J. Cohen: "La ciberseguridad en auditoría debe ser una inversión"
30.07.2024. La preocupación por la ciberseguridad no deja de crecer en el mundo de la auditoría. Desde Tarlogic, empresa con sede en Galicia puntera en este ámbito, dos de sus expertos justifican esa preocupación y ponen el acento en el asesoramiento de las compañías y en ver la seguridad de los datos como una inversión. “La ciberseguridad debe ser una inversión en una empresa. Es muy importante garantizar la mayor protección y confidencialidad de los datos que manejamos para ser fiables”, señala su directora de Ciberinteligencia, Jessica Cohen. El director del área de BlackArrow de la compañía, José Antonio Lancharro, apunta a la concienciación como un factor muy importante en el sector de la auditoría, y enfatiza que, en términos de negocio, “detectar un problema desde las primeras etapas es muchísimo más barato que gestionarlo cuando ya has tenido un incidente”.
¿Por qué recomendaríais a los profesionales de auditoría que se preocupen por la ciberseguridad?
Jessica Cohen (J.C.): Debería ser una preocupación para cualquier profesional hoy en día porque existen ciertas obligaciones en el trato con terceros y sus datos. Un auditor maneja una elevada cantidad de información de terceros que continuamente se somete a distintas revisiones. Desde un punto de vista de compliance acata la obligación de tener ese tipo de información protegida, pero todos deberían preocuparse porque estamos hablando de la credibilidad del trabajo del sector. Es algo que impacta en la reputación y la imagen.
José Antonio Lancharro (J.A.L.): Todos los días vemos en la prensa casos de empresas afectadas por ciberataques. Que tus clientes te perciban como un proveedor no custodiable es un tema muy sensible de cara a la propia continuidad del negocio. Para una empresa pequeña puede significar que nadie más la vuelva a contratar. El coste de hacer las cosas bien desde el principio o tener que corregirlo cuando ya está montado es tremendamente diferente, así que vale la pena que las empresas de auditoría gestionen de la mejor manera posible sus procedimientos seguros desde el principio.
¿Son los auditores un colectivo especialmente vulnerable a los ciberataques?
J.A.L.: Sí, la auditoría es uno de los colectivos más afectados por los ciberataques. En cuanto a la información que gestiona, es muchísimo más sensible una empresa de auditoría que una que, por ejemplo, se dedique a vender tornillos. Y es cierto que las empresas más grandes suelen tener una práctica de seguridad más madura. Eso favorece que las medianas y pequeñas sufran un impacto más severo porque no tienen las herramientas para detectarlo o contenerlo. Y digo afectadas, y no atacadas, porque los ataques son indiscriminados.
J.C.: Sí, a veces caemos en el error de pensar “¿por qué van a ir contra mí?”, pero no todos los ciberataques son dirigidos de forma sofisticada. Es erróneo creer que siempre va a haber una acción dirigida por la información que una empresa maneja, porque se producen muchísimos ataques generales que aprovechan vulnerabilidades de manera indiscriminada, a quien caiga.
Cohen: "A veces caemos en el error de pensar
‘¿por qué van a ir contra mí?’, pero no todos los
ciberataques son dirigidos de forma sofisticada”
¿Es caro disponer de sistemas de ciberseguridad para un profesional o una sociedad de auditoría?
J.C.: El problema es ver la seguridad como un gasto. La ciberseguridad debe ser una inversión en una empresa. Y volvemos a la parte inicial, es muy importante garantizar la mayor protección y confidencialidad de los datos que manejamos para ser fiables.
J.A.L.: En términos relativos no es caro en absoluto. Estamos hablando de algo residual en el presupuesto de una compañía, donde se puede gastar mucho más dinero en licencias de alguna herramienta que en ciberseguridad. Detectar un problema de seguridad desde las primeras etapas con una herramienta, un diseño seguro o unos procedimientos es muchísimo más barato que gestionar un problema de seguridad cuando ya has tenido un incidente. Tradicionalmente, todos medimos el retorno de inversión en función de cuánto vamos a ganar, pero en este caso lo que debemos pensar es cuánto no vamos a perder. El escenario más caro de todos es no apostar por la ciberseguridad.
¿Qué tipo de empresas son más vulnerables a los ciberataques?
J.A.L.: Aunque los ataques son indiscriminados, lo que vemos es que las empresas que manejan más información sensible, como en el sector financiero o el de la salud, son los casos más sonados. Y el sector concreto de auditoría es crítico ante los ciberataques porque contempla información muy sensible de un cliente. No sólo financiera, sino también de cómo se funciona internamente, lo que puede ser de gran utilidad para un segundo ataque. Entre las empresas más atacadas, los “malos” suelen rastrear de forma indiscriminada sus servicios expuestos en Internet, lanzan prácticas como el phishing para ver qué es lo primero que cae, etc.
Lancharro: "Cuando una empresa no apuesta
por la ciberseguridad, por lo general no es por
un tema de dinero, sino de falta de asesoramiento
sobre los riesgos que existen”
¿Cómo suelen reaccionar las empresas cuando hay un problema de este tipo?
J.C.: Hay entidades muy resilientes que son capaces de detectar y responder en poco tiempo, incluso antes de que una brecha se convierta en un incidente. Otras que, por su tipo de negocio, tienen sistemas cifrados o de backup bien montados para ser resilientes ante el ataque. Y otras que ven expuesta su información más sensible por no estar preparadas.
¿Creéis que hay suficiente conciencia en el mundo profesional sobre la importancia de la ciberseguridad?
J.C.: La cosa va por barrios. Hay empresas con una conciencia muy alta sobre la ciberseguridad y otras que ni siquiera la conciben. Es, principalmente, una cuestión de concienciación.
J.A.L.: Me atrevería a decir que muchas empresas ni siquiera son conscientes del riesgo que corren. Nosotros trabajamos mucho con clientes del Ibex con muy alta conciencia porque son muy sensibles. Pero, a veces, te encuentras con compañías con las que te llevas las manos a la cabeza y, hablando con ellas, te das cuenta de que no es un tema de voluntad, sino de concienciación. Cuando una empresa no apuesta por la ciberseguridad, por lo general no es por un tema de dinero, sino de falta de asesoramiento sobre los riesgos que existen. Bien por ignorancia o por no ser conscientes del riesgo al que se exponen, las empresas sin seguridad son candidatas a ser víctimas antes o después.
Fotografía principal: Reunión de comité directivo del ICJCE Galicia en Vigo. Punto GA-Miguel Riopa.
