El jueves se celebró en la Universidad de León el seminario anual de la Conferencia de Consejos Sociales, con un centenar de asistentes entre funcionarios de toda España y miembros del citado órgano supervisor universitario. El programa proponía debatir sobre riesgos y control interno. Un tema que viene siendo la estrella en cualquier congreso de gestión o fiscalización de fondos públicos.
El panel que me correspondía fue coordinado por el catedrático leonés de contabilidad, mi buen amigo, Enrique López González, que modero también y con mano de hierro y guante de seda un interesante debate. Hablamos del control interno y sus clásicas tres líneas de defensa así como de la opinión manifestada sobre el asunto en las auditorías a las Instituciones españolas de educación superior. Un tema que lleva tantos años en esta bitácora que nos ha permitido hasta concluir con ripios.
El problema de la burocracia óptima es uno de esos problemas retorcidos de la administración pública. Esta misma semana, el diario El mundo daba un buen rapapolvo a la Universidad española por esa cuestión. Se habla de una “obsesión por el control y la transparencia que resta flexibilidad y competitividad a nuestras universidades, al contrario de lo que ocurre en países como Estados Unidos” en palabras del Rector de la UCM, Joaquín Goyache, para quien esta práctica ha llegado hasta «límites difícilmente tolerables en una institución que pretende evolucionar hacia la sencillez y la eficacia de los procesos». Las críticas se dirigen también a la nueva Ley de Contratos del Sector Público. Por cierto, he aquí un gran manual en descarga libre.
Hoy en día, todas las organizaciones tanto públicas como privadas, han digitalizado los procesos administrativos y económicos. Por ello, es imposible valorar el control interno sin tener en cuenta ese factor. Hablamos del auditor como tecnólogo. Ya hace años que la Sindicatura de la Comunidad valenciana (¡con Antonio Minguillón como principal instigador!) se centra en estos aspectos del control. De rabiosa actualidad el informe sobre los ingresos de las diputaciones, que incluye entre los objetivos evaluar si los controles establecidos en los sistemas de información garantizan de forma razonable su seguridad y la adecuada ejecución de la gestión tributaria auditada.
Nuevos riesgos, nuevas soluciones
Me detuve durante un momento de la exposición en los destructivos ciberataques como riesgo relevante del control interno, que debe estar resuelto cuando llega el auditor a opinar. Lo saben bien en el Ayuntamiento de Jerez que hace unos días sufrió un severo ataque informático que dejó los servicios municipales bajo mínimos.
En EEUU, esta primavera, hubo cientos de ellos que además pedían un rescate. Un secuestro de ordenadores: La ciudad de Baltimore paralizada por un hacker que pedía un rescate. Un tema peliagudo, que algunos ayuntamientos pagaron el chantaje. En términos económicos el asunto es crudo: arreglar los destrozos del encriptado de los ordenadores institucionales cuesta millones de dólares y el ciberdelincuente ofrece las claves por mucho menos. Como en los secuestros de personas, nadie te garantiza que ese rescate sea efectivo y esas claves -si llegan- no lleven otro virus nuevo.
Suponemos que muchas empresas privadas “pagan” a esos delincuentes. De hecho no se difunden los ataques (de comunicación policial obligatoria como tal delito) por si afecta a la reputación institucional.
Cuando estaba preparando esta entrada bloguera tuve la curiosidad de saber como habría terminado el asunto de Baltimore. San Google me resolvió la duda con una noticia de ayer mismo.
“El seguro de ciberriesgos es la póliza de incendios del siglo XXI».
Meses después de que aquel ataque de ransomware que le costó a la ciudad alrededor de 18 millones de dólares, las autoridades locales acaban de aprobar la compra de una póliza de ciberseguros para arreglar cualquier incidente futuro. Estos seguros de responsabilidad cibernética se están generalizando en el sector públicos de los EE. UU.
Hubo un consenso unánime entre la clase política local para gastar 835.103 dólares en dos seguros que proporcionan cada uno 10 millones en cobertura. También en despedir al director de informática. Como buena práctica de control interno, nada que decir. Al contrario, pronto su inexistencia acabará siendo una salvedad del informe de auditoría.
Ya se lo que estáis pensando. Ninguna institución pública debería pagar a unos secuestradores. Pero el contratista del seguro echa sus cuentas y resuelve el problema discretamente. Ocurrió con los piratas somalíes y varios barcos de pesca, que un caro bufete de la city londinense resuelve profesionalmente. También con los samaritanos cooperantes de las ONG y algunos gobiernos que los salvaron de una muerte segura ¿Ahora también se pagará a los hackers a través de la aseguradora?
La jornada también incluía la participación de Marcos Gómez Hidalgo, subdirector del Instituto Nacional de Ciberseguridad de España, INCIBE, que se centró en las ciberamenazas. En la foto superior explicando el mapa español de ciberamenazas y abajo en el café del seminario.
El INCIBE suele realizar una edición anual con los operadores críticos y esenciales con ciberejercicios consistentes en distintas pruebas para entrenar la capacidad de respuesta de una entidad ante circunstancias que se podrían dar en situaciones reales. Una práctica que ha demostrado ser útil para medir y mejorar la gestión de incidentes en términos técnicos y organizativos, así como establecer una cultura de ciberseguridad entre el personal de la organización, mejorando de la comunicación y coordinación, tanto interna como con otras entidades.
También gestionan el modelo de Indicadores para la mejora de la Ciberresiliencia para el diagnóstico y medición de la capacidad de las organizaciones para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital. Asimismo NCIBE pone los medios a través de un Programa de Concienciación, que incorpora múltiples recursos gráficos, elementos interactivos y una programación detallada para mejorar la seguridad desde el corazón de la organización, las personas.
Marcos Gómez presentó las cifras de incidentes de ciberseguridad en España. Sólo en Universidades llevamos más de 22.000 en lo que va de año, como podéis ver arriba.
La jornada matinal terminó con la participación de tres presidentes de órganos de control externo: Mario Amilivia del Consejo de Cuentas de Castilla y León, Alfonso Peña de la Cámara de Cuentas de Aragón y Roberto Fernández Llera de la Sindicatura de Cuentas del Principado de Asturias. La Directora General de Universidades de Castilla y León, Blanca Ares González, en la foto a continuación, asistió desde la primera fila y participó micrófono en mano en una intensa jornada de reflexión sobre el control interno de la universidad pública española.
Fiscalizacion.es 
Reblogueó esto en IUSLEXBLOG. .
Me gustaMe gusta
Pingback: Sociedad digital y vida real – Fiscalizacion.es
Pingback: Los ricos también lloran en ciberseguridad – Fiscalizacion.es
Pingback: Universidad virtual, Universidad real – Fiscalizacion.es
Pingback: Inteligencia universitaria – Fiscalizacion.es
Pingback: La muestra ha muerto – Fiscalizacion.es
Pingback: Ciberhigiene y control interno – Fiscalizacion.es
Pingback: Auditoría de tecnologías de la información: hoja de ruta hacia la seguridad razonable – Fiscalizacion.es
Pingback: El triángulo del fraude se jubila – Fiscalizacion.es
Pingback: El análisis de los ciberriesgos como rutina del auditor. CCIL21 (2) – Fiscalizacion.es
Pingback: Conclusiones del Congreso de Control Interno Local (CCIL, 6) – Fiscalizacion.es
Pingback: Silbatos antifraude – Fiscalizacion.es