En un mundo donde las amenazas cibernéticas son cada vez más frecuentes, la seguridad de la información se ha convertido en una prioridad para las empresas. Recientemente, incidentes significativos como los ataques a Optus, Medibank y Latitude Financial han dejado a millones de australianos preocupados por la protección de sus datos personales. A pesar de los esfuerzos tecnológicos, la pregunta persiste: ¿por qué continúan ocurriendo estas brechas de seguridad?
La percepción común sostiene que la ciberdelincuencia es inevitable debido a la complejidad de los sistemas y a la sofisticación de los atacantes.
Sin embargo, es crucial reconocer que el problema de la ciberseguridad no es solo técnico, sino que también debe ser abordado desde una perspectiva de gobernanza.
La importancia de los auditores en la ciberseguridad
Un aspecto sorprendente que ha emergido de la investigación es el papel de los auditores en la defensa contra ataques cibernéticos. Estos profesionales, que a menudo son pasados por alto, pueden desempeñar un papel fundamental en la prevención de brechas de seguridad.
Cuando un auditor ha trabajado con una empresa que ha sufrido un ataque, su experiencia les lleva a ser más rigurosos en las evaluaciones de otros clientes.
Preguntas difíciles en la evaluación
Los auditores son responsables de evaluar si los sistemas de reporte financiero de una empresa están funcionando adecuadamente. Esto incluye el análisis de controles internos, que son mecanismos diseñados para prevenir errores y fraudes.
Aunque no son expertos en tecnología, su labor consiste en cuestionar a fondo cómo se han diseñado los sistemas, quiénes son los responsables de su supervisión y si se comprenden los riesgos asociados.
Resultados de la investigación
Un estudio que analizó más de 2,800 empresas en Estados Unidos durante un período de 16 años proporciona información valiosa sobre este tema. Los auditores que habían lidiado con una brecha de seguridad se mostraron mucho más críticos en sus evaluaciones de otros clientes.
Se observó que estos auditores eran un 21% más propensos a identificar debilidades significativas en los sistemas de control.
Este comportamiento no es aleatorio; las deficiencias encontradas se relacionan estrechamente con la supervisión tecnológica y el control de accesos, aspectos que están intrínsecamente ligados al riesgo cibernético. Además, aquellos auditores que emitieron informes favorables sobre el estado de los controles internos de una empresa encontraban que estas organizaciones eran menos propensas a sufrir brechas en el futuro.
Un cambio de mentalidad
Las entrevistas realizadas con auditores que habían trabajado con empresas afectadas por brechas cibernéticas revelan un cambio significativo en su enfoque. Muchos describieron cómo, anteriormente, aceptaban la información proveniente de los sistemas sin cuestionar su validez. Sin embargo, tras experimentar un ataque, se volvieron más escépticos, preguntándose continuamente: “¿es esto realmente preciso?” Este cambio de mentalidad los lleva a involucrar a expertos en tecnología desde etapas tempranas y a dedicar más tiempo a probar controles.
Implicaciones para Australia
A pesar de que la investigación se basa en datos de Estados Unidos, sus implicaciones son muy relevantes para Australia, que ha enfrentado algunos de los ataques cibernéticos más notorios en los últimos años. Las autoridades reguladoras, como la Comisión de Valores e Inversiones de Australia, han comenzado a enfatizar que la resiliencia cibernética es una responsabilidad fundamental de la gobernanza empresarial.
Las empresas australianas, especialmente aquellas auditadas por grandes firmas internacionales como PwC, Deloitte, EY y KPMG, pueden beneficiarse de las lecciones aprendidas en otros países. Esto podría ayudar a prevenir futuras crisis cibernéticas y restaurar la confianza pública en la seguridad de los datos.
Auditores y la evolución de la ciberseguridad
Es importante aclarar que, aunque los auditores no son expertos en ciberseguridad, ofrecen una perspectiva independiente y crítica que muchas organizaciones pueden carecer. Su trabajo se realiza a menudo en segundo plano, antes de que los consumidores sientan los efectos de una brecha. Para los inversores, la calidad de las auditorías es un indicador valioso; las empresas auditadas por profesionales con experiencia en brechas son estadísticamente menos propensas a ser hackeadas posteriormente.
A medida que las amenazas cibernéticas evolucionan, es probable que la profesión de auditoría también deba adaptarse. Con un aumento en la vigilancia regulatoria y una confianza pública frágil, aprender de los errores pasados, incluso de aquellos ocurridos en el extranjero, será clave para evitar que Australia se convierta en la próxima víctima de un escándalo de datos.
