Auditoría Pública nº 73. Revista de los órganos autonómicos de control extreno

como las empresas tendrán que establecer controles en este sentido. 3. CIBERSEGURIDAD Otra de las tendencias importantes en el control in- terno es la denominada Ciberseguridad. La vertiginosa aparición de nuevas tecnologías y su presencia online indudablemente proporciona un valor añadido a las or- ganizaciones, y ningún dispositivo hardware o software existente esta exento de sufrir un ataque informático. Según Javier Carvajal Azcona, en su artículo “Defini- ción de ciberseguridad y riesgo” (2017), la definición de ciberseguridad por parte de ISACA (Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los Sistemas de Información) es la “Pro- tección de activos de información, a través del tratamien- to de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Según indican Samir M. El-Gazzar y Rudolph A. Jacob en su artículo Integrating internal control fra- meworks for effective corporate information technology governance (2017), las tecnologías de la información (en adelante TI) se han convertido en uno de los ac- tivos estratégicos más importantes y una herramienta crítica para garantizar la sostenibilidad y el desarro- llo de un negocio. Se argumenta que la responsabili- dad de diseñar, implementar y mantener muchos de los controles sobre los procesos de negocios de cual- quier organización depende de la Tecnología de la Información. La función de las TI es la de recopilar, convertir, archivar, proteger, procesar, entregar y re- cuperar información de forma segura según sea nece- sario (Abu-Musa, 2008). Muchas organizaciones han estado utilizando varios marcos, como el Control de objetivos para información y tecnologías relacionadas (COBIT), Enterprise Risk Management (ERM) y el Comité de organizaciones patrocinadoras de la Comi- sión Treadway (COSO). Para un gobierno de TI ópti- mo, se sostiene que las organizaciones deben integrar estos marcos. Un marco integrado es uno que vincula los objetivos de control clave con los objetivos estraté- gicos del negocio y, al hacerlo, aborda los principios de gobierno de TI tanto a nivel estratégico como operati- vo, al mismo tiempo que alinea la comprensión de TI y la gestión empresarial de las áreas clave de riesgo que caracterizan los objetivos de la organización (Goosen y Rudman, 2013). Además, se espera que esta alineación fundamental elimine los controles y procesos innece- sarios que, a su vez, ayudan a mejorar el gobierno de TI y el cumplimiento normativo. Por todo esto, tal y como indica el Instituto de Audi- tores internos en “Ciberseguridad: Una guía de supervi- sión” (2016), la ciberseguridad representa actualmente una de las principales preocupaciones de todas las em- presas e instituciones, con independencia del sector o ámbito al que pertenezcan. El IAI, continúa diciendo que las ciberamenazas que han provocado algunas de las mayores infecciones y trastornos recientes en materia de seguridad informáti- ca son las siguientes: • Zeus. Malware3 orientado al robo de información personal de los usuarios: credenciales de cuentas de co- rreo electrónico, redes sociales, datos de servicios finan- cieros, etc. • Flame y Agent BTZ. Software espía con gran ca- pacidad de propagación capaz de obtener capturas de pantalla, pulsaciones de teclado, control del bluetooth, webcam o grabación de llamadas. Asimismo, posee la capacidad de transmitir la información recopilada ocul- tándola mediante técnicas de cifrado. • Carbanak. Ataque Persistente Avanzado (APT) di- señado y dirigido al sector bancario, capaz de alterar y manipular el funcionamiento de las redes y software de control de los cajeros automáticos. • Ransomware. También conocido como el “virus de la policía”, cifra la información contenida en el sistema del usuario infectado, solicitando una compensación económica para su desbloqueo. • Stuxnet. Software malicioso descubierto en 2010, capaz de controlar y manipular software de control y su- pervisión de procesos industriales (SCADA). Por todos estos motivos, cada vez más, los ciberata- ques suponen uno de los principales riesgos de control interno a través de los que se puede captar información vital de una empresa. Por tanto, en el control interno, se deben integrar controles para poder evitar que ocurran estos sucesos o, en el caso de que ocurran, se puedan detectar y mi- nimizar los efectos que puedan producir. En el análisis de riesgos del control interno de una empresa, se deben tener en cuenta las posibles debilidades con respecto a la ciberseguridad. El Instituto de auditores internos, comenta en la guía de ciberseguridad que una buena aproximación, en cuanto a los controles a establecer, puede consistir en in- tegrar la ciberseguridad en el sistema comúnmente im- plantado en la mayoría de las organizaciones (modelo de las tres líneas de defensa). A continuación, se indica un esquema con el modelo de las tres líneas de defensa expuesto por la European Confederatión del Instituto de auditores internos internacional. 46 Junio nº 73 - 2019 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS