La COVID-19 ha disparado la ciberdelincuencia de forma drástica, y se ha producido un cambio significativo al pasar de centrar su atención en particulares y pequeñas empresas a hacerlo en infraestructuras críticas de grandes corporaciones y gobiernos. El hecho de que estas organizaciones se vieran obligadas de forma repentina a pasar a sus empleados al teletrabajo, supuso un reto considerable y dio a los hackers y ciberdelincuentes la oportunidad perfecta de atacar a sus sistemas cada vez más vulnerables.
Según un informe realizado por la Identity Theft Research Centre, en 2021 se produjo un incremento del 17 % en la violación de seguridad de los datos en comparación con el año anterior.
No es de extrañar, por tanto, que este incremento de la ciberdelincuencia preocupe cada vez más en las salas de juntas y agencias reguladoras. Bajo las indicaciones de la Comisión de Bolsa y Valores (SEC, por su sigla en inglés) de Estados Unidos, se espera que las empresas públicas aborden los riesgos potenciales de la ciberdelincuencia y los ciberincidentes en la Management’s Discussion and Analysis of Financial Condition and Results of Operations (MD&A).
En el decreto 13636 —Mejora de la ciberseguridad de las infraestructuras críticas— del expresidente de Estados Unidos Barack Obama, también se destacaba el papel que desempeñan las empresas en la mejora del marco de ciberseguridad del país y la necesidad de adaptarse a la rápida evolución de las expectativas y supervisión de las agencias reguladoras.
Aquí es donde entran los auditores internos. Analicemos el papel esencial que desempeñan en el mantenimiento de la seguridad de las organizaciones en un mundo digital donde el peligro es cada vez mayor.
La amenaza de la ciberdelincuencia contra las empresas
Si profundizamos en métodos específicos de violación de la ciberseguridad, un estudio realizado por un consorcio de investigadores, donde participaba el departamento WMG de la University of Warwick, revelaba que el 86 % de los ataques incluía suplantación de identidad (phishing), mientras que solo un 5 % eran intentos de piratería informática.
El Dr. Harjinder Lallie (WMG) ofrecía más detalles sobre este método de suplantación de identidad al explicar que «muchos ciberataques comienzan con una campaña de phishing, que insta a las víctimas a que se descarguen un archivo o accedan a una URL. El archivo o la URL se comporta como el portador de un programa malicioso que, cuando se instala, actúa como vehículo para el fraude financiero.
Aunque la pandemia va acercándose gradualmente a su fin (o eso creemos), no es el caso de las campañas de phishing. Las empresas continúan operando de forma remota y los hackers siguen teniendo extensas oportunidades de desactivar los sistemas y cometer fraude.
La responsabilidad de encontrar formas de proteger sus activos en línea recae del lado de las empresas. Generar una sólida infraestructura de ciberseguridad ha resultado ser la mejor arma para ayudar a las organizaciones, empresas y gobiernos a proteger sus activos frente a la ciberdelincuencia.
Hoy en día la adopción digital es fundamental para el éxito de una empresa. Por tanto, las compañías están obligadas a incrementar el presupuesto para ampliar su presencia digital.
Aunque se pueden obtener fantásticos resultados, la naturaleza inherente de muchas tecnologías puede aumentar el riesgo de los ciberataques. Por ejemplo, puede resultar perjudicial compartir datos empresariales esenciales mediante el correo electrónico, dado que son objetivos fáciles para los hackers. Pueden hacerse con el control de las cuentas de redes sociales o de correo electrónico de un empleado sin dificultad, y acceder a datos confidenciales.
Los datos confidenciales también pueden interceptarse si no se cuenta con medidas de seguridad apropiadas. Esto puede conllevar pérdidas financieras o de propiedad intelectual, además de dañar la imagen de la empresa.
De qué forma ayudan los auditores internos a mantener la seguridad
Las empresas confían en sus equipos de auditoría interna para monitorizar de forma proactiva sus sistemas en busca de vulnerabilidades. Por tanto, los auditores internos desempeñan un papel clave en la protección de una empresa contra la ciberdelincuencia al representar la primera línea de defensa.
Los equipos de ingeniería y tecnología de la información trabajan sin descanso para mejorar los activos digitales de sus empresas y garantizar un entorno seguro para el almacenamiento de la información de sus clientes y su negocio. Los auditores internos complementan esta labor al implementar procesos y procedimientos que minimicen el riesgo de fraude. Evalúan los riesgos potenciales de los datos de la empresa y, cuando es necesario, añaden control interno para garantizar la seguridad de los datos.
Cuál es el enfoque de los auditores internos con respecto al riesgo
Los auditores internos pueden diseñar varios mecanismos para prevenir y detectar riesgos en los sistemas de una organización. La estructura de control interno suele abordar el riesgo en tres puntos de interacción:
Prevención
La mayoría de las organizaciones disponen de medidas de seguridad que protegen sus datos y otros activos de una utilización indebida. Las organizaciones más importantes suelen tener mejores herramientas de seguridad, pero dado que la mayoría de sistemas no son infalibles, las empresas necesitan un sistema de control interno que funcione como medida preventiva. Un sistema de control interno protege los activos de una empresa del acceso o uso no autorizados, lo que ayuda a minimizar el riesgo.
Detección
Los auditores internos deben comprobar la obsolescencia de sus sistemas para asegurarse de que, si hay nuevas amenazas, no solo se detecten, sino que también se aborden con la misma eficiencia que las antiguas. Por tanto, los auditores internos deben realizar pruebas regularmente sobre la capacidad de su sistema para evitar amenazas mediante el uso de análisis de riesgos y comportamiento, y de inteligencia sobre amenazas.
Respuesta
Controlar lo que sucede en cada dispositivo conectado a la red de una empresa supone todo un reto, por lo que resulta fundamental disponer de una respuesta estándar ante una amenaza o ataque. Cuando revisen las herramientas de ciberseguridad de sus empresas, los auditores internos también deberán buscar los planes de recuperación ante desastres y los protocolos de respuesta ante incidentes.
Los auditores internos colaboran con otros expertos
La ciberseguridad de una organización es la responsabilidad colectiva de los departamentos que gestionan datos. Así, los auditores internos colaboran con varios departamentos al tiempo que garantizan la seguridad de los datos de la empresa.
Todos los empleados, tengan el puesto que tengan, son responsables de garantizar la integridad de los datos. Deben ignorar correos electrónicos confidenciales de los clientes, proteger los activos, no abrir el correo no deseado y asegurarse de no visitar sitios que no cuenten con los certificados de protección adecuados.
El equipo de tecnologías de la información desempeña un papel esencial en garantizar la seguridad de los datos. Deben mantenerse alerta y abordar cualquier responsabilidad con respecto a los datos dentro de sus sistemas que pudieran afectar a la empresa. El equipo de TI es responsable de cualquier violación de la seguridad o de cualquier ataque de programas maliciosos contra los sistemas de una organización.
Sin embargo, los auditores internos también participan en el mantenimiento de la integridad de los datos de la empresa. Diseñan la estructura de control interno para garantizar que los procesos dentro de otros departamentos no dejen espacio al fraude ni ningún otro resquicio que pueda comprometer la seguridad de los datos. Por este motivo deben colaborar con otros departamentos y crear una estructura de control interno que sea eficaz y que tenga un impacto mínimo en la eficiencia.
Los auditores internos suelen confiar en expertos para crear un sistema de control interno. Un auditor interno no es un profesional de la seguridad y, por tanto, no cuenta con las habilidades necesarias para trabajar con tecnologías avanzadas de ciberseguridad. Por este motivo, el equipo de auditoría interna debe consultar a expertos de la temática y buscar asesoramiento para encontrar esas lagunas del sistema.
Los auditores internos deben presentar conclusiones relevantes
Si el auditor interno detecta un evento relevante que necesita atención, debe presentar los detalles a la dirección. Además, debe indicar las razones del fallo del sistema de control interno para evitar un evento adverso.
Un auditor interno no solo debe evaluar un problema, sino ser también un asesor estratégico para los dirigentes de una empresa. Juegan un papel esencial en las organizaciones al ayudar a mitigar el riesgo a través de procedimientos controlados; si bien, para aportar valor, necesitan disponer del conjunto de herramientas adecuado.
CaseWare IDEA puede proporcionar a los auditores internos un potente conjunto de funciones para realizar de manera más eficaz su labor en lo que a ciberseguridad se refiere. ¿Desea obtener más información? Explore ahora las numerosas funciones de IDEA.
Arjun Ruparelia