Unos 13.000 incidentes, de los que el 2% guardan relación directa con el coronavirus, y cerca de 1.000 llamadas relacionadas con estafas, bulos, suplantaciones, temas fiscales y las líneas de ayuda o subvenciones. Este es el balance de actividad que hace el Instituto Nacional de Ciberseguridad, INCIBE, desde el 1 de marzo.
Los riesgos, derivados de esta situación de confinamiento,han aumentado y esto ha puesto en valor y visibilizado a todos losprofesionales relacionados con ello y en concreto, a los auditores internos, cuyafunción cobra un nuevo papel dentro de la empresa; mucho más relevante.Auditoría, gobierno y normativa son las tres armas con las que combatir losataques tecnológicos. Y a su vez, es la tecnología la que permite mantenerse aflote y atajar las amenazas.
Hace una semana, Isaca Madrid Chapter, asociación de profesionales de auditoría, ciberseguridad y privacidad, celebró la primera sesión del III Congreso de Auditoría & GRC (Gobierno, Riesgo y Cumplimiento), que durará hasta el 4 de junio y donde cada jueves se analizará esta nueva realidad y “este cambio de paradigma”. La primera sesión arrancó el 7 de mayo con 1.300 participantes a través de Zoom y 3.000 en Youtube. Una convocatoria que, en sí misma, es un ejemplo de esa ampliación de conexiones a las que la pandemia nos obliga y, por consiguiente, a esa necesidad creciente de protegernos frente a los posibles ciberdelitos.
“De toda situación difícil surge una oportunidad y elCovid-19 lo es para entender la importancia de la ciberseguridad en empresas einstituciones, así como la de los auditores internos, que ven con optimismo sufunción de ser parte del equipo para ayudar a las empresas a ser excelentes ymás seguras”, exponía RicardoBarrasa, presidente de ISACA.
En INCIBE han logrado atajar una media de 30 ciberataques diarios desde que comenzó el estado de alarma
Los números que compartió Marcos Gómez, subdirector de INCIBE-CERT, al comienzo de la reunión no pueden ser más gráficos para poner en valor la labor de la institución al dar soporte y respuesta a las incidencias actuales y promover la cultura en ciberseguridad: a través de su presencia en redes sociales con #ciberCOVID19, y teletrabajando, han conseguido frenar unos 30 ataques a día desde que comenzó el estado de alarma.
Aunque optimista, se mostró partidario de “fortalecer laalerta social y reforzar los canales, intentando innovar para llegar antes a laciudadanía y mejorar la resolución de toda denuncia”. En cuanto alredescubrimiento de profesiones de auditorías, reputación y gestión, reconoció laimportancia del trabajo hecho antes de esta crisis. “Como ocurrió conWanacry, la medición de ciberresiliencia muestra el Covid-19 como oportunidadpara medir la respuesta y comprobar que estábamos preparados”.
El Covid-19, una oportunidad para comprobar que estábamos preparados
El congreso incluía una mesa redonda: Auditoría Interna. Undesafío que va más allá del ámbito financiero; moderada por Juan FranciscoEscuderos, director del área de Seguridad de la Información de Auren y en laque participaron Mónica Díez, de Sanitasy Bupa Europa & Latinoamérica; Emiliano Ramos, de Telefónica; CarmenzaHenao, VP de Bancolombia, y Pablo Gallego, de Wiznk Bank; todos ellos directores de Auditoria Interna.Para cada uno, retos especializados en su negocio, pero, lógicamente, conmuchos elementos en común, como la búsqueda de mecanismos de protección, buenagestión de riesgos y mejora de los controles internos.
Para Díez, la clave es “estar muy al día, renovarse (…)tener un enfoque holístico desde el departamento, reportarmonitorización continua y contar con partners, una ayuda en las etapas en quelos riesgos son bastante complejos. Hay riesgos que toman más relevancia por elCovi19. Hemos revisado nuestras auditorias, incluyendo o nuevo y preguntadocómo se gestionan, cómo son de seguras las conexiones, las alertas de patronesde ataque, etc.”.
Emiliano Ramos, sobre todo, incidió en cómo el papeldel auditor afecta a todas las áreas de la empresa (en su caso Telefónica),incluyendo RRHH, y la importancia de establecer un plan estratégico a tres ocinco años para reforzar el entorno de ciberseguridad, cuyos riesgos puedenllegar a acabar con compañías enteras. “Ahora mismo son esenciales lasauditorías preventivas y online, según están ocurriendo las cosas. (...). Debemosestar en primera línea de batalla, porque aportamos valor al conocer toda lacompañía. Lo que nos hace más importantes en los comités de crisis yestructuras de control de la empresa”.
“Esto va más allá de gobiernos y sectores. Nos compete atodos. El mundo va a cambiar a partir de esta situación y habrá que trabajarpara que sea beneficioso para la humanidad. La ciberseguridad está ahora en eltop de riesgos y la tecnología nos permite sobrevivir. Hay que atajan estoscomo las defensas débiles, vulnerabilidades, malas prácticas, falta de higieneen la cultura cíber, las limitadas capacidades (de presupuesto o conocimiento)y los fallos de gobierno en el tema. Debemos pensar en el delincuente y saber cómoactúa”, comentaba Carmena Henao, mostrándose optimista además de lapercepción que la alta dirección va teniendo de la ciberseguridad “aunquehay todavía mucho por hacer”.
Todo depende de la naturaleza del negocio, como reconocía PabloGallego. “Wizink Bank nació siendo nativo digital, por lo que esa culturala hemos aprendido antes que otras empresas tradicionales”. Entre suspropuestas: “ofrecer aseguramiento en tiempo real, que es lo que se necesitaahora mismo (…), realizar listas de comprobación, plantear preguntas - ahoraque trabajamos en remoto -, confirmar que se están haciendo bien las cosas ymirar por el bienestar de los empleados”. El experto, está convencido deque “esta pandemia es una oportunidad para situarnos; y asumir el rolrequerido”.
Mónica Díaz considera que la actitud profesional delauditor debe “tener un toque flexible, ser colaborativo, mantenercomunicación sobre lo importante, crear herramientas de monitorización continuay empujar a las áreas de negocio a que se digitalicen”.
De lo que ninguno duda es de que el mundo está cambiando y seestán borrando las fronteras entre los distintos perfiles profesionales.