Gestión de los ciberriesgos: El papel de la Auditoría Interna

June 28, 2023

Doron Rozenblum, socio director de Kreston-Ezra Yehuda-Rozenblum, apareció recientemente en Accounting Today, compartiendo sus ideas sobre por qué la auditoría interna es la clave de la gestión del riesgo cibernético. Los incidentes cibernéticos, como las interrupciones informáticas, las violaciones de datos y los ataques de ransomware, constituyen el mayor riesgo global. Las filtraciones de datos son especialmente preocupantes para las empresas, ya que los costes alcanzarán la cifra récord de 4,4 millones de dólares en 2022 y se prevé que superen los 5 millones en 2023. Otros riesgos importantes son los ataques de ransomware y los fallos en las cadenas de suministro digitales o los servicios en la nube. Los vectores relacionados con la cibernética, incluidos los ataques criminales, los errores humanos y los fallos técnicos, pueden causar graves perturbaciones a las empresas. Los piratas informáticos atacan ahora las cadenas de suministro tanto digitales como físicas, lo que supone una mayor amenaza para las pequeñas y medianas empresas, mientras que las grandes corporaciones invierten más en ciberseguridad.

El cambiante panorama de los ciberriesgos: Amenazas y tendencias

En el panorama digital, todas las empresas, independientemente de su tamaño, son vulnerables a filtraciones que pueden poner en peligro las operaciones, la reputación, la marca y los flujos de ingresos. El panorama de los ciberriesgos en 2023 es diverso y está en continua evolución, y se prevé que los costes de la ciberdelincuencia alcancen los 8 billones de dólares en 2023 y los 10,5 billones en 2025.

Los ataques de ransomware, especialmente a través de phishing, suponen la mayor amenaza tanto en el sector público como en el privado. Estos ataques no sólo aumentan en número, sino también en costes financieros y de reputación. El phishing consiste en que los piratas informáticos engañan a las personas para que compartan datos valiosos o difundan programas maliciosos a través de correos electrónicos engañosos, a menudo haciéndose pasar por personas de alto rango o instituciones de confianza. El correo electrónico comercial comprometido (BEC) es otro problema grave, a menudo asociado con el phishing. Los atacantes utilizan herramientas de colaboración más allá del correo electrónico, como el chat y las aplicaciones de mensajería móvil, para llevar a cabo sus estratagemas. Los piratas informáticos abusan con frecuencia de la marca Microsoft en ataques de suplantación de identidad, y los ataques de suplantación de marca son preocupantes debido a los malos hábitos de seguridad y a la falta de conocimiento de los usuarios.

El fraude, especialmente la usurpación de identidad, es una tendencia digital a medida que aumenta el número de personas que realizan operaciones bancarias y compras en línea. En 2022, los consumidores declararon haber perdido casi 9.000 millones de dólares por fraude, lo que supone un aumento del 30% respecto al año anterior, con un importante número de denuncias por usurpación de identidad.

Reforzar la gestión del ciberriesgo: Estrategias para la auditoría interna

Las empresas se enfrentan a una mayor vulnerabilidad a los ciberriesgos debido a su tamaño, complejidad e interconexión. El uso de servicios en la nube y del Internet de las Cosas (IoT) crea nuevos vectores de ataque cuya protección supone un reto. Para hacer frente a estos riesgos son cruciales unas estrategias sólidas de gestión del ciberriesgo en las que participen todas las partes interesadas.

Aunque la inteligencia artificial (IA) tiene potencial, también puede ser un vector de amenazas. Los sistemas y plataformas de IA deben aplicarse con precaución debido al potencial de suposiciones inexactas y conclusiones extraídas de fuentes poco fiables.

La auditoría interna ha evolucionado como defensa crítica contra los riesgos cibernéticos. Se extiende más allá de las áreas financieras para incluir la ciberseguridad. Para auditar eficazmente los riesgos cibernéticos, una auditoría interna requiere comprender las amenazas más recientes, conocer el entorno informático y el marco de ciberseguridad de la organización, tener experiencia en gestión de riesgos y análisis de datos, y colaborar con las funciones de TI, gestión de riesgos y cumplimiento.

Un enfoque basado en el riesgo es necesario para una auditoría interna sólida del riesgo cibernético. Hay que identificar y proteger los activos y sistemas críticos, evaluar los controles existentes e identificar las áreas susceptibles de mejora. La gestión del riesgo cibernético debe integrarse en la estrategia general de gestión de riesgos de la organización, y deben facilitarse al consejo y a la alta dirección actualizaciones periódicas sobre el perfil de riesgo cibernético y las amenazas emergentes. La gestión de la cadena de suministro es otra área crítica que requiere la evaluación de las prácticas de ciberseguridad de vendedores y proveedores.

En conclusión, los riesgos cibernéticos suponen una amenaza creciente para las organizaciones, y la auditoría interna desempeña un papel vital en la gestión de estos riesgos. La evaluación del panorama de riesgos, la revisión de los controles internos y la utilización de herramientas de análisis de datos son cruciales para una gestión eficaz. Al adoptar un enfoque colaborativo y basado en el riesgo, la auditoría interna puede ayudar a las organizaciones a navegar por el complejo y cambiante panorama del ciberriesgo.

Para más información, pulse aquí.