• Retina Económica

Auditorías internas deben impulsar estrategias de ciberseguridad en entidades

-

Escuchar este artículo
Tiempo de Lectura: 5 minutos

Cuando alguien construye una casa, piensa en cómo protegerla, sea contra robos o un incendio por ejemplo. Se busca un control como una alarma o un detector de humo. Se actúa buscando contrarrestar amenazas, pero no los riesgos. La primera pregunta clave es ¿qué estoy protegiendo? ¿El menaje, las personas o todo?

Al construir una empresa, la ciberseguridad o seguridad de tecnología de la información es un elemento esencial e imprescindible en la época en que vivimos. Sin embargo no se puede únicamente reaccionar ante los ataques, sino preverlos y realizar una adecuada gestión de riesgos. Esa visión implica más que al departamento de tecnología: implica una estrategia empresarial.

Con esa amplitud de vista, la auditoría interna de una entidad – sea pública o privada – es una pieza fundamental en la estrategia, para que la organización esté preparada y pueda contrarrestar ataques que provienen de criminales cibernéticos. Y son muchos: solo en el primer trimestre del 2019, Costa Rica recibió 19 millones de intentos de ataques informáticos, según datos de la compañía Fortinet.

¿Qué es la auditoría interna? Es un sistema de control interno que desarrolla procedimientos para proteger los activos, minimizar riesgos y ser más rentable. Según la Ley de Control Interno, para el sector público, la Auditoría Interna es la actividad independiente, objetiva y asesora, que proporciona seguridad.

Entender dónde somos vulnerables

Raúl Rivera, especialista en ciberseguridad, usa el ejemplo de la casa para gestionar el riesgo, bajo el cual lo inicial es entender las vulnerabilidades de la empresa. En ciberseguridad esas debilidades están en los procesos internos; la tecnología usada; y sobre todo las personas que la operan.

Lo primero es entender qué se busca proteger en la gestión de ciberseguridad. “El actor principal en todo esto es la información. Eso es lo que hoy día vale plata en una organización”, puntualiza Rivera. No es exagerado ni ciencia ficción. Muchos comentan el reciente documental en Netflix, The Great Hack, que planteó cómo los datos personales de los usuarios superaron al petróleo como el activo más valioso en el mundo.

Rivera, quien es coordinador del programa de ciberseguridad de la Asociación de Auditoría y Control en Sistemas de Información (Isaca), priorizó que la organización debe definir cuál es la información más relevante. Según explica, hay dos sustanciales:

  1. la relacionada con leyes o regulaciones que se deben cumplir
  2. y la relacionada con secretos y estrategias comerciales para competir

Por ahí debe empezar la auditoría interna. Juega un rol vital, pues es un verificador de que se está haciendo todo lo necesario para cubrir los riesgos.

El experto en ciberseguridad Raúl Rivera habla sobre información vulnerable para una empresa.

OBSERVE MÁS: Costa Rica será la sede de ‘RightsCon’ 2020, evento que une tecnología y Derechos Humanos como plataforma de desarrollo

Consciencia de las amenazas en una economía digital

La ciberseguridad es un elemento esencial para las empresas, sobre todo las que tienen amplios enlaces en Internet. En enero se realizó el Foro Internacional de Ciberseguridad en Francia. (AFP)

David Galán, vicepresidente del Instituto de Auditores, explicó que al auditor interno contemporáneo se le piden competencias más amplias, en un momento en los cuales la economía y los servicios migran cada vez más a plataformas tecnológicas.

De hecho, desde hace más de cinco años, vivimos la cuarta revolución industrial, que arrancó en la estrategia de alta tecnología del gobierno de Alemania en el 2013. “Mediante la conversión analógica-digital de los datos, todos los actores intervinientes pueden beneficiarse, en cualquier momento y lugar, de toda la información disponible en esa cadena productiva”, señaló el investigador Wolfgang Schroeder en un ensayo sobre la Industria 4.0.

Esa es la realidad que viven las empresas. “La transformación digital ha hecho que el auditor interno tenga que conocer más de tecnología y estar atento a los riesgos”, mencionó Galán. El auditor dijo que los miles de ataques – nacionales e internacionales – funcionan de distintas formas:

  • con un objetivo fijo: capturar información crítica y venderla, pedir una recompensa
  • lograr un reconocimiento: por medio de phishing u otras técnicas de ingeniería social obtener información de usuarios

Hoy el auditor interno debe estar enterado de las amenazas, para poder hacer recomendaciones basadas en análisis de riesgos. Deben conocer desde ataques generales hasta los más complejos, que pueden involucrar el uso de criptomonedas (bitcoins).

“El riesgo debe ser mapeado y la información debe determinarse, si es importante para la entidad (…) determinar el core (núcleo) del negocio, qué información me dolería mucho que me alteren”, comentó Galán.

El vicepresidente del Instituto de Auditores, David Galán, habla sobre la gestión de riesgos en ciberseguridad desde la auditoría interna.

Costa Rica atrasado en ciberdefensa

Según el Estudio Global de Ciberseguridad 2018 (GCI por sus siglas en inglés) de la Unión Internacional de Telecomunicaciones (UIT), Costa Rica está en el lugar 115 de 173 países del ránking global y en el puesto 18 en América. La primera razón de estar mal en ciberdefensa, es por no priorizar el campo de ciberseguridad y no aportar recursos.

El Departamento de Defensa de los Estados Unidos detalló que en el 2018, los ataques causaron más de $45 mil millones en pérdidas en el mundo. A pesar del impacto, algunas empresas tienen mayor riesgo que otras: no es lo mismo ser un banco regional a ser una tienda pequeña que vende ropa por Internet en San José.

El Vicepresidente del Instituto de Auditores fue enfático en que – independiente del tamaño de la organización – debe darse un análisis de riesgo y una clasificación de la información. Así se podrá determinar qué tipo de inversiones se hacen y qué relaciones se tiene con proveedores o especialistas internos.

David Galán habla sobre la necesidad de hacer un análisis de riesgo en ciberseguridad.

Empresas y auditoría deben prepararse

David Galán afirmó que las empresas tendrán distintas opciones como:

  1. contratar a un especialista para que sea mentor de un trabajador interno
  2. buscar profesionales y generar acercamientos
  3. acudir a documentación y metodologías desarrolladas por entidades expertas

Pero deben tener claro que ya se trascendió una frontera y no hay vuelta atrás. El especialista en ciberseguridad Raúl Rivera insistió que al tener presencia en Internet, una compañía – sea que venda carros o seguros – debe generar una estrategia y manejar riesgos. Sea cual sea la naturaleza del negocio hay dos factores a tomar en cuenta:

  1. la protección de la tecnología usada
  2. y la protección del valor del negocio, lo que vale la información que manejo

Es en este panorama que las auditorías, siendo ya más maduras, deben reiterar en entender la información en juego y en revisar si los controles de la empresa en materia de ciberseguridad funcionan. “El auditor se tiene que preparar, tiene que conocer las mismas técnicas que conoce un hacker malicioso hoy día”, urgió Rivera.

Raúl Rivera habla sobre cómo los auditores internos deben estar más preparados.

OBSERVE MÁS: FaceApp absorbe tus datos, pero no es la única


Traducir artículo

Últimas Noticias

Municipalidad de Cartago tendrá Policía Ambiental propia

La Municipalidad de Cartago anunció un nuevo plan de control ambiental que vigilará la limpieza con diferentes...

¿Madonna murió?: La confusión que circuló en redes sociales tras el deceso de Maradona

Las redes sociales se llenaron de "memes" y publicaciones graciosas por la confusión que se generó por la muerte...

“Me cortaron las piernas” y otras 5 frases memorables de Maradona

Diego Armando Maradona, quien falleció este miércoles a los 60 años, fue un genio dentro de la cancha, pero...

AyA suspende cortes por atrasos en reconexión

El Instituto Costarricense de Acueductos y Alcantarillados (AyA) anunció que no hará cortes del servicio mientras ajusta...

Maradona le prometió amistad eterna al árbitro de la “Mano de Dios”

Tuvo el honor o la desgracia, depende de cómo se mire, de ser el árbitro de uno de los...

Testeo masivo buscará posicionar a Nosara como destino turístico seguro

La pandemia le sigue pasando factura a las comunidades turísticas, y entre esas al distrito de Nosara en Nicoya....

Recomendadas

Juicio a expresidente de AyA se resolverá una década después

El polémico viaje a México que conllevó...

Diputados dieron visto bueno a Presupuesto del 2021 por ¢11,4 billones

Un total de 48 diputados aprobaron en primer debate...

Le podría interesarRELACIONADAS
Recomendadas para usted


Traducir artículo

Cached: Wed Nov 25 2020 15:57:33 GMT-0600 (Central Standard Time)