionalizar en retrospectiva.
De Benito ha señalado que en la actualidad las implicaciones que un ciberataque puede tener en una organización son muy variadas y muy graves. Los principales procesos de una compañía se sustentan en activos tecnológicos y por lo tanto si dejaran de estar disponibles el impacto sería absoluto y la compañía podría dejar de funcionar. “No es una moda, sino una realidad que ha llegado para quedarse. No sabemos la medida en que los cisnes negros afectarán a las organizaciones cuando absolutamente todo esté conectado, no tenemos claro qué riesgos hay ni la certeza de que se hayan evaluado todos. La única certeza es que tarde o temprano vamos a sufrir un incidente y las consecuencias dependerán en gran medida en cómo de preparados estemos para reaccionar”, ha destacado.
El resultado de estos ataques ha evidenciado falta de preparación por parte de las compañías a la hora de anticiparse y protegerse de unos sucesos que por su magnitud han llegado a afectar a los procesos productivos de varias multinacionales, no limitándose solo al impacto reputacional que tenían hasta ahora. Auditoría Interna debe focalizarse en entender las amenazas y saber cuáles pueden afectar a la compañía. Una vez hecho esto, es necesario valorar cómo puede afectar a la organización el impacto de esa amenaza y desarrollar las capacidades de respuesta, no solamente de protección, asumiendo que el suceso, tarde o temprano, terminará ocurriendo. Auditoría Interna debería verificar que dichas capacidades existen y realmente son adecuadas para proteger a la compañía ante un ciberataque.
Acerca del Instituto de Auditores Internos de España:
El Instituto de Auditores Internos de España es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
