La actividad empresarial se desarrolla cada vez más en el ciberespacio debido al avance de las nuevas tecnologías y su aplicación por parte de las compañías, lo que ha derivado en la aparición de nuevos retos y amenazas para las mismas, que incrementan su preocupación por los ciberataques y los enormes perjuicios que suponen.
La ciberseguridad exige extremar las medidas para establecer todos los controles necesarios para mitigar los riesgos asociados, por lo que el Instituto de Auditores Internos de España ha dedicado a este tema su último encuentro mensual de “Los Lunes del Instituto”.
Casos como el ocurrido el pasado viernes, cuando una oleada de ciberataques masivos contra el proveedor Dyn dejaron sin servicio a páginas web de grandes compañías y medios de comunicación internacionales, demuestran la magnitud del alcance de estos ataques: el más grave de la última década, duró 11 horas y afectó a más de mil millones de clientes en todo el mundo.
El incremento de la ciberdelincuencia se debe a la popularización y expansión de Internet, el proceso global de digitalización, la aparición de nuevas tecnologías, la crisis económica global, la escasa regulación y normativa, y la facilidad para el anonimato.
Las organizaciones deben realizar un análisis detallado de la exposición a los riesgos asociados a la ciberseguridad e implantar una estrategia de seguridad acorde a la misma y a las necesidades, posibilidades y recursos de cada organización, construyendo un modelo de gestión de la seguridad donde, además de las áreas clásicas de la seguridad IT, tengan reflejo capacidades más avanzadas asociadas con los conceptos de ciberseguridad y ciberresiliencia.
Para ayudar en esta tarea, LA FÁBRICA DE PENSAMIENTO del IAI ha editado Ciberseguridad. Una guía de supervisión, que destaca las mejores prácticas de Auditoría Interna para la evaluación y revisión de los controles en esta materia e incluye los 20 Controles Críticos de Seguridad que, según el Center for Internet Security, todas las organizaciones deberían implementar. Entre ellos se encuentran la configuración segura de dispositivos de red; defensa perimetral; verificar las habilidades de seguridad y formación adecuada; realización de test de penetración y ejercicios de ataque; y disponer de procesos de recuperación de datos. La guía es un resumen de un completo manual editado también por el Instituto que analiza las principales cuestiones sobre ciberseguridad, cómo debe revisarse el modelo de gobierno de la ciberseguridad y las medidas de detección, prevención y control de los ciberriesgos, y el papel a desempeñar por Auditoría Interna.
Los objetivos del cibercrimen son heterogéneos y pueden ir dirigidos a cualquier tipo de organización. Los riegos provocados por los ciberataques incumben a toda la institución o empresa, y por lo tanto se han hecho un hueco importante en las agendas de las direcciones de Auditoría Interna en lo relativo a sus tareas de supervisión. Según Israel Martínez Lacabe, Manager en la División de Auditoría Interna - Riesgos Tecnológicos de Grupo Santander y coordinador de la guía, “ningún dispositivo hardware o software está exento de ser atacado. La naturaleza de los ciberataques ha cambiado drásticamente en términos de frecuencia, complejidad y finalidad. Cada vez son más sofisticados y peligrosos.”
Pero los riesgos no son únicamente económicos. “A estas enormes pérdidas hay que sumar suplantación de identidad, fraude económico, robo de información confidencial, daños reputacionales o de imagen, indisponibilidad de servicios, etc.”, ha señalado Martínez Lacabe.
Hasta ahora la gestión de la seguridad de la información se ha hecho con un enfoque reactivo, pero en el contexto actual es necesaria una identificación anticipada de los riesgos y una gestión continua de las amenazas, siendo fundamental la implicación de la Alta Dirección. Como ha indicado Marc Muntañá, jefe de la Oficina de Proyectos de TI y Seguridad de Mutua Universal y coautor de la guía, “la ciberseguridad se debe abordar de forma transversal y con un enfoque multidisciplinar en las organizaciones. El grado de conocimientos y experiencia en auditoría de TI y el propio equipo de Auditoría Interna marcarán el grado de contribución en la reducción de los ciberriesgos”. La formación y concienciación adecuadas en ciberseguridad en todas las áreas de las empresas deben ser aspectos que éstas tengan en cuenta para prevenir estos riesgos en cada eslabón.
El grupo de expertos que ha elaborado el manual y la guía sobre ciberseguridad ha estado coordinado por Martínez Lacabe. Además de Marc Muntañá, han participado Josep Castells, CAIXABANK; José Antonio Castrillo, MAZARS; Jordi Civit, MELIÁ HOTELES; Oliver Crespo, SANITAS; Sandra Fernández, MAPFRE; Gregorio Hernández, RED ELÉCTRICA DE ESPAÑA; Juan José Huerta, BBVA; Eduardo Iglesias, LIBERBANK; Daniel Martínez, CIMPRESS; Raúl Mateos, BBVA; Felipe Pastor, ERNST & YOUNG; Fernando Picatoste, DELOITTE; y Albert Sans, INDITEX.
Acerca de LA FÁBRICA DE PENSAMIENTO:
Es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos. El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.
Acerca del Instituto de Auditores Internos de España:
El Instituto de Auditores Internos de España es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
