Desafíos actuales en materia de ciberseguridad
La ciberseguridad se ha convertido en un pilar fundamental en la era digital, y los auditores desempeñan un papel crucial en la identificación y mitigación de riesgos. Sin embargo, su labor se ve enfrentada a una serie de desafíos que reflejan la dinámica y compleja naturaleza del escenario cibernético actual.
De acuerdo con los datos extraídos del informe RISK IN FOCUS (LATAM) con casi un millar de respuestas de 25 países, la ciberseguridad, los cambios regulatorios y la continuidad del negocio son las tres áreas de mayor riesgo identificadas.
Este trabajo RISK IN FOCUS proporciona investigación práctica y basada en datos reales para ayudar a los auditores internos y a los grupos de interés a comprender el entorno de riesgos actual y preparar planes de auditoría adaptados a esa realidad.
En el siguiente gráfico se puede concluir que el riesgo en ciberseguridad es, lejos, el que más preocupa en la región:
Para bajar a tierra el concepto, cuando hablamos de riesgos en materia de ciberseguridad no nos referimos a otra cosa que a la probabilidad de ocurrencia de incidentes que tienen el potencial de causar daños o pérdidas que involucren las redes, sistemas informáticos y aplicaciones, con consecuencias muy variadas para las entidades, sus empleados y clientes.
ASPECTOS A CONSIDERAR
Es evidente, de acuerdo a la percepción y a los datos efectivamente recabados, que la preocupación por este riesgo debe ser inminente y, es necesario para contextualizar la situación actual considerar las siguientes afirmaciones como aspectos clave a la hora del análisis:
- Existe una constante evolución de las amenazas
Los ciberdelincuentes se especializan en adaptarse a nuevas variantes desplegando tácticas cada vez más sofisticadas. Los auditores deben mantenerse al tanto de las últimas amenazas para identificar vulnerabilidades en constante cambio.
- La complejidad tecnológica es cada vez mayor
La diversidad de plataformas tecnológicas y el diálogo entre múltiples sistemas y soluciones han alcanzado niveles sin precedentes. La complejidad resultante hace que la auditoría en ciberseguridad sea un desafío que requiere un conocimiento profundo y una comprensión holística de los entornos tecnológicos.
- Escasez de recursos
La demanda de profesionales calificados en ciberseguridad supera la oferta, lo que dificulta la tarea de seleccionar auditores con la experiencia y habilidades necesarias.
- Cumplimiento normativo
Los auditores deben enfrentar hoy el desafío de mantenerse actualizados en leyes y estándares relevantes para garantizar el cumplimiento normativo.
- Concientización general del problema
La falta de conciencia de toda o parte de la organización puede hacer estériles los esfuerzos al abordar este desafío cuyos componentes fundamentales deben ser la educación y la sensibilización frente a este problema.
- Ansiedad y presión por la innovación
La constante presión para adoptar nuevas tecnologías puede llevar a algunas organizaciones a descuidar aspectos críticos de la ciberseguridad. Los auditores deben equilibrar la innovación con medidas sólidas de seguridad.
PROBLEMAS REALES Y SU IMPACTO
Cabe entonces preguntarse en qué aspectos del negocio puede impactar el problema de la ciberseguridad, y la verdad es que las consecuencias son múltiples.
Desde el impacto financiero, donde los delincuentes cibernéticos suelen exigir grandes cantidades de dinero por la información sustraída y secuestrada, pasando por la reputación y la confianza destruyendo en instantes lo que una entidad ha logrado construir durante años, hasta problemas con la continuidad del negocio al paralizar las operaciones o incumplimientos legales o normativos frente a determinadas regulaciones.
En la tendencia de la mejora continua y la adopción de buenas prácticas, la auditoría interna está invirtiendo en impulsar aquellas tecnologías disruptivas en busca de soluciones que mejoren la eficiencia y los resultados.
A modo de resumir los diferentes problemas, un eventual ataque que comprometa la seguridad de la información puede impactar directamente en los Estados Financieros de una organización, sin ir mas lejos que el daño o la destrucción de activos fijos derivando en reparaciones costosas o quizás en posibles remplazos inminentes
Pueden dispararse también pasivos contingentes ya que las brechas de seguridad podrían generar violaciones de datos con la certeza de que las organizaciones deban acarrear o asumir costos legales como ser multas regulatorias o compensaciones a clientes.
Como consecuencia, los auditores deben realizar también una evaluación detallada de los riesgos de Tecnología de la Información como parte del proceso de auditoría. Esto incluye entender el entorno de TI de la empresa y las medidas de seguridad implementadas.
Aquí se deberá considerar la revisión de incidentes y respuesta a los mismos, la realización de pruebas sustantivas como la recuperabilidad de activos y su plan de continuidad asociado.
Como conclusión entendemos que absolutamente todos debemos recordar que los riesgos en materia de ciberseguridad exceden la frontera del Departamento de Tecnología de la Información de cada compañía.
Muy por el contrario a lo que suele pensarse, estamos en presencia de un riesgo empresarial transversal a toda la organización y a las partes intervinientes por lo cual es necesaria una comprensión integral del tema y desarrollar una gestión efectiva en todos los niveles de las organizaciones.