Cuando Optus, Medibank y el prestamista no bancario Latitude Financial sufrieron varios ataques cibernéticos en los últimos años, millones de australianos sintieron las consecuencias: datos personales robados, servicios interrumpidos y semanas de incertidumbre. Cada violación planteó la misma pregunta incómoda: ¿Cómo puede seguir sucediendo algo como esto?
A los australianos se les suele decir que el cibercrimen es inevitable. Las empresas almacenan enormes cantidades de datos. Los sistemas son complejos. Los atacantes son sofisticados. Las violaciones parecen ser una cuestión de “cuándo” más que de “si”.
Por tanto, las respuestas tienden a centrarse en la tecnología: firewalls, cifrado, actualizaciones de software y formación de los empleados. Todos estos son importantes. Pero los riesgos cibernéticos no son sólo un problema técnico. También es una cuestión de gobernanza.
Nuestra investigación sugiere que muchas empresas ya cuentan con una línea de defensa más silenciosa contra los ataques, aunque muchas personas rara vez piensan en ello: los auditores, un tipo especial de contable financiero.
Hemos descubierto que los auditores que han trabajado anteriormente con una empresa que se ha visto afectada por una vulneración cibernética están mucho más alerta ante todos los demás clientes. Esta experiencia cambia la forma en que cuestionan los sistemas, los controles y los riesgos, incluso en empresas que nunca han sido pirateadas.
Haz las preguntas difíciles
Hay una serie de decisiones detrás de cada sistema de una empresa: quién es responsable, cómo se monitorean los riesgos, si se responde a las alertas y si los controles funcionan en la práctica. Aquí es donde entran en juego los auditores.
Los auditores son profesionales independientes que examinan si los sistemas de información financiera y los controles internos de una empresa funcionan correctamente. Los controles internos son los controles y procesos que ayudan a prevenir errores, fraudes o fallas del sistema.
Los auditores no escriben código ni administran servidores. Pero plantean preguntas difíciles sobre cómo se diseñan los sistemas, quién los supervisa y si la dirección comprende los riesgos.
A medida que las empresas se vuelven más digitales, los sistemas financieros y de TI están cada vez más entrelazados. Un error en uno puede afectar rápidamente al otro.
Qué hicimos y qué encontramos
Nuestra investigación examinó más de 2800 empresas en los Estados Unidos durante un período de 16 años. Hicimos un seguimiento de lo que sucedió después de que el cliente de un auditor sufriera una vulneración cibernética y de cómo esa experiencia afectó el trabajo del auditor con otros clientes.
El patrón era claro. Los auditores que habían tratado con un cliente en incumplimiento se volvieron más duros en otros lugares. Descubrimos que tenían un 21 % más de probabilidades de detectar vulnerabilidades graves en los sistemas y controles de sus otros clientes.
No fueron decisiones aleatorias ni defensivas. Las vulnerabilidades a menudo estaban relacionadas con la supervisión de la tecnología y los controles de acceso, áreas estrechamente vinculadas con los riesgos cibernéticos.
Igualmente importante es que si estos auditores proporcionaron un certificado de buena salud (es decir, no encontraron problemas de control importantes), estas empresas tenían menos probabilidades de sufrir una vulneración cibernética más adelante. Sus evaluaciones limpias fueron más confiables.
Una mentalidad más dura
También entrevistamos a auditores que han trabajado con clientes que sufrieron infracciones. Sus respuestas mostraron un cambio de mentalidad. Uno nos dijo:
Solíamos decirle a cualquier cosa que saliera del sistema: “Está bien porque salió del sistema”. Ahora siempre preguntamos: “¿Es esto realmente correcto?”
Otros informaron haber dedicado más tiempo a probar controles, cuestionar suposiciones de gestión y contratar antes a especialistas de TI. Experimentar una violación de seguridad hizo que los riesgos fueran tangibles en lugar de abstractos.
Como lo expresó un encuestado, las violaciones de seguridad se convierten en algo que puede “transferirse a diferentes clientes”.
Lecciones para Australia
Aunque nuestro estudio utiliza datos de EE. UU., las implicaciones para Australia son importantes.
Australia ha sufrido algunas de las infracciones cibernéticas más destacadas del mundo en los últimos años. El cibercrimen es una de las amenazas de más rápido crecimiento para las empresas australianas.
Los reguladores están reaccionando. La Comisión Australiana de Valores e Inversiones ha advertido a las juntas directivas que la resiliencia cibernética es ahora una cuestión clave de gobernanza. La Autoridad Australiana de Regulación Prudencial exige que las instituciones financieras demuestren prácticas sólidas de seguridad de la información.
Hay otra razón local por la que esto es importante. Las empresas cotizadas más grandes de Australia son auditadas en gran medida por firmas globales como PwC, Deloitte, EY y KPMG. Estas empresas intercambian métodos y conocimientos a través de fronteras.
Esto significa que las lecciones aprendidas de violaciones en el extranjero pueden influir en la práctica de auditoría en Australia antes de que ocurra la próxima crisis.
Otra dimensión del riesgo cibernético
Los auditores no son expertos en ciberseguridad y la responsabilidad recae en la dirección y los consejos de administración.
Pero los auditores aportan escepticismo, independencia y una perspectiva de todo el sistema de la que muchas organizaciones carecen internamente. Su trabajo suele realizarse en silencio, mucho antes de que los consumidores sientan el impacto de una infracción.
También hay una señal para los inversores. Las empresas auditadas por auditores con experiencia en violaciones de datos tienen estadísticamente menos probabilidades de ser pirateadas posteriormente, especialmente si esos auditores brindan una evaluación clara. La calidad de la auditoría es otra dimensión del riesgo cibernético.
A medida que aumentan las amenazas cibernéticas, la profesión contable puede verse obligada a evolucionar. Este desarrollo podría ser oportuno para las empresas australianas. A medida que la confianza pública se debilita y aumenta el escrutinio regulatorio, aprender de violaciones pasadas, incluso en el extranjero, puede ayudar a prevenir la próxima gran violación de datos en nuestro país.
Este artículo se volvió a publicar en The Conversation. Fue escrito por: Charlene Chen, Universidad Macquarie
Leer más:
Charlene Chen no trabaja, asesora, posee acciones ni recibe financiación de ninguna empresa u organización que se beneficiaría de este artículo, y no ha revelado afiliaciones relevantes más allá de su empleo académico.
About The Author
