Destacado

Auditorías internas deben impulsar estrategias de ciberseguridad en entidades

Cuando alguien construye una casa, piensa en cómo protegerla, sea contra robos o un incendio por ejemplo. Se busca un…

Por Manuel Sancho

Tiempo de Lectura: 5 minutos
Auditorías internas deben impulsar estrategias de ciberseguridad en entidades
Facebook Twitter Whatsapp Telegram

Cuando alguien construye una casa, piensa en cómo protegerla, sea contra robos o un incendio por ejemplo. Se busca un control como una alarma o un detector de humo. Se actúa buscando contrarrestar amenazas, pero no los riesgos. La primera pregunta clave es ¿qué estoy protegiendo? ¿El menaje, las personas o todo?

Al construir una empresa, la ciberseguridad o seguridad de tecnología de la información es un elemento esencial e imprescindible en la época en que vivimos. Sin embargo no se puede únicamente reaccionar ante los ataques, sino preverlos y realizar una adecuada gestión de riesgos. Esa visión implica más que al departamento de tecnología: implica una estrategia empresarial.

Con esa amplitud de vista, la auditoría interna de una entidad – sea pública o privada – es una pieza fundamental en la estrategia, para que la organización esté preparada y pueda contrarrestar ataques que provienen de criminales cibernéticos. Y son muchos: solo en el primer trimestre del 2019, Costa Rica recibió 19 millones de intentos de ataques informáticos, según datos de la compañía Fortinet.

¿Qué es la auditoría interna? Es un sistema de control interno que desarrolla procedimientos para proteger los activos, minimizar riesgos y ser más rentable. Según la Ley de Control Interno, para el sector público, la Auditoría Interna es la actividad independiente, objetiva y asesora, que proporciona seguridad.

Entender dónde somos vulnerables

Raúl Rivera, especialista en ciberseguridad, usa el ejemplo de la casa para gestionar el riesgo, bajo el cual lo inicial es entender las vulnerabilidades de la empresa. En ciberseguridad esas debilidades están en los procesos internos; la tecnología usada; y sobre todo las personas que la operan.

Lo primero es entender qué se busca proteger en la gestión de ciberseguridad. “El actor principal en todo esto es la información. Eso es lo que hoy día vale plata en una organización”, puntualiza Rivera. No es exagerado ni ciencia ficción. Muchos comentan el reciente documental en Netflix, The Great Hack, que planteó cómo los datos personales de los usuarios superaron al petróleo como el activo más valioso en el mundo.

Rivera, quien es coordinador del programa de ciberseguridad de la Asociación de Auditoría y Control en Sistemas de Información (Isaca), priorizó que la organización debe definir cuál es la información más relevante. Según explica, hay dos sustanciales:

  1. la relacionada con leyes o regulaciones que se deben cumplir
  2. y la relacionada con secretos y estrategias comerciales para competir

Por ahí debe empezar la auditoría interna. Juega un rol vital, pues es un verificador de que se está haciendo todo lo necesario para cubrir los riesgos.

https://soundcloud.com/elobservador-cr/raul-rivera-ciberseguridad-1
El experto en ciberseguridad Raúl Rivera habla sobre información vulnerable para una empresa.

OBSERVE MÁS: Costa Rica será la sede de ‘RightsCon’ 2020, evento que une tecnología y Derechos Humanos como plataforma de desarrollo

Consciencia de las amenazas en una economía digital

La ciberseguridad es un elemento esencial para las empresas, sobre todo las que tienen amplios enlaces en Internet. En enero se realizó el Foro Internacional de Ciberseguridad en Francia. (AFP)

David Galán, vicepresidente del Instituto de Auditores, explicó que al auditor interno contemporáneo se le piden competencias más amplias, en un momento en los cuales la economía y los servicios migran cada vez más a plataformas tecnológicas.

De hecho, desde hace más de cinco años, vivimos la cuarta revolución industrial, que arrancó en la estrategia de alta tecnología del gobierno de Alemania en el 2013. “Mediante la conversión analógica-digital de los datos, todos los actores intervinientes pueden beneficiarse, en cualquier momento y lugar, de toda la información disponible en esa cadena productiva”, señaló el investigador Wolfgang Schroeder en un ensayo sobre la Industria 4.0.

Esa es la realidad que viven las empresas. “La transformación digital ha hecho que el auditor interno tenga que conocer más de tecnología y estar atento a los riesgos”, mencionó Galán. El auditor dijo que los miles de ataques – nacionales e internacionales – funcionan de distintas formas:

  • con un objetivo fijo: capturar información crítica y venderla, pedir una recompensa
  • lograr un reconocimiento: por medio de phishing u otras técnicas de ingeniería social obtener información de usuarios

Hoy el auditor interno debe estar enterado de las amenazas, para poder hacer recomendaciones basadas en análisis de riesgos. Deben conocer desde ataques generales hasta los más complejos, que pueden involucrar el uso de criptomonedas (bitcoins).

“El riesgo debe ser mapeado y la información debe determinarse, si es importante para la entidad (…) determinar el core (núcleo) del negocio, qué información me dolería mucho que me alteren”, comentó Galán.

https://soundcloud.com/elobservador-cr/david-galan-vicepresidente-del-instituto-de-auditores
El vicepresidente del Instituto de Auditores, David Galán, habla sobre la gestión de riesgos en ciberseguridad desde la auditoría interna.

Costa Rica atrasado en ciberdefensa

Según el Estudio Global de Ciberseguridad 2018 (GCI por sus siglas en inglés) de la Unión Internacional de Telecomunicaciones (UIT), Costa Rica está en el lugar 115 de 173 países del ránking global y en el puesto 18 en América. La primera razón de estar mal en ciberdefensa, es por no priorizar el campo de ciberseguridad y no aportar recursos.

El Departamento de Defensa de los Estados Unidos detalló que en el 2018, los ataques causaron más de $45 mil millones en pérdidas en el mundo. A pesar del impacto, algunas empresas tienen mayor riesgo que otras: no es lo mismo ser un banco regional a ser una tienda pequeña que vende ropa por Internet en San José.

El Vicepresidente del Instituto de Auditores fue enfático en que – independiente del tamaño de la organización – debe darse un análisis de riesgo y una clasificación de la información. Así se podrá determinar qué tipo de inversiones se hacen y qué relaciones se tiene con proveedores o especialistas internos.

https://soundcloud.com/elobservador-cr/david-galan-auditor-2
David Galán habla sobre la necesidad de hacer un análisis de riesgo en ciberseguridad.

Empresas y auditoría deben prepararse

David Galán afirmó que las empresas tendrán distintas opciones como:

  1. contratar a un especialista para que sea mentor de un trabajador interno
  2. buscar profesionales y generar acercamientos
  3. acudir a documentación y metodologías desarrolladas por entidades expertas

Pero deben tener claro que ya se trascendió una frontera y no hay vuelta atrás. El especialista en ciberseguridad Raúl Rivera insistió que al tener presencia en Internet, una compañía – sea que venda carros o seguros – debe generar una estrategia y manejar riesgos. Sea cual sea la naturaleza del negocio hay dos factores a tomar en cuenta:

  1. la protección de la tecnología usada
  2. y la protección del valor del negocio, lo que vale la información que manejo

Es en este panorama que las auditorías, siendo ya más maduras, deben reiterar en entender la información en juego y en revisar si los controles de la empresa en materia de ciberseguridad funcionan. “El auditor se tiene que preparar, tiene que conocer las mismas técnicas que conoce un hacker malicioso hoy día”, urgió Rivera.

https://soundcloud.com/elobservador-cr/raul-rivera-experto-en-ciberseguridad
Raúl Rivera habla sobre cómo los auditores internos deben estar más preparados.

OBSERVE MÁS: FaceApp absorbe tus datos, pero no es la única

Manuel Sancho

Temas:

Buenas Noticias

Deloitte EE.UU. abre un nuevo centro de servicios en Costa Rica y contratará inicialmente a 100 personas

Feria de empleo en la universidad Fidélitas pone a disposición 1.500 plazas relacionadas con computación.

“Un Muro del Agradecimiento” fue el protagonista del Día de las Buenas Acciones, en San José

Reconocido médico español trae su fundación a Costa Rica para operar a pacientes con tumores aplicando innovadora técnica

Deportes

El PSG y Mbappé ganan en Barcelona para remontar y meterse en semifinales de la Champions

Jorge Dengo deja una diputación a la que llegó “por casualidad”: asegura que no quiere volver a ser funcionario público

Maratón San José reunirá a más de 5.000 corredores de más de 30 países: cita será el 12 de mayo

Fernando Alonso renueva con Aston Martin

Lo más visto

“Usted está ahí no por lo que sabe, sino porque hace caso al presidente”, dice Rolando Araya al presidente del Banco Central

¡Terminó paro de especialistas! CCSS promete no sancionar a médicos que protestaron para “mantener la paz laboral”

Dos Pinos regalará 4.000 helados en San José este viernes: aquí los detalles

EE.UU. anuncia 6 iniciativas tecnológicas para desarrollo tecnológico de Costa Rica: van de Inteligencia Artificial a 5G y 6G

‘Reality show’ de aventura se grabará en Guanacaste; proyecto se valora en $10 millones

Todo Política

¿Quién será el síndico en su distrito? PLN, PUSC y partidos locales ganaron mayoría de cupos

Plan del Frente Amplio para dar más vacaciones tiene “inconvenientes a nivel jurídico”, dice Procuraduría

Asamblea avanza con proyecto para oportunidades de empleo a personas deudoras de pensión alimenticia con apremio corporal

Diputados aprueban en primer debate proyecto contra hostigamiento y acoso predatorio

Lente Mundial

El fenómeno de El Niño termina: qué efectos tuvo y qué puede ocurrir con La Niña en los próximos meses

Video | El acuerdo entre Bukele y Google: las oficinas en El Salvador para modernizar salud, educación y aduanas

“Quiero limpiar mi nombre antes de morir”: la ingeniera estrella de Tesla despedida cuando demandó a Elon Musk

El científico que estudia a las personas que poco antes de morir “ven” a seres queridos que ya fallecieron

Retina Económica

Regla fiscal se flexibilizará hasta el 2027 y permitiría gastar ¢80.000 millones a la próxima Administración

Relación deuda/PIB debe bajar del 60% y después se debe esperar dos años antes de poder aumentar el gasto.

Retina Económica

India: el país más poblado del mundo quiere más comercio, inversión y turismo con Costa Rica

El año pasado, India rebasó a China como el país más poblado del mundo. Hoy tiene 1.417 millones de habitantes y se estima que poco más del 50’% es clase media.
Retina Económica

“A eso no me voy a referir”, es la reacción del presidente del Banco Central a señalamientos de pérdida de independencia

Economistas, diputados y el exministro Rolando Araya cuestionan si el Banco Central sigue criterios técnicos o más bien órdenes del Gobierno.

Retina Económica

FMI modificó el acuerdo con Costa Rica sobre indicador de riesgo climático para poder hacer el próximo desembolso

Meta cambió de construir el indicador a publicar la metodología. Así el país pudo acceder de forma preliminar a otros $240 millones.

El Observador trata de diferenciarse de los demás diarios digitales y consolidarse como un periódico profesional y balanceado, con una agenda propia de temas.
Paute con nosotros | Contáctanos: [email protected]