Con la exposición “Ciberseguridad: Enfrentando las amenazas cibernéticas actuales”, la Escuela de Auditoría conmemoró en el Campus Santiago de la Universidad de Valparaíso el aniversario número 53 de la carrera.

El evento, que se realizó en el teatro del recinto capitalino, contó con la presencia del director electo de la Escuela de Auditoría, Ricardo Espinoza; los jefes de carrera subrogantes en Valparaíso y Santiago, Héctor Fuentes y Orlando Campillay, respectivamente; la directora del Campus Santiago, Valeria Scapini, docentes, estudiantes, funcionarios y funcionarias.

Las exposiciones estuvieron a cargo de Ricardo Céspedes y Cristian Sepúlveda, ambos de la auditora EY. Moderó la actividad el coordinador de Vínculos de Auditoría en Santiago, Gonzalo Basaure.

Los jefes de carrera destacaron que los y las auditoras de la UV han sabido ganarse un prestigio en el país y adaptarse rápidamente a los cambios tecnológicos. En ese sentido —expresaron—, para seguir en la misma senda las nuevas generaciones de profesionales deben estar al día en materias que son cada vez más importantes para las empresas, como es la ciberseguridad.

“En estos 53 años, nuestra carrera ha ido mutando sobre la base de la tecnología, ya que hemos estado muy de cerca con ella. Hoy día el mayor conocimiento de todos los aspectos tecnológicos son los que ustedes van a empezar a manejar, como dijo el profesor Fuentes, porque esto es una posta. Y la Escuela de Auditoría de la Universidad de Valparaíso siempre ha sido líder comparada con otras instituciones. (…) Quiero decirles que eligieron la mejor carrera que podrían haber elegido”, expresó el profesor Campillay.

El profesor Fuentes agradeció a los expositores, ya que la ciberseguridad “es un tema tremendamente importante y que a ustedes les va a impactar en su desarrollo profesional. (…) Sin embargo, a diferencia de nuestra generación, que venimos de un proceso manual, ustedes están en una situación privilegiada, porque tienen una mentalidad mucho más tecnológica y les va a ser mucho más fácil entrar en este mundo”.

Un activo que cuidar

Cristian Sepúlveda, socio del área de Assurance de EY, introdujo la exposición afirmando que “los temas de administración de datos, información y ciberseguridad están sumamente en boga en directorios de empresas y de organismos gubernamentales. Y, de cierta forma, están siendo cuestionados por los problemas que han existido últimamente”.

Ricardo Céspedes, gerente senior de Ciberseguridad de EY Chile, enfatizó que “la información es un activo que tienen las organizaciones y, por lo tanto, hay que saber cuidarla”, considerando que los ataques cibernéticos o incidentes a las empresas se han ido haciendo cada vez más frecuentes en todo el mundo en la última década y Chile no ha sido la excepción. En ese sentido, enfatizó que los y las auditoras deben conocer estos peligros y aprender a evaluar el entorno de control de la información corporativa para detectar las vulnerabilidades y contribuir a cerrar las brechas de seguridad existentes.

El asunto no es preguntarse “si me van a atacar, sino cuándo. Los incidentes van a ocurrir y, por lo tanto, hay que prepararse para lo peor y esperar lo mejor”, enfatizó el ingeniero electrónico de la Universidad Javeriana de Colombia. Asimismo, Céspedes explicó que el llamado ransomware o secuestro de datos es una de las amenazas más habituales, pero también está el phishing o engaño para obtener datos privados de los usuarios y otras prácticas de hackers, lo cuales por lo común no son personas aisladas, sino “organizaciones dedicadas a atacar a otros”. A veces, dijo, incluso son países los que utilizan estas malas prácticas para servir a sus intereses, como es el caso de Corea del Norte.

Según estudios de EY, la alta dirección de las empresas aún no tiene plena conciencia en cuanto a que la seguridad de los datos debería estar en primera prioridad. Y la falta de urgencia en esta materia abre grandes ventanas de vulnerabilidad. Céspedes añadió que se debe considerar que no siempre las amenazas son externas, sino también internas. Por ende, las organizaciones requieren establecer un framework de ciberseguridad, protocolos internos estrictos, que involucren a cada empleado y empleada a realizar test de intrusión, entre otras medidas.

Entre los principales estándares y regulaciones relacionados con la seguridad, destacan la familia de las ISO 27.000 (27.001, 27.002, 27.005 y 27.032), NIST CSF, ISO 22.301 y NERC-CIP; así como las definidas por la Comisión para el Mercado Financiero (CMF), el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago o PCI DSS (por sus siglas en inglés), el Reglamento General de Protección de Datos o GDPR (del parlamento europeo) y el programa de seguridad del cliente de la Society for Worldwide Interbank Financial Telecommunication (SWIFT - CSP).

Recomendaciones

Ricardo Céspedes finalizó su exposición con ocho recomendaciones que se deben tener a la vista para enfrentar las amenazas a las ciberseguridad: uno, supervisión periódica de los riesgos de ciberseguridad; dos, apoyar la estrategia de ciberseguridad y tolerancia al riesgo para garantizar el foco de la alta dirección y recursos suficientes; tres, asegurar que exista una correcta estructura de responsabilidad; cuatro, fomentar una cultura top-down y concientización de ciberseguridad a lo largo de toda la organización; cinco, comprender las implicancias legales de los riesgos de ciberseguridad y el impacto específico que pueden tener para su organización; seis, los ciberatacantes siempre están buscando formas nuevas e innovadoras de comprometer y explotar los sistemas y controles; siete, evolucionar constantemente para hacer frente a las amenazas, y ocho, adoptar técnicas de análisis avanzadas para hacer frente a las amenazas y vulnerabilidades desconocidas.