Ricardo Gameroff

Socio, Kreston BA Argentina, Argentina

Ricardo es un experto en fraude, auditoría y riesgos con más de dos décadas en Ernst & Young (EY), donde trabajó como Socio de Auditoría y Forense en Canadá, Chile y Argentina. Dirigió importantes clientes en los sectores de servicios públicos, comercio minorista, fabricación y minería, como Coca-Cola, McDonald’s, Siemens y Fluor Daniels, entre otros. Ricardo es Censor Jurado de Cuentas (CPA) en Estados Unidos, Chile y Argentina, Examinador de Fraudes Certificado (CFE) y posee un MBA. También es profesor universitario en la Universidad de los Andes y autor de publicaciones sobre el fraude laboral.

La auditoría interna en la era de las ciberamenazas

June 10, 2024

Ricardo Gameroff, Socio Director de Kreston BA Argentina y Director de Desarrollo de Negocio de Auditoría Global de Kreston Global, destaca el papel crucial de la auditoría interna en la lucha contra las ciberamenazas. Su artículo en la revista Audit & Risk, la publicación del Chartered IIA, analiza cómo la evolución de las prácticas de auditoría interna mejora la resistencia frente a amenazas como el ransomware, el phishing, los ataques BEC y la suplantación de marcas mediante una evaluación meticulosa de los riesgos y una supervisión proactiva. Haz clic aquí para acceder a la publicación completa, o lee el resumen a continuación.

La auditoría interna como herramienta defensiva

Las auditorías internas siempre han desempeñado un papel clave en la mitigación de los ciberriesgos y la protección de los activos de la organización. Además, los recientes avances en los procesos de auditoría han ampliado sus capacidades más allá de los métodos tradicionales. Ahora, los equipos de auditoría interna pueden aprovechar las tecnologías innovadoras para adaptarse rápidamente a las ciberamenazas en evolución.

Recomendaciones clave para los equipos de auditoría interna:

Supervisión continua: Utiliza herramientas y análisis automatizados para supervisar la actividad de la red, detectar anomalías e identificar posibles brechas de seguridad en tiempo real.

Mejora los conocimientos de ciberseguridad: Invierte en formación continua y desarrollo profesional para mantenerte al día de las amenazas emergentes y las mejores prácticas.

Integra la analítica de datos: Utiliza la analítica de datos para mejorar la evaluación de riesgos y detectar actividades sospechosas analizando grandes conjuntos de datos en busca de patrones y anomalías.

Colabora con los equipos de TI y seguridad: Trabaja en estrecha colaboración con los departamentos de TI y seguridad para comprender la infraestructura informática de la organización y sus vulnerabilidades, adaptando los procedimientos de auditoría al perfil de riesgo.

Inteligencia artificial ética

Una sólida comprensión de la ética y una cultura corporativa robusta son cruciales para proteger a las organizaciones contra las ciberamenazas. Además, las auditorías internas pueden ayudar a la dirección a controlar y apoyar la cultura organizativa. En consecuencia, esto garantiza que todos los empleados comprendan los comportamientos esperados en relación con la ciberseguridad y la ética. Esto fomenta una buena toma de decisiones y refuerza la gobernanza y los controles.

Con el auge de la IA en la toma de decisiones y la automatización, es esencial garantizar la transparencia, la responsabilidad y unos sistemas libres de prejuicios. Además, los auditores internos pueden ayudar a implantar prácticas éticas de IA auditando los algoritmos de IA y garantizando el cumplimiento de la normativa. La participación temprana en las iniciativas de IA permite a los auditores asesorar sobre los riesgos y sugerir soluciones.

Componentes ciberpreparación

La preparación es clave en la lucha contra las ciberamenazas. Establecer la preparación cibernética de la empresa implica gobernanza, estrategia, respuesta a incidentes y formación de los empleados.

Gobernanza y estrategia: La auditoría interna debe apoyar y asesorar sobre la gestión eficaz de la ciberseguridad, ayudando a establecer políticas, procedimientos y estructuras de responsabilidad claras. Es crucial definir funciones, responsabilidades y objetivos estratégicos alineados con los objetivos empresariales.

Evaluación de riesgos: Las evaluaciones periódicas de riesgos ayudan a identificar y priorizar los ciberriesgos, lo que permite una asignación eficaz de recursos y estrategias de mitigación específicas.

Respuesta a incidentes: Las organizaciones necesitan un plan formal de respuesta a incidentes, con equipos designados y ejercicios regulares de formación. Las medidas proactivas, como la supervisión de la inteligencia sobre amenazas y los sistemas de detección de incidentes, son esenciales para dar respuestas rápidas y eficaces.

Formación de los empleados: Educar a los empleados sobre las ciberamenazas y las mejores prácticas es vital, ya que el error humano sigue siendo una causa común de incidentes. La formación periódica sobre phishing, seguridad de contraseñas, uso seguro de Internet y campañas de concienciación sobre seguridad fomentan una cultura de vigilancia.

Auditoría interna prevención de incidentes

Es difícil encontrar ejemplos de auditorías internas que eviten incidentes de ciberseguridad, ya que los “cuasi accidentes” no se publican. Sin embargo, los ciberataques que han tenido éxito suelen poner de relieve cómo unas prácticas de auditoría eficaces podrían mitigar o prevenir las violaciones.

En la industria del automóvil, la violación de datos de Tesla en 2023 afectó a más de 75.000 personas debido a un “trabajo interno” de dos antiguos empleados. Este incidente subraya la importancia de una formación exhaustiva de los empleados, controles de acceso estrictos, auditorías periódicas y políticas de denuncia para detectar accesos no autorizados y comportamientos de riesgo.

En el sector de los servicios financieros, la filtración de datos de Equifax de marzo de 2017, que afectó a casi 150 millones de personas, fue el resultado de que los atacantes aprovecharan las vulnerabilidades de los sistemas informáticos. Además, aunque los ataques externos son complejos de prevenir, los equipos de auditoría interna que se centran en medidas sólidas de ciberseguridad, prácticas de gestión de datos y controles internos pueden ayudar a detectar las violaciones rápidamente y garantizar una rápida mitigación de los daños y notificación.

Mailchimp, proveedor de servicios de marketing por correo electrónico, se ha enfrentado a numerosas violaciones de datos debido a ataques de ingeniería social contra sus empleados, lo que ha dado lugar a cuentas de usuario comprometidas y a la exposición de datos de clientes. Las auditorías internas deben garantizar que los empleados reciben una formación adecuada en ciberseguridad y evaluar la implantación de la autenticación de dos factores y las prácticas de gestión de identidades. Además, deben existir políticas y sistemas para detectar y mitigar las vulnerabilidades con rapidez y hacer frente a las infracciones sin demora.

A medida que la tecnología evoluciona rápidamente, también lo hacen los riesgos asociados. La auditoría interna debe adaptar sus prácticas y utilizar los avances tecnológicos, como la IA, el análisis de datos y el aprendizaje automático, para identificar proactivamente las posibles vulnerabilidades y predecir las amenazas emergentes. Los equipos de auditoría interna capaces de prever los riesgos futuros pueden proporcionar una valiosa orientación a la dirección, situando a la organización en una posición óptima para responder a los inevitables ciberataques. Para más información sobre cómo implantar protocolos de ciberseguridad en tu empresa, haz clic aquí.

Se avecina la crisis de la deuda argentina de 2025: ¿Puede evitarla el presupuesto de déficit cero de Milei?

Argentina se enfrenta a un importante reto de deuda en 2025, con más de 14.000 millones de dólares en vencimientos y reservas negativas. Explora cómo la estrategia fiscal del gobierno, el apoyo internacional y las políticas favorables a la inversión pretenden evitar el impago y garantizar la estabilidad económica.

Invertir en Argentina: ¿la próxima fiebre del oro para los inversores extranjeros?

Invertir en Argentina puede estar más cerca de lo que cree. Sin embargo, la inversión extranjera directa aumentó un 122,5% en 2022. Explore por qué con Ricardo Gameroff.

Conocimientos