Internet es la selva: todo y todos pueden ser hackeados

Las organizaciones se enfrentan hoy a riesgos más profundos, complejos y difíciles de detectar que nunca antes. La tecnología y digitalización de procesos, así como el almacenamiento online de la información, han situado a las empresas en la diana de ciberdelincuentes, que cada vez sofistican más sus ataques y dañan la reputación empresarial.

Con el objetivo de analizar y asesorar a las organizaciones en este escenario de incertidumbre digital, Deloitte ha celebrado en Sevilla un desayuno de trabajo con destacados profesionales de su línea de Risk Advisory, con un enfoque eminentemente práctico.

Daniel Carrasco y Ana Belén Soriano, socios de Risk Advisory de Deloitte, dieron la bienvenida a las empresas e instituciones presentes, ante los que afirmaron que "con estos encuentros buscamos compartir conocimiento entre las empresas andaluzas y generar comunidad aquí, con un foco de expertise que por lo general se concentra en Madrid y Barcelona".

Medios disponibles, falta de madurez

En un área en la que la planificación es fundamental, Antonio Valverde, manager de Risk Advisory de la consultora, explicó que "el 61% de las empresas no cotizadas afirma que dispone de mecanismos formales para la identificación y gestión de riesgos".

Aun así, "están lejos de tener modelos maduros que permitan su monitorización a través de cuadros de mando y métricas de probabilidad de riesgos, así como comunicaciones puntuales a los órganos de gobierno de sus organizaciones. Falta madurez y rodaje".

Osborne: riesgos integrados en la estrategia corporativa

Rafael Parada, director de Auditoría y Control Interno de Grupo Osborne, habló de su experiencia al frente de esta área en la multinacional porteña, así como de los retos que suponen los riesgos en el día a día de una empresa bicentenaria como ésta.

"Desde mi llegada, en Osborne integramos Auditoría, Control Interno y Gestión de Riesgos en un mismo modelo, así como ciertos proyectos transversales que consideramos podrían beneficiarse de estas sinergias", explicó Rafael. En este sentido, el directivo afirma que "hace falta compromiso por parte del Consejo de administración y del Comité de dirección de toda empresa para poder llevar a cabo una gestión de riesgos eficaz".

A su juicio, "se necesita a su vez independencia e influencia en la estructura de la organización y un alineamiento claro de expectativas y objetivos generales. Tampoco podemos olvidar aportar valor, a través de recomendaciones y planes de acción".

El futuro (delito) ya está aquí

"La inteligencia artificial ya posibilita el vishing -phishing o suplantación de identidad mediante la voz- como medio para estafar a empleados de una compañía simulando perfectamente la voz del CEO, por ejemplo", explicó David Barquero, gerente de Risk Advisory.

"Asimismo, la tecnología 5G y el Internet of Things (IoT) -por el cual cada vez más aparatos de nuestro entorno están conectados a Internet-, posibilitan que todo sea hackeable, permitiendo apagar las luces de tu casa, espiarnos por nuestro altavoz inteligente o incluso desactivando el termo de agua caliente en casa", añadió.

Por su parte, para David Montero, director de Ciberseguridad de Deloitte, "Internet es la selva: todo y todos pueden ser hackeados". Por ello, "debemos cambiar la creencia histórica que, metiendo únicamente tecnología en nuestras empresas, conseguimos protegernos de los ciberataques. Se requiere afinar, gestionar y operar dicha tecnología con personal especializado para lograr máxima eficiencia. No construimos una casa por el tejado, con la ciberseguridad pasa igual". Por ello, los objetivos de un plan director de ciberseguridad deben ser realistas y cumplibles, "si no, se abandonan".

Por todo ello, "mucha información de la que se vende en internet proviene de un mal uso de los recursos que le damos a nuestros empleados, como la cuenta de correo corporativa. A través de ella piden comida, entran en redes sociales, etc., convirtiéndose en caballos de Troya en nuestras organizaciones", apunta David.

No todo está perdido

Sin embargo, la tecnología también aporta herramientas con las que combatir esta nueva oleada de riesgos. "Risk Mining, por ejemplo, ayuda a las organizaciones a visualizar y reconstruir todos los procesos de negocio de la empresa –afirma Javier Rocamora, gerente de Risk Advisory- y analizar datos de procesos operativos creados por sistemas de IT, proporcionando mayor transparencia y control de los procesos de negocio, paso a paso".

En este sentido, "sus algoritmos altamente eficientes pueden analizar grandes cantidades de datos en tiempo real. Real Mining proporciona información que abarca a toda la empresa, en torno a los datos que generan los empleados con su trabajo diario, con los que es posible analizar y corregir la eficiencia diaria", añadió.