PUBLICIDAD
PUBLICIDAD

El COVID-19 aumenta la necesidad de empresas e instituciones de contar con una estrategia de ciberseguridad flexible

Desde el 1 de marzo el INCIBE ha recibido 1.000 llamadas relacionadas con bulos, estafas, suplantaciones, temas fiscales y las líneas de ayuda o subvenciones en relación al Covid-19.
|

Desde el 1 de marzo se han producido 13.000 incidentes de ciberseguridad, el 2% fueron específicos asociados a la crisis sanitaria, y el Instituto Nacional de Ciberseguridad (INCIBE) ha recibido unas 1.000 llamadas relacionadas con bulos, estafas, suplantaciones, temas fiscales y las líneas de ayuda o las subvenciones en relación al Covid-19, de las que cerca de 90 han sido catalogadas como incidentes.

De toda situación difícil surge una oportunidad y el Covid-19 lo es para entender la importancia de la ciberseguridad en empresas e instituciones, así como la de los auditores internos, profesionales que ven con optimismo su función, ser parte del equipo para ayudar a las empresas a ser excelentes y más seguras.

Esta es la conclusión con la que Ricardo Barrasa, presidente de la Asociación de Profesionales de la Auditoría, Ciberseguridad y Privacidad ISACA Madrid Chapter, resumió el arranque del III Congreso de Auditoría & GRC (Gobierno, Riesgo y Cumplimiento), enfocado en generar una visión global de los procesos, la gestión de riesgos, el fraude, el control interno y el cumplimiento normativo y legislativo, sin dejar de lado la metodología y ejecución de revisiones y auditorías de los mismos.

Para dimensionar la importancia de los profesionales de la ciberseguridad ante los sorpresivos retos que ha supuesto adaptarse a la situación de pandemia, el subdirector de INCIBE-CERT, Marcos Gómez, abrió el congreso describiendo la labor que la institución lleva a cabo en materia de soporte y respuesta a incidentes y la creación de cultura de la ciberseguridad.

PUBLICIDAD
PUBLICIDAD

Así, Gómez puso en valor a los 350.000 profesionales de la ciberseguridad que se calculan en nuestro país, la línea en la búsqueda de talento de INCIBE, el teléfono de consulta 017 que atiende de 9 a 21 a la ciudadanía, la empresa y colectivos como menores, una línea para profesionales, los eventos que organiza y el resto de sus funciones.

El subdirector de INCIBE-CERT quiso dar una visión positiva de la crisis sanitaria que estamos viviendo, que ha supuesto una mayor ampliación de conexiones y protección frente a ataques y ha generado “una oportunidad de mejora para la ciudadanía y las administraciones”.

Como ejemplo, Gómez explicó que la totalidad de la institución está teletrabajando con las últimas tecnologías, está presente en las redes sociales a través del #ciberCOViD19, y que han conseguido atajar unos 30 ataques diarios.

PUBLICIDAD

Se mostró satisfecho porque las medidas de alerta temprana han funcionado bien en nuestro país, pero en su opinión “hay que fortalecer la alerta social y reforzar canales como Alerccorps para seguir intentando innovar para llegar antes a la ciudadanía y mejorar la resolución de cualquier incidente que un ciudadano nos denuncie, bien sea un ‘phishing’, una estafa, etc”.

En el terreno profesional, en relación a auditorías, reputación y gestión GRC, Gómez insistió en que “lo realizado antes de la crisis está facilitando mucho el trabajo a las empresas, están testando el buen funcionamiento de sus esfuerzos y las que no estaban preparadas están mejorando con las últimas tecnologías de manera rápida y en poco tiempo”.

“Desde el 2015, la medición de ciberresiliencia nos muestra que el Covid-19, como ocurrió con Wanacry, supone una oportunidad para medir la respuesta y ver que estábamos preparados para crisis de todo tipo”, afirmó.

PUBLICIDAD

¿Cómo puede la auditoría interna cubrir los riesgos de ciberseguridad?

En este congreso ‘online’ también hubo una mesa redonda, moderada por Juan Francisco Escuderos, director del área de Seguridad de la Información de Auren, en la que valoró el papel de la auditoría interna para cubrir riesgos de ciberseguridad.

PUBLICIDAD

En este sentido, Mónica Díez, directora de Auditoría Interna de Sanitas y Bupa Europa & Latinoamérica explicó que en su grupo los clientes “valoran que tengamos buenos mecanismos en materia de protección de sus datos y nosotros desde Auditoría Interna debemos asegurar que los riesgos están bien gestionados, acelerar y mejorar los controles internos en nuestra organización”.

Díez describió cuáles son las necesidades de su organización, “estar muy al día, renovarnos y enfocar las auditorías de manera más ágil y disruptiva, tanto con los ataques que nos llegan de fuera como las novedades de nuestra empresa en cuanto a nuevas líneas de negocio, productos o servicios”.

Resulta necesario “tener un enfoque holístico desde nuestro departamento, reportar la monitorización continua y contar con partners, una ayuda en las etapas en las que los riesgos son bastante complejos”.

El congresó se celebró online a través de la aplicación de vídeo Zoom.

Emiliano Ramos, como director de Auditoría Interna Corporativa de Telefónica, destacó que el papel profesional del auditor afecta a todas las áreas de una empresa, incluida Recursos Humanos, y la importancia de establecer un plan estratégico a tres o cinco años para reforzar el entorno de ciberseguridad, cuyos riesgos pueden llegar a acabar con compañías enteras.

PUBLICIDAD

“Para ayudar al negocio – dijo- en estos momentos son claves las auditorías preventivas y online según están ocurriendo las cosas. Es una gran oportunidad y debemos estar en primera línea de batalla, porque aportamos valor al conocer la situación de toda la compañía. Esto nos hace más importantes y más estratégicos en los comités de crisis y en las futuras estructuras de control de la empresa”.

Por su parte, Carmenza Henao, vicepresidenta de Auditoría Interna de Bancolombia, incidió en la necesidad de concienciación. “El mundo va a cambiar a partir de esta situación y habrá que trabajar para que sea beneficioso para la humanidad, porque va más allá de Gobiernos y sectores. Nos compete a todos”.

Esta experta entiende que la ciberseguridad ahora mismo está en el top de los riesgos y que es la tecnología la que nos está permitiendo sobrevivir. “Hay que atajar esos riesgos como las defensas débiles, las vulnerabilidades, las malas prácticas, la falta de higiene en la cultura cíber, las limitadas capacidades (de presupuesto o de conocimiento) y los fallos del gobierno sobre este tema. Debemos pensar como el delincuente y saber cómo actúa”, aseguró.

Por su parte, Pablo Gallego, director de Auditoría de WiZink Bank, también insistió en el importante rol de la auditoría interna a la hora de ofrecer aseguramiento a las empresas y administraciones en tiempo real, que es lo que se necesita ahora mismo.

Destacó el papel de su departamento en las empresas de banca, donde están hiperregulados, ayudando en riesgos y controles al resto de áreas, pero respetando su independencia.

Gallego apostó por “realizar listas de comprobación, plantear cuestiones o preguntas adecuadas ahora que todos trabajamos en remoto, confirmar que se están haciendo bien las cosas, y mirar por el bienestar de todos los empleados, porque les conocemos bien y sabemos dónde pueden necesitar más apoyo tecnológico”.

Colaboración en el negocio

Todos los componentes de la mesa coincidieron en que la auditoría interna tiene una visión privilegiada de la compañía y que la situación actual “supone un estrés para toda la empresa”.

Según Mónica Díez “hay riesgos que toman más relevancia por el COVID-19. Hemos revisado nuestras auditorias, incluido nuevos riesgos y preguntado cómo están siendo gestionados; cómo son de seguras las conexiones, las alertas de patrones de ataque, cómo se gestiona la mayor afluencia de datos y la custodia de los mismos…”.

Otra cuestión que señalaron los expertos es que ahora se invierte en planes y análisis en ciberseguridad y estamos interiorizando la resiliencia. Nadie tenía en la cabeza un plan para el coronavirus, con todos trabajando desde casa y los clientes confinados. Va a ser un cambio de paradigma muy bueno que visibilizará nuestra realidad.

En cuanto a la visión del futuro de la auditoría interna y los nuevos enfoques, los miembros de la mesa se mostraron optimistas. Explicaron que ahora vivimos en un mundo en el que los auditores financieros ya deben conocer la tecnología porque está en todos los procesos y advirtieron que se están borrando fronteras en los perfiles profesionales.

Según afirmó Pablo Gallego, “esta pandemia es una oportunidad de situarnos, debemos ser optimistas asumir el rol que podemos asumir”. Para Mónica Díaz “debemos tener un enfoque flexible, ser colaborativos en el trabajo, mantener una comunicación de lo importante, crear herramientas de monitorización continua y empujar a las áreas de negocio a que se digitalicen, porque nos va a ayudar”.