Los ciberataques se han multiplicado en los últimos años y son cada vez más complejos y difíciles de prevenir y detectar, convirtiéndose en una de las principales preocupaciones para los órganos de gobierno de las organizaciones. Según el barómetro mensual del Instituto de Auditores Internos de España (IAI), realizado entre auditores internos de las organizaciones más importantes del país, siete de cada diez consejos de administración están involucrados en la supervisión de los riesgos relacionados con la ciberseguridad.
De acuerdo con los resultados de la última oleada del barómetro del IAI, en los que han participado organizaciones de sectores como el bancario, el asegurador, de la distribución, alimentación y bebidas, u organismos públicos, los auditores internos aseguran que en el 72% de las organizaciones el consejo de administración está involucrado en la supervisión del riesgo de ciberseguridad.
Los perjuicios para las organizaciones derivados de un ciberataque pueden ser gravísimos. Las amenazas incluyen, por ejemplo, el fraude dinerario, el robo de información, o el sabotaje de infraestructuras, lo que puede acarrear consecuencias económicas, legales y reputacionales muy importantes, y muy difíciles de subsanar.
Las organizaciones deben realizar un análisis detallado de la exposición a los riesgos asociados a la ciberseguridad e implantar una estrategia de seguridad acorde a la misma y a las necesidades, posibilidades y recursos de cada organización, construyendo un modelo de gestión de la seguridad donde, además de las áreas clásicas de la seguridad IT, tengan reflejo capacidades más avanzadas asociadas con los conceptos de ciberseguridad y ciberresiliencia.
Según se desprende de los resultados del barómetro, en el 83% de las organizaciones la dirección de Auditoría Interna coopera de forma estrecha con las áreas que manejan los riesgos cibernéticos. Y es que, al tratarse de una función clave de buen gobierno y apoyo fundamental de la Comisión de Auditoría y al Consejo de Administración, es un instrumento imprescindible para que los consejeros puedan supervisar una adecuada gestión y control de los riesgos.
La actividad de Auditoría Interna ha de evaluar y contribuir a la mejora de los procesos en tres aspectos:
La ciberseguridad exige extremar las medidas para establecer todos los controles necesarios para mitigar los riesgos asociados, por lo que el Instituto ha dedicado una de las últimas ediciones de su FÁBRICA DE PENSAMIENTO, el laboratorio de ideas del IAI, a este tema. Ciberseguridad. Una guía de supervisión establece buenas prácticas a realizar en la materia, incluyendo 20 Controles Críticos de Seguridad a implementar, y el papel de Auditoría Interna en su revisión.
El IAI cuenta además con una edición especial para consejeros sobre ciberseguridad en la que se analizan las 10 preguntas que un consejero debe plantearse en relación con esta materia, los riesgos que pueden presentarse y la preparación de su organización en la detección y prevención de los mismos.
