lunes 26 octubre 2020

Los delitos del siglo XXI “Ataques informáticos, un riesgo de negocio”

Más Leídas

La energía, un área clave en serios problemas en el gobierno de Alberto Fernández

Por: Ing.Jorge LapeñaEl gobierno de Alberto Fernández se encamina a cumplir un año. El que viene es...

Entre Ríos. Estancia Casa Nueva, una usurpación de tierras que se busca derivar a un conflicto familiar

El conflicto por la usurpación denunciada por Miguel Etchevehere, de la estancia Casa Nueva, se mantiene...

Cuaderno de opiniones. “Reforzar las garantías democráticas para futuras emergencias”

Por Juan RussoEs claro a este punto que una emergencia social, como la generada por la pandemia...

Por Alejandro Javier Rosa

La seguridad en la custodia y el manejo de datos es un enorme desafío para las empresas. La dependencia de nuestras organizaciones a la información sensitiva, así como también el exponencial aumento de la cantidad y sofisticación de los ataques informáticos determinan la magnitud del problema.

Quizás uno de los mayores desafíos que plantea el delito informático deriva del hecho que el objeto potencialmente atacado puede ser muy amplio: información personal, información financiera, propiedad intelectual, activos financieros de la compañía, secretos industriales, etc..

Hace tiempo que han dejado de ser situaciones de excepción, que incluso nos causaban sorpresa cuando llegaban a nuestros oídos, para ser hoy parte de la cotidianeidad de nuestras empresas y de nuestra propia vida. Según un estudio de PwC de 2013 (“The Global state of Information Security”), la tasa de incremento anual de delitos informáticos a nivel mundial alcanza el 25%.

Quienes llevan a cabo estos delitos se han vuelto más sofisticados utilizando, en muchas ocasiones, a empleados o colaboradores de la empresa que se transforman en cómplices intencionales, o hasta a veces involuntarios, de estas maniobras.

Las empresas, aún las más pequeñas y simples, se encuentran hoy interconectadas con sus clientes, bancos, proveedores, distribuidores, socios, consultores y tantos otros. Cada una de esas contrapartes puede tener uno o varios puntos de acceso a los sistemas de información de la empresa, lo que puede acrecentar aún más la vulnerabilidad de la misma a los ataques informáticos.

Las implicancias de una violación de datos pueden ser variadas, peligrosas e insospechadas. Podrían incluir la afectación de la continuidad de las operaciones de la entidad, su capacidad para dar respuesta a requerimientos regulatorios, generar pérdidas financieras o inclusive exponer a la empresa a situaciones contingentes como juicios y reclamos, entre otras.

Es por ello que los ataques informáticos han dejado de ser un riesgo técnico para convertirse hoy en un riesgo de negocio y una preocupación cada vez mayor dentro de los sistemas de manejo del riesgo de las empresas.

Los empleados, tanto los actuales como aquellos que ya se han desvinculado, son los actores más asiduamente nombrados como los causantes de los ataques informáticos.

Esto no significa que en todos los casos se trate de algún comportamiento intencional. Los empleados pueden comprometer la seguridad informática de la empresa mediante acciones que no sean intencionales, como por ejemplo la pérdida de una computadora personal, una tablet o un teléfono celular donde tenga almacenada información sensible de la empresa.

En ese marco, es crítico desarrollar una cultura organizacional que focalice en la seguridad de la información, conjuntamente con acciones de capacitación para crear conciencia de los riesgos potenciales.

Lo mismo ocurre con terceros, como proveedores pasados o actuales, consultores y contratistas, a quienes se les haya asignado acceso a las redes e información de la empresa. Ellos son también una fuente potencial de este tipo de ataques.

Algo que no debe perderse de vista tiene que ver con la inversión que la empresa destina a sus actividades de tecnología de la información. Como decíamos antes, las empresas manejan cantidades crecientes de información, en entornos digitales también cada vez más complejos. Muchas veces, estos procesos no se ven acompañados por consecuentes aumentos de los presupuestos de inversión en tecnología de información.

En consecuencia, las empresas a veces demoran mejoras o reemplazos de sistemas. Esta situación, usualmente llamada “deuda técnica”, acrecienta la exposición al riesgo de ataques informáticos y da como resultados mayores costos al final de la cuenta.

Es importante que los presupuestos y recursos asignados a las actividades de tecnología de información sean apropiados y evaluados, y que los riesgos derivados de la “deuda técnica” sean analizados y evaluados por la gerencia y transmitidos en forma transparente al directorio.

El abordaje adecuado del riesgo de ataques informáticos consiste en desarrollar un programa que al menos debería incluir:
a) la identificación de los sistemas, recursos, datos y capacidades involucradas en los procesos de manejo de información, y su susceptibilidad al riesgo de ser atacados interna o externamente;
b) La implantación de un sistema de controles necesarios para proteger esos activos;
c) El monitoreo continuo del sistema para descubrir alertas sobre potenciales eventos de ataque informático;
d) El desarrollo de políticas y actividades necesarias para responder en forma rápida y adecuada a los incidentes que puedan producirse;
e) El diseño de planes de continuidad de los negocios que permitan recuperar capacidades luego de un ataque informático sufrido por la empresa.

El Directorio debe estar activamente involucrado en las discusiones sobre el programa de prevención de ataques informáticos y asegurarse de que los activos más valiosos del negocio están siendo protegidos adecuadamente.

Asimismo, los directores deben también monitorear que exista un plan de capacitación y educación al personal en relación a esta temática y que el presupuesto de inversión en tecnología de la información sea el adecuado para el cumplimiento de los objetivos planteados.
Alejandro Javier Rosa
Cátedra PwC de Gobierno de las organizaciones. IAE.
SD/BN/CC/rp.

Últimas Noticias

Rusia: Las victimas de los métodos del presidente Vladimir Putin

Por: Luis DomenianniOcurrió el 20 de agosto del 2020. Sentado en el bar del aeropuerto de Tomsk,...

Venezuela. Maduro agita la posibilidad de un conflicto de magnitud con Colombia

Caracas. El jefe del régimen chavista, confirmó que se reunió con el Estado Mayor Superior y comandantes del Ejército, a fin de...

Bolivia. Sin lugar en el próximo gobierno de Luis Arce, Evo Morales viajó a Venezuela

La Paz. El presidente electo, Luis Arce, afirmó a la agencia Reuters que no tiene previsto ningún rol en su gobierno para...

Vaticano. El Papa sorprendió al presidente de España al advertir el peligro de las «ideologías»

Roma. "Es muy triste cuando las ideologías se apoderan de la interpretación de una nación, de un país y desfiguran la patria",...

EEUU. «He votado por un tipo llamado Trump» dijo el presidente al emitir su voto anticipado

Washington. En West Palm Beach en el estado de Florida el presidente, Donald Trump, ha depositado este sábado su voto anticipado para...

Más Noticias