Ciberseguridad. Una guía de supervisión
24 de Octubre de 2016

• Ciberseguridad. Una guía de supervisión, el último documento de LA FÁBRICA DE PENSAMIENTO del Instituto de Auditores Internos, establece buenas prácticas a realizar en la materia, incluyendo 20 Controles Críticos de Seguridad a implementar, y el papel de Auditoría Interna en su revisión.
• En el entorno actual las organizaciones deben identificar anticipadamente los ciberriesgos y gestionar de forma continua las amenazas para evitarlas o limitar sus efectos.
• La Alta Dirección de las organizaciones debe implicarse en la gestión de la ciberseguridad, que ha de abordarse de forma transversal y con enfoque multidisciplinar.
• El cibercrimen tiene un impacto económico global equiparable al narcotráfico o la piratería. 

Madrid, 25 de octubre de 2016.- La actividad empresarial se desarrolla cada vez más en el ciberespacio debido al avance de las nuevas tecnologías y su aplicación por parte de las compañías, lo que ha derivado en la aparición de nuevos retos y amenazas para las mismas, que incrementan su preocupación por los ciberataques y los enormes perjuicios que suponen.  

La ciberseguridad exige extremar las medidas para establecer todos los controles necesarios para mitigar los riesgos asociados, por lo que el Instituto de Auditores Internos de España ha dedicado a este tema su último encuentro mensual de “Los Lunes del Instituto”.

Casos como el ocurrido el pasado viernes, cuando una oleada de ciberataques masivos contra el proveedor Dyn dejaron sin servicio a páginas web de grandes compañías y medios de comunicación internacionales, demuestran la magnitud del alcance de estos ataques: el más grave de la última década, duró 11 horas y afectó a más de mil millones de clientes en todo el mundo.

De acuerdo con un estudio de McAfee, se estima que el cibercrimen tiene un impacto global en la economía de entre 300.000 millones y un billón de dólares al año, cerca del 1% del PIB mundial, equiparándose al narcotráfico o la piratería. Sólo en España los cibertaques provocaron en 2015 pérdidas económicas de alrededor de 14.000 millones de euros al año, según el Instituto Nacional de Ciberseguridad (INCIBE).

El incremento de la ciberdelincuencia se debe a la popularización y expansión de Internet, el proceso global de digitalización, la aparición de nuevas tecnologías, la crisis económica global, la escasa regulación y normativa, y la facilidad para el anonimato.

Las organizaciones deben realizar un análisis detallado de la exposición a los riesgos asociados a la ciberseguridad e implantar una estrategia de seguridad acorde a la misma y a las necesidades, posibilidades y recursos de cada organización, construyendo un modelo de gestión de la seguridad donde, además de las áreas clásicas de la seguridad IT, tengan reflejo capacidades más avanzadas asociadas con los conceptos de ciberseguridad y ciberresiliencia.

Para ayudar en esta tarea, LA FÁBRICA DE PENSAMIENTO del IAI ha editado Ciberseguridad. Una guía de supervisión, que destaca las mejores prácticas de Auditoría Interna para la evaluación y revisión de los controles en esta materia e incluye 20 Controles Críticos de Seguridad que, según el Center For Internet Security, todas las organizaciones deberían implementar. La guía es un resumen de un completo manual editado también por el Instituto que analiza las principales cuestiones sobre ciberseguridad, cómo debe revisarse el modelo de gobierno de la ciberseguridad y las medidas de detección, prevención y control de los ciberriesgos, y el papel a desempeñar por Auditoría Interna.

Los objetivos del cibercrimen son heterogéneos y pueden ir dirigidos a cualquier tipo de organización. Los riegos provocados por los ciberataques incumben a toda la institución o empresa, y por lo tanto se han hecho un hueco importante en las agendas de las direcciones de Auditoría Interna en lo relativo a sus tareas de supervisión. Según Israel Martínez Lacabe, Manager en la División de Auditoría Interna - Riesgos Tecnológicos de Grupo Santander y coordinador de la guía, “ningún dispositivo hardware o software está exento de ser atacado. La naturaleza de los ciberataques ha cambiado drásticamente en términos de frecuencia, complejidad y finalidad. Cada vez son más sofisticados y peligrosos.”

Pero los riesgos no son únicamente económicos. “A estas enormes pérdidas hay que sumar suplantación de identidad, fraude económico, robo de información confidencial, daños reputacionales o de imagen, indisponibilidad de servicios, etc.”, ha señalado Martínez Lacabe.

Hasta ahora la gestión de la seguridad de la información se ha hecho con un enfoque reactivo, pero en el contexto actual es necesaria una identificación anticipada de los riesgos y una gestión continua de las amenazas, siendo fundamental la implicación de la Alta Dirección. Como ha indicado Marc Muntañá, jefe de la Oficina de Proyectos de TI y Seguridad de Mutua Universal y coautor de la guía, “la ciberseguridad se debe abordar de forma transversal y con un enfoque multidisciplinar en las organizaciones. El grado de conocimientos y experiencia en auditoría de TI y el propio equipo de Auditoría Interna marcarán el grado de contribución en la reducción de los ciberriesgos”. La formación y concienciación adecuadas en ciberseguridad en todas las áreas de las empresas deben ser aspectos que éstas tengan en cuenta para prevenir estos riesgos en cada eslabón.

El grupo de expertos que ha elaborado el manual y la guía sobre ciberseguridad ha estado coordinado por Martínez Lacabe. Además de Marc Muntañá, han participado Josep Castells, CAIXABANK; José Antonio Castrillo, MAZARS; Jordi Civit, MELIÁ HOTELES; Oliver Crespo, SANITAS; Sandra Fernández, MAPFRE; Gregorio Hernández, RED ELÉCTRICA DE ESPAÑA; Juan José Huerta, BBVA; Eduardo Iglesias, LIBERBANK; Daniel Martínez, CIMPRESS; Raúl Mateos, BBVA; Felipe Pastor, ERNST & YOUNG; Fernando Picatoste, DELOITTE; y Albert Sans, INDITEX.