Por: CP Iván Rodríguez. Colaborador de Auditool.
Los ataques perpetrados por los ciberdelincuentes se dirigen a todo tipo de organizaciones sin importar su tamaño. Sin embargo, ciertos ataques van dirigidos a pequeñas empresas (incluidas las firmas de auditoría), puesto que no cuentan con medidas de seguridad de datos muy robustas, lo que las hace más vulnerables[1]. Teniendo en cuenta que las firmas de auditoría manejan información y datos financieros privados, se vuelven objetivos atractivos para los piratas informáticos.
Por lo anteriormente expuesto, es necesario que las firmas de auditoría adopten medidas que protejan su reputación y mantengan la confianza de sus clientes. Algunas de estas medidas son invertir en seguros cibernéticos e infraestructura de ciberseguridad. También, es necesario asegurar que los datos privados de la firma y la información confidencial que se maneja estén seguros para, de esta manera, mitigar los riesgos y reducir las pérdidas al mínimo. Esta medida implica conocer claramente las necesidades de ciberseguridad, los tipos de ciberataques, los límites de cobertura de seguros y contratos y los efectos de no atender las políticas de protección de datos.
En la actualidad, existen diferentes pólizas de ciberseguridad en el mercado que añaden una capa adicional de protección y apoyo financiero a las firmas frente a los riesgos cibernéticos[2]. Normalmente, estas pólizas cubren eventos tales como los costos de recuperación de datos ante su pérdida, los ingresos no percibidos a causa de interrupciones empresariales de un evento de ciberseguridad y la pérdida de fondos transferidos por eventos de fraude e ingeniería social. De ahí la importancia de saber elegir una póliza apropiada a las necesidades específicas de la firma.
En este sentido y según lo plantea el artículo The crucial role of cybersecurity for accounting firms, es conveniente comunicarse con el área de tecnología de la información (TI) de la firma de auditoría para comprender las medidas necesarias para la protección frente a violaciones de datos, la mejora de la ciberseguridad en conjunto y, sobre esta base, contar con mejores elementos de juicio para transmitir esa información a los proveedores de seguros y, de esta manera, obtener una mejor cobertura para los riesgos previstos, mediante una póliza personalizada.
Uno de los beneficios que tiene la contratación de una póliza de ciberseguridad es que, diligenciar la solicitud, es similar a llenar una pequeña lista de verificación que puede ayudarle a la firma a pensar en temas que desea considerar, implementar o, incluso, en la forma en que se quieren administrar ciertos recursos tecnológicos.
Ahora bien, aunque un seguro cibernético puede proporcionar apoyo financiero después de una violación de datos o un ataque cibernético, posiblemente no cubra todos los incidentes o pérdidas. Por ello, es necesario que las firmas adopten medidas de ciber protección adicionales al seguro, de manera que se logre una apropiada mitigación de riesgos. Algunas medidas para mitigar riesgos son las siguientes:
Protección de datos confidenciales e integridad de la información
-
Políticas de seguridad de la información: la firma debe desarrollar y establecer políticas claras de seguridad de la información que aborden la confidencialidad, integridad y disponibilidad de los datos. Así mismo, debe asegurarse de que todos los empleados estén familiarizados con estas políticas, lo cual puede lograrse con capacitaciones periódicas.
-
Acceso controlado: es conveniente implementar sistemas de gestión de accesos, de manera que se garantice que únicamente las personas autorizadas tengan acceso a la información confidencial. El uso de contraseñas seguras y considerar la autenticación de múltiples factores introduce un nivel adicional de seguridad.
-
Cifrado de datos: utilizar cifrado para proteger los datos confidenciales, tanto en reposo como durante la transmisión, es una buena medida de protección. También hay que asegurarse de que los dispositivos de almacenamiento y las comunicaciones estén protegidos mediante cifrado.
-
Copias de seguridad con frecuencia regular: realizar copias de seguridad regulares de los datos críticos y almacenarlas en un lugar seguro es una medida de seguridad sencilla, pero efectiva. Además, debe verificarse con cierta periodicidad la integridad de las copias de seguridad y asegurarse que se puedan restaurar correctamente.
Disponibilidad de los sistemas
Del mismo modo, se debe garantizar que los sistemas cumplan con sus funciones críticas y que los usuarios puedan acceder a ellos sin interrupciones significativas en los servicios debido a ciberataques. Algunas prácticas comunes para garantizar la disponibilidad de los sistemas incluyen:
-
Diseño redundante: implementar arquitecturas redundantes, tales como servidores duplicados y sistemas de almacenamiento redundante, pueden mitigar el riesgo de fallo.
-
Monitoreo continuo: utilizar herramientas de monitoreo para supervisar el rendimiento del sistema permite identificar problemas antes de que afecten la disponibilidad y facilitan adoptar una respuesta rápida a posibles interrupciones.
-
Mantenimiento programado: realizar mantenimiento de forma programada, para evitar interrupciones no planificadas, es una medida práctica de seguridad para garantizar la disponibilidad de los sistemas.
Cumplimiento normativo
El cumplimiento normativo se refiere a la adhesión de una organización a las leyes, regulaciones y estándares relevantes en su industria. Algunas consideraciones para el cumplimiento normativo incluyen:
-
Seguridad de la información: cumplir con estándares de seguridad de la información, tales como ISO 27001, facilita la protección de los datos y la privacidad.
-
Protección de datos personales: el cumplimiento de normas relativas a la protección de datos según la jurisdicción donde se opera y de las disposiciones de la industria garantiza confianza en los clientes y evita riesgos legales.
Finalmente, otras medidas tales como la gestión de riesgos y auditorías internas contribuyen a prevenir fraudes y manipulaciones en los datos. Debe tenerse en cuenta que un fuerte enfoque en la ciberseguridad demuestra un compromiso con la protección de la información del cliente, fortaleciendo la confianza y la reputación de la firma.
[1] Tomado de: https://cepymenews.es/estadisticas-ciberseguridad-pymes/
[2] Tomado y adaptado de: https://www.aicpa-cima.com/professional-insights/article/the-crucial-role-of-cybersecurity-for-accounting-firms
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.