Autor: SONSOLES RUBIO, presidenta Instituto de Auditores Internos de España
Publicado en DBS
La amenaza de la ciberseguridad depende del eslabón más débil de la organización y los eslabones más débiles son siempre las personas. Con la pandemia y plantillas enteras trabajando desde casa, a veces desde ordenadores personales y con frecuencia mediante redes domésticas, las empresas se han convertido en blancos fáciles para los ciberdelincuentes.
Según IBM, los ciberataques han aumentado un 40% durante 2020 en todo el mundo coincidiendo con la crisis del coronavirus, con un incremento especialmente llamativo en Europa, donde ha alcanzado el 125%. El robo de datos y posterior chantaje económico (y daño reputacional) es una de las principales armas de los cibercriminales.
La ciberseguridad no es una moda. Es un riesgo que va a ir in crescendo a medida que crece la digitalización de las empresas y la conectividad de las máquinas y de las cosas, el llamado Internet of Things (IoT). Protegerse contra la ciberdelincuencia será fundamental para las empresas a la hora de afrontar este tipo de incidentes, tanto para parar el golpe desde el punto de vista técnico y económico, como de reputación de la compañía. Se estima que el mercado de ciberseguros empresariales, que actualmente mueve unos 6.600 millones de euros en todo el mundo, se multiplicará casi por tres de aquí a 2025, hasta alcanzar los 17.300 millones de euros. Se abre por tanto una gran oportunidad para el sector asegurador de ofrecer soluciones que mitiguen el riesgo. Una oportunidad que, sin embargo, también es un riesgo para todas las industrias, como muestran los hechos recientes.
Grandes compañías se han mostrado vulnerables. En los últimos meses, EasyJet sufrió un ciberataque que dejó expuestos datos de 9 millones de clientes; Adif, un robo de datos y posterior intento de chantaje; y Mapfre y Adeslas veían atacados sus sistemas informáticos. Pero la lista continúa: Tesla, Garmin, Honda, Enel, los hospitales Quirón, la Bolsa de Valores de Nueva Zelanda… Las pymes, aún más indefensas, tampoco se libran. Los cibercriminales contactan con ellas fingiendo ser entidades bancarias o gubernamentales para compartir falsas ofertas de ayuda financiera o notificaciones engañosas relacionadas con transferencias y pagos.
Los incidentes cibernéticos evolucionan a una velocidad mayor que la capacidad de las empresas para actualizar su estrategia de ciberseguridad. Esta brecha es aún más notable en pymes con menos recursos económicos y humanos que en las grandes compañías.
En la actualidad, la ciberseguridad es el principal riesgo para las organizaciones. Así lo confirma el informe ‘Risk in Focus 2021. Hot topics for internal auditors’, elaborado por 10 institutos de auditores internos europeos. Para el 79% de los directores de Auditoría Interna, “Ciberseguridad y protección de datos” es uno de los cinco riesgos principales a los que se enfrentan sus organizaciones y el 27% considera que es el riesgo principal. Esta última edición del Risk in Focus identifica los intentos de phishing y las infecciones de malware como las amenazas más probables en 2021.
Las organizaciones deben identificar dónde residen los datos de mayor valor para la compañía para que Auditoría Interna pueda determinar el impacto de cualquier ataque en su seguridad y los controles que existen para mitigarlo.
La pregunta que se impone es ¿qué debemos cambiar? Entre otras cosas la falta de capacitación en conciencia cibernética del personal en tiempos de crisis o la seguridad de los dispositivos de trabajo domésticos que no se administran de manera tan efectiva como en la misma empresa. Las organizaciones deben identificar dónde residen los activos de datos de mayor valor para la compañía para que Auditoría Interna pueda determinar el impacto de cualquier ataque en su seguridad y los controles que existen para mitigarlo en caso de que se produzca.
Comprender los riesgos vinculados a la seguridad de la información y la conciencia del personal es absolutamente esencial. Esto se aplica a los protocolos sobre el uso, la gestión y el almacenamiento de datos confidenciales para evitar su filtración y formar a los trabajadores para que sepan detectar el ciberdelito y evitar que sucumban al phishing y al spear phishing, este último más centrado en grupos u organizaciones, que pueden derivar en costosos ataques de malware y ransomware. Auditoría Interna puede y debe verificar si se está fomentando suficientemente la conciencia de la seguridad cibernética en la empresa y si la capacitación del personal se ha actualizado a la luz de los cambios en el entorno de trabajo y la infraestructura de TI.
La perspectiva de la auditoría interna nunca ha sido más necesaria en el entorno de incertidumbre que impone la pandemia. Su visión de 360 grados del negocio y la mentalidad de aseguramiento sobre el control de los riesgos contribuirá a que las organizaciones puedan identificar sus puntos débiles. Las juntas y los equipos de dirección ejecutiva dependerán más que nunca de ese punto de vista independiente en 2021 para obtener información sobre el negocio y sus riesgos durante lo que sigue siendo un período significativamente desafiante.