Tras la pandemia, la dirección de las empresas valora la auditoria y el GRC como un aporte de valor

Tras la pandemia, el teletrabajo, la premura en organizarlo y el papel de la tecnología y la privacidad para implantarlo con garantías ha dotado de mayor valor y visibilidad a los auditores de sistemas y al gobierno, el control del riesgo y el cumplimiento normativo en las empresas e instituciones. La ciberseguridad  ya no es un lujo para los directivos; el COVID 19 les ha revelado que es una necesidad que aporta valor a la compañía.

Estas son algunas de las conclusiones de la  quinta y última sesión online del III Congreso de Auditoría & GRC, (Gobierno, Riesgo y Cumplimiento) de la asociación de profesionales de la auditoría, ciberseguridad y privacidad ISACA Madrid Chapter, con 2600 personas inscritas de 19 nacionalidades distintas para las 5 sesiones del evento y 800 participantes en esta última jornada.

La jornada arrancó con la ponencia «El AudiTHOR: la crisis pasará, auditoría evolucionará«, en la que  Arnulfo Espinosa Domínguez, CISA, CISM, CRISC, CSXF, Cybersecurity Audit y Presidente del CT de Ciberseguridad y Tecnología IMEF, quien explicó el cambio de visibilidad y envergadura de los profesionales de la ciberseguridad debido a la incidencia del COVID 19 porque “nadie tenía contemplado los riesgos de pandemia. Los auditores estábamos en la tercera línea de defensa, pero los roles se han movido con la extraordinaria situación”.

Arnulfo explicó cómo ser auditor auditando desde casa, “mediante el control de las herramientas como VPN, el monitoreo de la contratación del uso de SaaS o Shadow IT, confirmar que se cuenta con suficientes licencias y equipos, las cláusulas de descuento de servicios y la realización de un monitoreo continuo”.

Sin embargo, en el reinicio después de la crisis, según este experto “debemos prepararnos para la nueva normalidad  y cumplir las promesas; implantar las auditorías continuas, que sean ágiles, que se adapten a una transformación digital acelerada, como drones o videoconferencias, y nuevos retos relacionados con la privacidad, como a dónde va la información sobre recogida de datos basados temperatura o reconocimiento facial, que se implanten en la nueva normalidad».

Espinosa insistió en que “la crisis va a pasar y la auditoría deberá evolucionar, ser flexible y comprensiva y conseguir que los auditores seamos asesores de confianza de la dirección. Debemos dar un paso al frente porque la ciberseguridad tiene que avanzar debido al gran avance de exposición de los datos al ciberespacio y la conectividad directa al mismo”.

Ciberseguridad en tiempos de teletrabajo

Sobre «Auditoría y Ciberseguridad en tiempos de Teletrabajo» debatieron en la mesa redonda Rosa Damaris Díaz de Tejada, Presidenta de ISACA Santo Domingo, Isabel Gómez, Responsable de Área de Ciberseguridad de Audea, Ricardo Martínez, Socio de Riesgos de Deloitte España y líder Global de Riesgos para la Industria de Consumo de Deloitte, Alejandro Rembado, Director Auditoría Interna – Grupo Telefónica – Movistar Argentina/Uruguay, y expresidente de ISACA Madrid y Carlos López, Presidente de ISACA Valencia, como moderador.

Debido a la obligada implantación del teletrabajo “los ciberatacantes  han aprovechado y se ha visto la ingente cantidad de phishing, malware, las continuas videoconferencias e irnos a casa sin estar bien preparados. Para las empresas ha sido un reto establecer mecanismos novedosos para poder con todo esto” según introdujo Rosa Damaris.

Ricardo Martínez aportó una visión positiva, “porque la obligación nos ha permitido poner a prueba nuestras infraestructuras y sobre todo la concienciación de empleados y de la dirección de la empresa”. Así, se han detectado necesidades que ha habido que implantar; han cobrado importancia las auditorías de los procesos industriales (fábricas de mascarillas, por ejemplo) y del internet de las cosas,  y van a cambiar la gestión de los riesgos contemplando terceros, el RGPD, etc.

Según Martínez, “la utilización de VPNs de calidad y la concienciación sobre la utilización del mail, las RRSS, las fakes news y las apps móviles son fruto de esta nueva realidad con la que podremos demostrar que la ciberseguridad no es un lujo, sino una necesidad, ante la dirección de algunas empresas que hasta ahora así lo pensaban. Esta crisis ha acelerado mucho la transformación digital de nuestras empresas”.

Alejandro Rembado apuntó que se han tenido que relajar le seguridad informática al utilizar cualquier dispositivo de la casa para conectarse, o tener que permitir que los hijos se conecten con el equipo de la empresa porque no tienen otro, “por lo que se exponen a más riesgos. Hoy el mundo está globalizado, los datos de las compañías están fuera en una nube y la evolución de la auditoría informática tiene que acompañar a la evolución de sistemas y tecnología”.

Los participantes coincidieron en que los departamentos de auditoría interna van a variar y superarán a la auditoría de negocio, que la ciberseguridad tiene que avanzar debido al gran avance de exposición de los datos al ciberespacio y la conectividad, que el papel de los auditores debe aumentar para entrar en el papel de protección de la reputación de la compañía y asegurar a la dirección de la empresa que esta está segura.

También coincidieron en el cambio de las amenazas y riesgos, por lo que debe cambiar el perfil del auditor, para hacerlas con inmediatez, dinamismo y autenticidad. Para los miembros de la mesa, se ha producido un cambio generacional y hay diferencia entre los actuales auditores y los nuevos, que son becarios “centenials”. Los auditores deben tener un perfil más tecnológico para evitar las tareas rutinarias que no agregan valor y  concentrarse en el análisis. Se necesitan, según indicaron, personas que sepan de procesos, de matemáticas, de finanzas… para que puedan auditar universos y no muestras.

Para ellos, según explicó Isabel Gómez, “es importante, como lo hace ISACA, compartir información, criterios y fórmulas” sobre lo que Ricardo Barrasa, presidente de la entidad organizadoras explicó su labor a la hora de “formar a los auditores y organizar cursos de introducción a la auditoría tecnológica y la ciberseguridad”.

El congreso finalizó con la  presentación de los resultados del I Estudio del Estado de Situación de la Auditoría&GRC en España y Latinoamérica a cargo de Erik de Pablo, Director de investigación de ISACA Madrid y con el resumen y las conclusiones de los contenidos y Conclusiones de las cinco jornadas del III Congreso de Auditoría & GRC, a cargo de Vanesa Gil, Responsable del Congreso y también miembro de la Junta Directiva ISACA Madrid.