Auditoría & Co

El gran crecimiento de las redes y de sistemas de información interconectados ha originado que los temas relacionados con la ciberseguridad cobren cada vez más relevancia cuando se habla sobre la seguridad de la información. En la actualidad, los ciberataques suponen uno de los principales riesgos de control interno a través de los que se puede captar información vital de una empresa o incluso recursos.

Recientemente salía a la luz la estafa sufrida por una empresa de transportes, un tipo de estafa extendida internacionalmente que consiste en que el directivo de una empresa recibe por correo electrónico lo que parecen instrucciones del presidente o dueño de la compañía indicándole que debe transferir de forma urgente una elevada suma de dinero a una cuenta externa con el pretexto de cerrar una operación. En el caso de esta empresa de transportes, se transfirieron varios millones de euros a una cuenta bancaria en Hong Kong, infringiendo el protocolo interno para la autorización de pagos.

Estas estafas, comúnmente conocidas como "fraude del CEO", han supuesto, según la BBC, el robo de 26.000 millones de dólares de empresas desde 2016. Se trata de ataques relativamente poco sofisticados y dependen más de la ingeniería social y del engaño que del hackeo tradicional.

La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque, se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.

Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo tanto por empresas, como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería, redes sociales, etc.

Por tanto, a la vista de los últimos acontecimientos, la seguridad de la información hoy en día no se debe limitar solo a los aspectos técnicos, sino que debe incorporar otros ámbitos como el organizativo y el legal, rebasando así las competencias del Departamento de Informática o de Sistemas, debe formar parte de la cultura organizacional.

Tal y como señala el Instituto Nacional de Ciberseguridad (INCIBE), tenemos que ser conscientes de que, a la hora de hablar de seguridad de la información, la tecnología nunca es suficiente. Es importante, pero los auténticos protagonistas de la seguridad en las organizaciones son los usuarios finales, que son los que gestionan y utilizan los sistemas de información de la organización.

En este contexto, es pues fundamental la formación y la concienciación de los empleados, junto con un buen sistema de control interno que debe integrar controles enfocados a evitar que ocurran estos sucesos o, en el caso de que ocurran, que se puedan detectar y minimizar los efectos que puedan producir. Asimismo, por su trascendencia e impacto, el auditor debe incluir en su metodología de trabajo la revisión de los controles de seguridad de la información, incluyendo la ciberseguridad.

En este punto, resulta interesante recordar el estándar “Enterprise Risk Management - Integrated Framework” (COSO II), Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores, y cuya estructura se articula en torno a ocho grandes ejes: ambiente de control; establecimiento de objetivos; identificación de eventos que pueden tener impacto en el cumplimiento de objetivos; evaluación de riesgos; respuesta a los riesgos; actividades de control; información y comunicación; y supervisión.

En definitiva, teniendo en cuenta el entorno actual, se hace necesario que las auditorías financieras integren un análisis de cómo pueden afectar las cuestiones relacionadas con la seguridad informática y la ciberseguridad a los objetivos de auditoría y a los riesgos.

Ante el reto que representa abordar las auditorías incluyendo cuestiones de ciberseguridad, los equipos de auditoría deberán integrar a especialistas en auditoría de sistemas de información, actualizando su metodología, de forma que se haga un trabajo adaptado a las nuevas circunstancias, más eficaz y eficiente, y que minimice los riesgos de no detectar la existencia de errores en la información financiera.

Ana Chaffer

Gerente de Auditoría