Clausura del III Congreso de Auditoría & GRC de la asociación Isaca

En tiempos de teletrabajo se hace imprescindible ser ciberseguros

52
auditores ciberseguridad

Adaptación para todos, incluido los auditores. El Covid-19 les ha puesto en valor dentro de las compañías y su reconocimiento va a más. Auditar los negocios ahora llega más lejos, pues va intrínseco a la reputación empresarial, de ahí su aporte de valor. ¡Y dentro de lo reputacional entran tantas cosas nuevas!

Todo afecta porque las tecnologías se imponen y extienden: drones (vease información de Escudo Digital de 15 de abril y 9 de febrero), control de temperatura corporal (noticias de Fujitsu, 21 mayo, y Alambra IT, 21 y 30 mayo), reconocimiento facial (Facephi, 18 junio, y Biocryptology, 18 y 20 de junio) y videoconferencias y privacidad (reportaje de EduLab Microsoft, día 20 de junio), tan solo son algunos ejemplos.

Sobre estos temas ha versado el último y III Congreso de Auditoría & GRC (Gobierno, Riesgo y Cumplimiento), iniciados en mayo y propuestos por la asociación ISACA Madrid Chapter, que presta su ayuda a los profesionales a liderar, adaptar y asegurar la confianza en un mundo digital; su carácter internacional ha logrado reunir en estas convocatorias online a 2.600 inscritos de 19 países.

La jornada arrancó con la ponencia “El AudiTHOR: la crisis pasará, la auditoría evolucionará”, en la que Arnulfo Espinosa Domínguez, CISA, CISM, CRISC, CSXF, Cybersecurity Audit y presidente del CT de Ciberseguridad y Tecnología IMEF, explicó el cambio de visibilidad y envergadura de los profesionales de la ciberseguridad debido a la incidencia del coronavirus, pues “nadie tenía contemplados los riesgos de una pandemia. Los auditores estábamos en la tercera línea de defensa, pero los roles se han movido con la extraordinaria situación”.

El experto quiso dar pautas para ser auditor desde casa, entre otras: “mediante el control de las herramientas como VPN, el monitoreo de la contratación del uso de SaaS o Shadow IT, confirmar que se cuenta con suficientes licencias y equipos, las cláusulas de descuento de servicios y la realización de un monitoreo continuo. Debemos prepararnos para la nueva normalidad y cumplir las promesas; implantar las auditorías continuas, que sean ágiles, que se adapten a una transformación digital acelerada, como drones o videoconferencias, y nuevos retos relacionados con la privacidad, como a dónde va la información sobre recogida de datos basados en temperatura o reconocimiento facial, que se implanten en la nueva normalidad”.

También se insistió en que la crisis va a pasar y la auditoría deberá evolucionar, ser flexible y comprensiva y “conseguir que los auditores seamos asesores de confianza de la dirección. Debemos dar un paso al frente porque la ciberseguridad tiene que avanzar debido al gran avance de exposición de los datos al ciberespacio y la conectividad directa al mismo”.

“La ciberseguridad tiene que avanzar al compás de la exposición de los datos al ciberespacio”

Sobre “Auditoría y Ciberseguridad en tiempos de Teletrabajo” debatieron en la mesa redonda Rosa Damaris Díaz de Tejada, presidenta de ISACA Santo Domingo, Isabel Gómez, responsable del Área de Ciberseguridad de Audea, Ricardo Martínez, socio de Riesgos de Deloitte España, Alejandro Rembado, director Auditoría Interna – Grupo Telefónica – Movistar Argentina/Uruguay, y expresidente de ISACA Madrid y Carlos López, presidente de ISACA Valencia, como moderador.

Al habernos vistos abocados al trabajo en remoto, “los ciberatacantes  han aprovechado y se ha comprobado una ingente cantidad de phishing, malware, las continuas videoconferencias e irnos a casa sin estar bien preparados. Para las empresas ha sido un reto establecer mecanismos novedosos para poder con todo esto”, según introdujo Rosa Damaris. 

Ricardo Martínez aportó una visión positiva, “porque la obligación nos ha permitido poner a prueba nuestras infraestructuras y sobre todo la concienciación de empleados y de la dirección de la empresa”. Así, se han detectado necesidades que ha habido que implantar; han cobrado importancia las auditorías de los procesos industriales (fábricas de mascarillas, por ejemplo) y del Internet de las Cosas, y van a cambiar la gestión de los riesgos contemplando terceros, el RGPD, etc.

Según Martínez, “la utilización de VPNs de calidad y la concienciación sobre la utilización del mail, las RRSS, las fakes news y las apps móviles son fruto de esta nueva realidad con la que podremos demostrar que la ciberseguridad no es un lujo, sino una necesidad, ante la dirección de algunas empresas que hasta ahora así lo pensaban. Esta crisis ha acelerado mucho la transformación digital de nuestras empresas”.

Alejandro Rembado apuntó que se ha tenido que relajar le seguridad informática al utilizar cualquier dispositivo de la casa para conectarse, o tener que permitir que los hijos se conecten con el equipo de la empresa porque no tienen otro, “lo que ha aumentado los riesgos. Hoy el mundo está globalizado, los datos de las compañías están fuera en una nube y la evolución de la auditoría informática tiene que acompañar a la evolución de sistemas y tecnología”.

Los participantes coincidieron en que los departamentos especializados en el tema van a variar y superarán a la auditoría de negocio, que la ciberseguridad tiene que avanzar debido al gran avance de exposición de los datos al ciberespacio y la conectividad, que el papel de los auditores debe aumentar para entrar en el papel de protección de la reputación de la compañía y asegurar a la dirección de la empresa que esta está segura. También coincidieron en el cambio de las amenazas y riesgos, por lo que debe cambiar el perfil del auditor, para hacerlas con inmediatez, dinamismo y autenticidad.

Para los miembros de la mesa, se ha producido un cambio generacional y hay diferencia entre los actuales auditores y los nuevos, que son becarios “centenials”. Los profesionales deben tener un perfil más tecnológico para evitar las tareas rutinarias que no agregan valor y concentrarse en el análisis. Se necesitan, según indicaron, personas que sepan de procesos, de matemáticas, de finanzas. La idea es que puedan auditar universos y no muestras.

Para ellos, según explicó Isabel Gómez, “es importante, como lo hace ISACA, compartir información, criterios y fórmulas”, sobre lo que Ricardo Barrasa, presidente de la entidad organizadora, explicó su labor a la hora de “formar a los auditores y organizar cursos de introducción a la auditoría tecnológica y la ciberseguridad”.

El congreso finalizó con la  presentación de los resultados del “I Estudio del Estado de Situación de la Auditoría & GRC en España y Latinoamérica” a cargo de Erik de Pablo, director de investigación de ISACA Madrid y con el resumen y las conclusiones de los contenidos y de las  jornadas del III Congreso de Auditoría & GRC, a cargo de Vanesa Gil, responsable del Congreso y también miembro de la Junta Directiva ISACA Madrid.

La pandemia, el teletrabajo, la premura en organizarlo y el papel de la tecnología y la privacidad para implantarlo con plenas garantías y seguridad, han hecho evolucionar al papel del auditor a marchas forzadas. Su perfil ha sido dotado de mayor valor y visibilidad en relación al gobierno, el control del riesgo y el cumplimiento normativo en las empresas e instituciones. La ciberseguridad ya no es un lujo para los directivos; el Covid- 19 les ha revelado que es una necesidad que aporta valor a la compañía.