El 72% de los consejos de administración de las empresas en España están involucrados en la supervisión de los riesgos relacionados con la ciberseguridad, según el barómetro mensual del Instituto de Auditores Internos de España (IAI).
El barómetro también resalta que, en el 83% de las organizaciones, la dirección de auditoría interna coopera de forma estrecha con las áreas que manejan los riesgos cibernéticos.
El riesgo de ciberseguridad se ha convertido en una de las principales preocupaciones de las empresas, ya que los ciberataques se han multiplicado en los últimos años y son cada vez más complejos y difíciles de prevenir y detectar.
Las amenazas incluyen el fraude dinerario, el robo de información o el sabotaje de infraestructuras, con grandes consecuencias económicas, legales y reputacionales difíciles de subsanar.
Según IAI, el aumento de este riesgo se debe a los procesos de digitalización de las empresas e instituciones, la robotización y el Big Data, así como al incremento de la ciberdelincuencia, que cuenta con una escasa regulación normativa en la materia y facilidad para el anonimato.
Para ayudar a establecer todos los controles necesarios y mitigar los riesgos asociados a la ciberseguridad, el IAI ha incluido una guía de buenas prácticas en la ‘Fábrica de pensamiento’, su laboratorio de ideas, que incluye 20 controles críticos de seguridad a implementar y el papel de auditoría interna en su revisión.
Además, el organismo cuenta con una edición especial para consejeros sobre ciberseguridad en la que se analizan las diez preguntas que un consejero debe plantearse en relación con esta materia, los riesgos que pueden presentarse y la preparación de su organización en la detección y prevención de los mismos.
RECOMENDACIONES PARA EMPRESAS Y AUDITORAS
Para prevenir los ciberataques, el Instituto aconseja que las compañías realicen un análisis detallado de la exposición a los riesgos asociados a la ciberseguridad e implanten una estrategia de seguridad acorde a las necesidades, posibilidades y recursos de cada organización.
Asimismo, señala que deberían construir un modelo de gestión de la seguridad donde, además de las áreas clásicas de la seguridad IT, tengan reflejo capacidades más avanzadas asociadas con los conceptos de ciberseguridad y ciberresiliencia.
En cuanto a la actividad de auditoría interna, apunta que esta ha de evaluar y contribuir a la mejora de los procesos asegurando que los consejos de administración supervisan el riesgo de ciberseguridad, incluyendo dicho riesgo en el plan anual de auditoría y presupuestando los recursos necesarios para realizar los trabajos de auditoría correspondientes y cooperando con las áreas que manejan riesgos cibernéticos para el mantenimiento de controles efectivos.
Te puede interesar: Ciberseguridad corporativa: adelantarse o morir