"No sabemos cómo afectarán los cisnes negros de ciberseguridad a cada organización. Solo que tarde o temprano todas sufrirán alguno".   

• El Instituto de Auditores Internos analiza el cambio de enfoque que han de hacer las compañías y los auditores internos en materia de gestión de riesgos ante la incertidumbre de sufrir un ciberataque de consecuencias desconocidas.
• Todos los principales procesos de las compañías se sustententan en activos tecnológicos y un ciberataque puede hacer que una organización deje de funcionar.
• Andrés de Benito, senior manager de Ciberseguridad de PwC: "hay que asumir el cambio de paradigma y pasar de gestionar únicamente riesgos a gestionar también los incidentes, y tener claro cómo reaccionar una vez ocurran, ya que a día de hoy podemos estar seguros de que antes o después nos van a ocurrir".

Madrid, 30de octubre de 2017.- Según el World Economic Forum, el riesgo de ciberseguridad está en la actualidad entre los cinco primeros a los que se enfrentan las compañías, habiéndose convertido en un riesgo sistémico. Ciberataques como el de WannaCry, que el pasado mayo afectó a 425.000 equipos en más de 170 países, demuestran el alcance que puede tener un incidente de estas características en una organización o en un país. 

Los últimos ataques de ramsonware como este demuestran que la materialización de estos riesgos no es remota e incluso puede convertirse en habitual. El objetivo del encuentro de octubre del Instituto de Auditores Internos ha sido el de concienciar a las direcciones de Auditoría Interna sobre el cambio de paradigma que estamos sufriendo en la actualidad: pasar de gestionar únicamente los riesgos que afectan a una compañía a tener que preverlos y saber cómo reaccionar ante los incidentes que van a ocurrir.

Andrés de Benito, Senior Manager del área de Ciberseguridad de PwC y ponente en la última edición de Los Lunes del IAI asegura que “gran parte de los riesgos de en ciberseguridad tienen las características de un cisne negro”, que según la teoría de Nassim Taleb es un suceso, a priori altamente improbable, que tiene un impacto muy grande y sobre el que, una vez ha ocurrido, podemos racionalizar en retrospectiva.

De Benito ha señalado que en la actualidad las implicaciones que un ciberataque puede tener en una organización son muy variadas y muy graves. Los principales procesos de una compañía se sustentan en activos tecnológicos y por lo tanto si dejaran de estar disponibles el impacto sería absoluto y la compañía podría dejar de funcionar. “No es una moda, sino una realidad que ha llegado para quedarse. No sabemos la medida en que los cisnes negros afectarán a las organizaciones cuando absolutamente todo esté conectado, no tenemos claro qué riesgos hay ni la certeza de que se hayan evaluado todos. La única certeza es que tarde o temprano vamos a sufrir un incidente y las consecuencias dependerán en gran medida en cómo de preparados estemos para reaccionar”, ha destacado.

El resultado de estos ataques ha evidenciado falta de preparación por parte de las compañías a la hora de anticiparse y protegerse de unos sucesos que por su magnitud han llegado a afectar a los procesos productivos de varias multinacionales, no limitándose solo al impacto reputacional que tenían hasta ahora. Auditoría Interna debe focalizarse en entender las amenazas y saber cuáles pueden afectar a la compañía. Una vez hecho esto, es necesario valorar cómo puede afectar a la organización el impacto de esa amenaza y desarrollar las capacidades de respuesta, no solamente de protección, asumiendo que el suceso, tarde o temprano, terminará ocurriendo. Auditoría Interna debería verificar que dichas capacidades existen y realmente son adecuadas para proteger a la compañía ante un ciberataque.