Las empresas, preparadas contra el ciberdelito

El proceso de digitalización derivado del avance de las nuevas tecnologías es para las empresas un paso inexorable en la carrera por la competitividad y la productividad. Un salto digital que sin embargo no está carente de riesgos. El fraude dinerario, el robo de información o el sabotaje de infraestructuras son algunas de las amenazas a las que las organizaciones deben hacer frente.

De hecho, la ciberseguridad es ya un problema global y sistémico hasta el punto de que el Foro Económico Mundial lo incluye desde 2014 en la lista de los cinco principales riesgos globales, en términos de probabilidad, junto al cambio climático, el desempleo, las catástrofes naturales y la desigualdad económica.

Los ciberataques se han multiplicado en los últimos años y son cada vez más complejos y difíciles de detectar, como lo demuestra el ya famoso ransomware WannaCry, que afectó el pasado mayo, entre otros, a los equipos informáticos de la sede de Telefónica en Madrid. Por ello es necesario que los órganos de gobierno de las organizaciones incrementen y mejoren la supervisión sobre la ciberseguridad.

Según el barómetro mensual elaborado por el Instituto de Auditores Internos de España (IAI), en el que han participado organizaciones de sectores como el bancario, el asegurador, de la distribución, alimentación y bebidas y organismos públicos, los auditores internos aseguran que en el 72% de las organizaciones el consejo de administración está involucrado en la supervisión del riesgo de ciberseguridad.

“Las organizaciones españolas están haciendo un gran esfuerzo en protegerse frente las amenazas relacionadas con la ciberseguridad y en la detección temprana de posibles ataques para evitarlos o limitar sus efectos”, aseguran desde el IAI.

Porque los perjuicios para las organizaciones derivados de un ciberataque pueden ser muy graves. De acuerdo con un estudio de McAfee, se estima que el cibercrimen tiene un impacto global en la economía de entre 300.000 millones y un billón de dólares al año, cerca del 1% del PIB mundial, equiparándose al narcotráfico o la piratería. Solo en España, en 2016 el coste medio de un ataque informático rondó los 75.000 euros, lo que supone para las empresas españolas unos 14.000 millones de euros al año, según el Instituto Nacional de Ciberseguridad (Incibe). Aunque las consecuencias no son solo económicas, también las hay legales y reputacionales, que resultan muy difíciles de subsanar.

Estrategia de seguridad

Por ello las organizaciones deben realizar un análisis detallado de la exposición a los riesgos asociados a la ciberseguridad e implantar una estrategia de seguridad acorde a la misma y a las necesidades, posibilidades y recursos de cada organización, y donde “es indispensable la formación y concienciación de todos los eslabones de la empresa para prevenir los riesgos y, por supuesto, requiere la implicación de la alta dirección”, reconocen en el IAI.

En este sentido, en el 83% de las organizaciones la dirección de auditoría interna coopera de forma estrecha con las áreas que manejan los riesgos cibernéticos, según el barómetro. Porque, “al tratarse de una función clave de buen gobierno y apoyo fundamental a la comisión de auditoría y al consejo de administración, es un instrumento imprescindible para que los consejeros puedan supervisar una adecuada gestión y control de los riesgos”.

La ciberseguridad exige extremar las medidas para establecer todos los controles necesarios para mitigar los riesgos asociados. Para ayudar a identificarlos, el IAI, a través de su think tank Fábrica de Pensamiento, ha editado Ciberseguridad. Una guía de supervisión, donde establece buenas prácticas a realizar en la materia. El IAI cuenta además con una edición especial para consejeros sobre ciberseguridad en la que se analizan las 10 preguntas que un consejero debe plantearse en relación con esta materia.