De toda situación difícil surge una oportunidad y el COVID lo es para entender la importancia de la ciberseguridad en empresas e instituciones, así como la de los auditores internos, profesionales que ven con optimismo su función; ser parte del equipo para ayudar a las empresas a ser excelentes y más seguras.
Esta es la conclusión con la que Ricardo Barrasa, presidente de la asociación de profesionales de la auditoría, ciberseguridad y privacidad ISACA Madrid Chapter, resumió el arranque del III Congreso de Auditoría & GRC, (Gobierno, Riesgo y Cumplimiento), enfocado en generar una visión global de los procesos, la gestión de riesgos, el fraude, el control interno y el cumplimiento normativo y legislativo, sin dejar de lado la metodología y ejecución de revisiones y auditorías de los mismos.
Para dimensionar la importancia de los profesionales de la ciberseguridad ante los sorpresivos retos que ha supuesto adaptarse a la situación de pandemia, el subdirector de INCIBE-CERT Marcos Gómez, abrió el congreso describiendo la labor que la institución lleva a cabo en materia de soporte y respuesta a incidentes y la creación de cultura de la ciberseguridad. Así, Gómez puso en valor a los 350.000 profesionales de la ciberseguridad que se calculan en nuestro país, la línea en la búsqueda de talento de Incibe, el teléfono de consulta 017 que atiende de 9 a 9 a la ciudadanía, la empresa y colectivos como menores, una línea para profesionales, los eventos que organiza y el resto de sus funciones.
Marcos Gómez quiso dar una visión positiva de la crisis sanitaria que estamos viviendo, que ha supuesto una mayor ampliación de conexiones y protección frente a ataques, y supone “una oportunidad de mejora para la ciudadanía y las administraciones”. Recordó que desde 1 de marzo se produjeron 13.000 incidentes, de los cuales solo el 2% fueron específicos asociados a la crisis, y han recibido unas 1000 llamadas desde el estado de alarma relacionadas con bulos, estafas, suplantaciones, temas fiscales y las líneas de ayuda o las subvenciones, de las que casi 90 solo han sido catalogadas como incidentes. Como ejemplo, Gómez explicó que la totalidad de la institución está teletrabajando con las últimas tecnologías, está presente en las RRSS a través del #ciberCOViD19, y que han conseguido atajar unos 30 ataques diarios.
Se mostró satisfecho porque las medidas de alerta temprana han trabajado bien en nuestro país, pero en su opinión “hay que fortalecer la alerta social y reforzar los canales (como Alerccorps, por ejemplo), seguir intentando innovar para llegar antes a la ciudadanía y mejorar la resolución de cualquier incidente que un ciudadano nos denuncie, bien sea un phishing, una estafa, etc”.
En el terreno profesional, auditorias, reputación y gestión GRC, Gómez insistió en que “lo realizado antes de la crisis está facilitando mucho el trabajo a las empresas; están testando el buen funcionamiento de sus esfuerzos, y las que no estaban preparadas están mejorando con las últimas tecnologías de manera rápida y en poco tiempo. Desde el 2015, la medición de ciberresiliencia nos muestra que el Covid, como ocurrió con Wanacry, suponen una oportunidad para medir la respuesta y ver que estábamos preparados para crisis de todo tipo”.
¿Cómo puede la auditoría interna cubrir los riesgos de ciberseguridad?
El congreso online continuó con la mesa redonda, moderada por Juan Francisco Escuderos, Director en el Área de Seguridad de la Información de Auren,"Auditoría Interna. Un desafío que va más allá del ámbito financiero" en la que se comenzó valorando el papel de la auditoría interna para cubrir riesgos de ciberseguridad. En este sentido, Mónica Díez, directora de Auditoría Interna de Sanitas y Bupa Europa & Latinoamérica explicó que en su grupo “nuestros clientes valoran que tengamos buenos mecanismos en materia de protección de sus datos, y nosotros desde Auditoría Interna debemos asegurar que los riesgos están bien gestionados, y acelerar y mejorar los controles internos en nuestra organización”.
Díez describió cuáles eran las necesidades de su organización, “estar muy al día, renovarnos y enfocar las auditorias de manera más ágil y disruptiva, tanto con los ataques que nos llegan de fuera como las novedades de nuestra empresa en cuanto a nuevas líneas de negocio, productos o servicios” para ella resulta necesario “tener un enfoque holístico desde nuestro departamento, reportar la monitorización continua y contar con partners; una ayuda en las etapas en las que los riesgos son bastante complejos”.
Emiliano Ramos, como director de Auditoría Interna Corporativa de Telefónica, destacó que el papel profesional del auditor afecta a todas las áreas de una empresa, incluida RRHH, y la importancia de establecer un plan estratégico a tres o cinco años para reforzar el entorno de ciberseguridad, cuyos riesgos pueden llegar a acabar con compañías enteras.
“Para ayudar al negocio – dijo- en estos momentos son claves las auditorías preventivas y online según están ocurriendo las cosas. Es una gran oportunidad y debemos estar en primera línea de batalla, porque aportamos valor al conocer la situación de toda la compañía. Esto nos hace más importantes y más estratégicos en los comités de crisis y en las futuras estructuras de control de la empresa”.
Por su parte, Carmenza Henao, VP de Auditoría Interna de Bancolombia, incidió en la necesidad de concienciación. “El mundo va a cambiar a partir de esta situación y habrá que trabajar para que sea beneficioso para la humanidad, porque va más allá de Gobiernos y sectores. Nos compete a todos”.
Esta experta entiende que la ciberseguridad ahora mismo está en el top de los riesgos y que es la tecnología la que nos está permitiendo sobrevivir. “Hay que atajar esos riesgos como las defensas débiles, las vulnerabilidades, las malas prácticas, la falta de higiene en la cultura cíber, las limitadas capacidades (de presupuesto o de conocimiento) y los fallos del gobierno sobre este tema.
Debemos pensar como el delincuente y saber cómo actúa” aseguró.
Pablo Gallego, director de Auditoría de WiZink Bank, también insistió en el importante rol de la auditoría interna a la hora de ofrecer aseguramiento a las empresas y administraciones en tiempo real, que es lo que se necesita ahora mismo. Destacó también el papel de su departamento en las empresas de banca, donde están híper regulados, ayudando en riesgos y controles al resto de áreas, pero respetando su independencia.
Gallego apostó por “realizar listas de comprobación, plantear cuestiones o preguntas adecuadas ahora que todos trabajamos en remoto, confirmar que se están haciendo bien las cosas, y mirar por el bienestar de todos los empleados, porque les conocemos bien y sabemos dónde pueden necesitar más apoyo tecnológico”.
Colaboración en el negocio
Todos los componentes de la mesa coincidieron en que Auditoría Interna tiene una visión privilegiada de la compañía y que la situación actual “supone un estrés para toda la empresa”. Según Mónica Díez “hay riesgos que toman más relevancia por el COVID19. Hemos revisado nuestras auditorias, incluido nuevos riesgos y preguntado cómo están siendo gestionados; cómo son de seguras las conexiones, las alertas de patrones de ataque, cómo se gestiona la mayor afluencia de datos y la custodia de los mismos…”
Sobre si este mensaje de la importancia de la ciberseguridad está llegando con la debida fluidez a la alta dirección, Carmenza Henao se mostró positiva; “está llegando aunque hay todavía hay mucho por hacer, porque el control compite con el negocio. Siempre están los frenos relacionados con los costes y los recursos, que todavía no son todos los necesarios para darle la importancia que tiene”. Pablo Gallego, sin embargo aclaró que su banco “nació siendo nativo digital, por lo que esa cultura la hemos aprendido antes que otras empresas tradicionales”.
Para él “se ha invertido en planes y análisis en ciberseguridad, y estamos interizando la resiliencia. Nadie tenía en la cabeza un plan para el coronavirus, con todos trabajando desde casa y los clientes confinados. Va a ser un cambio de paradigma muy bueno que visibilizará nuestra realidad. Ahora me comunico más con mis compañeros de empresa, y estamos aprendiendo lecciones todos los días. En la siguiente pandemia, lo haremos mejor que en esta”.
Mónica Díez explicó que en su empresa sí existía concienciación previa, tanto presupuestaria como de todos los empleados, “y se ve desde una visión del cliente, que puede hacer una consulta por videoconferencia o acceder a cualquier servicio y sabe que sus datos van a estar seguros. Mi departamento está presente desde las fases tempranas de los proyectos o nuevos productos”.
En cuanto a la visión del futuro de la auditoría interna y los nuevos enfoques, los miembros de la mesa se mostraron optimistas y ven oportunidades. Explicaron que ahora vivimos en un mundo en el que los auditores financieros ya deben conocer la tecnología porque está en todos los procesos, y advirtieron que se están borrando fronteras en los perfiles profesionales. Según afirmó Pablo Gallego, “esta pandemia es una oportunidad de situarnos; debemos ser optimistas asumir el rol que podemos asumir”. Para Mónica Díez “debemos tener un enfoque flexible, ser colaborativos en el trabajo, mantener una comunicación de lo importante, crear herramientas de monitorización continua y empujar a las áreas de negocio a que se digitalicen, porque que nos va a ayudar a nosotros”.
El congreso comenzó el pasado jueves, con la primera de las 5 sesiones que se celebrarán cada jueves hasta el 4 de junio a las 18:00 (GMT+2). Puedes ver la sesión en este enlace:
https://www.youtube.com/watch?v=0Y26IQDSQ4A
Inscripción gratuita en isaca.org/auditoriaygrc #AUDGRC20 o en la Url: https://engage.isaca.org/madridchapter/eventos/audgrc
Login: Recibirá las instrucciones para conectarse a la sesión el día anterior a cada sesión