III Congreso de Auditoría & GRC online

El Covid-19 da mayor visibilidad a los auditores internos dentro de la empresa

110
ElevanPaths amplía sus soluciones de seguridad

Unos 13.000 incidentes, de los que el 2% guardan relación directa con el coronavirus, y cerca de 1.000 llamadas relacionadas con estafas, bulos, suplantaciones, temas fiscales y las líneas de ayuda o subvenciones. Este es el balance de actividad que hace el Instituto Nacional de Ciberseguridad, INCIBE, desde el 1 de marzo.

Los riesgos, derivados de esta situación de confinamiento, han aumentado y esto ha puesto en valor y visibilizado a todos los profesionales relacionados con ello y en concreto, a los auditores internos, cuya función cobra un nuevo papel dentro de la empresa; mucho más relevante. Auditoría, gobierno y normativa son las tres armas con las que combatir los ataques tecnológicos. Y a su vez, es la tecnología la que permite mantenerse a flote y atajar las amenazas. 

Hace una semana, Isaca Madrid Chapter, asociación de profesionales de auditoría, ciberseguridad y privacidad, celebró la primera sesión del III Congreso de Auditoría & GRC (Gobierno, Riesgo y Cumplimiento), que durará hasta el 4 de junio y donde cada jueves se analizará esta nueva realidad y “este cambio de paradigma”. La primera sesión arrancó el 7 de mayo con 1.300 participantes a través de Zoom y 3.000 en Youtube. Una convocatoria que, en sí misma, es un ejemplo de esa ampliación de conexiones a las que la pandemia nos obliga y, por consiguiente, a esa necesidad creciente de protegernos frente a los posibles ciberdelitos.

“De toda situación difícil surge una oportunidad y el Covid-19 lo es para entender la importancia de la ciberseguridad en empresas e instituciones, así como la de los auditores internos, que ven con optimismo su función de ser parte del equipo para ayudar a las empresas a ser excelentes y más seguras”, exponía Ricardo Barrasa, presidente de ISACA

En INCIBE han logrado atajar una media de 30 ciberataques diarios desde que comenzó el estado de alarma

Los números que compartió Marcos Gómez, subdirector de INCIBE-CERT, al comienzo de la reunión no pueden ser más gráficos para poner en valor la labor de la institución al dar soporte y respuesta a las incidencias actuales y promover la cultura en ciberseguridad: a través de su presencia en redes sociales con #ciberCOVID19, y teletrabajando, han conseguido frenar unos 30 ataques a día desde que comenzó el estado de alarma.

Aunque optimista, se mostró partidario de “fortalecer la alerta social y reforzar los canales, intentando innovar para llegar antes a la ciudadanía y mejorar la resolución de toda denuncia”. En cuanto al redescubrimiento de profesiones de auditorías, reputación y gestión, reconoció la importancia del trabajo hecho antes de esta crisis. “Como ocurrió con Wanacry, la medición de ciberresiliencia muestra el Covid-19 como oportunidad para medir la respuesta y comprobar que estábamos preparados”.

El Covid-19, una oportunidad para comprobar que estábamos preparados

El congreso incluía una mesa redonda: Auditoría Interna. Un desafío que va más allá del ámbito financiero; moderada por Juan Francisco Escuderos, director del área de Seguridad de la Información de Auren y en la que participaron Mónica Díez, de Sanitas y Bupa Europa & Latinoamérica; Emiliano Ramos, de Telefónica; Carmenza Henao, VP de Bancolombia, y Pablo Gallego, de Wiznk Bank; todos ellos directores de Auditoria Interna. Para cada uno, retos especializados en su negocio, pero, lógicamente, con muchos elementos en común, como la búsqueda de mecanismos de protección, buena gestión de riesgos y mejora de los controles internos.

Para Díez, la clave es “estar muy al día, renovarse (…) tener un enfoque holístico desde el departamento, reportar monitorización continua y contar con partners, una ayuda en las etapas en que los riesgos son bastante complejos. Hay riesgos que toman más relevancia por el Covi19. Hemos revisado nuestras auditorias, incluyendo o nuevo y preguntado cómo se gestionan, cómo son de seguras las conexiones, las alertas de patrones de ataque, etc.”.

Emiliano Ramos, sobre todo, incidió en cómo el papel del auditor afecta a todas las áreas de la empresa (en su caso Telefónica), incluyendo RRHH, y la importancia de establecer un plan estratégico a tres o cinco años para reforzar el entorno de ciberseguridad, cuyos riesgos pueden llegar a acabar con compañías enteras. “Ahora mismo son esenciales las auditorías preventivas y online, según están ocurriendo las cosas. (…). Debemos estar en primera línea de batalla, porque aportamos valor al conocer toda la compañía. Lo que nos hace más importantes en los comités de crisis y estructuras de control de la empresa”.

“Esto va más allá de gobiernos y sectores. Nos compete a todos. El mundo va a cambiar a partir de esta situación y habrá que trabajar para que sea beneficioso para la humanidad. La ciberseguridad está ahora en el top de riesgos y la tecnología nos permite sobrevivir. Hay que atajan estos como las defensas débiles, vulnerabilidades, malas prácticas, falta de higiene en la cultura cíber, las limitadas capacidades (de presupuesto o conocimiento) y los fallos de gobierno en el tema. Debemos pensar en el delincuente y saber cómo actúa”, comentaba Carmena Henao, mostrándose optimista además de la percepción que la alta dirección va teniendo de la ciberseguridad “aunque hay todavía mucho por hacer”.

Todo depende de la naturaleza del negocio, como reconocía Pablo Gallego. “Wizink Bank nació siendo nativo digital, por lo que esa cultura la hemos aprendido antes que otras empresas tradicionales”. Entre sus propuestas: “ofrecer aseguramiento en tiempo real, que es lo que se necesita ahora mismo (…), realizar listas de comprobación, plantear preguntas – ahora que trabajamos en remoto -, confirmar que se están haciendo bien las cosas y mirar por el bienestar de los empleados”. El experto, está convencido de que “esta pandemia es una oportunidad para situarnos; y asumir el rol requerido”.

Mónica Díaz considera que la actitud profesional del auditor debe “tener un toque flexible, ser colaborativo, mantener comunicación sobre lo importante, crear herramientas de monitorización continua y empujar a las áreas de negocio a que se digitalicen”.

De lo que ninguno duda es de que el mundo está cambiando y se están borrando las fronteras entre los distintos perfiles profesionales.