Por Alejandro Javier Rosa
La seguridad en la custodia y el manejo de datos es un enorme desafío para las empresas. La dependencia de nuestras organizaciones a la información sensitiva, así como también el exponencial aumento de la cantidad y sofisticación de los ataques informáticos determinan la magnitud del problema.
Quizás uno de los mayores desafíos que plantea el delito informático deriva del hecho que el objeto potencialmente atacado puede ser muy amplio: información personal, información financiera, propiedad intelectual, activos financieros de la compañía, secretos industriales, etc..
Hace tiempo que han dejado de ser situaciones de excepción, que incluso nos causaban sorpresa cuando llegaban a nuestros oídos, para ser hoy parte de la cotidianeidad de nuestras empresas y de nuestra propia vida. Según un estudio de PwC de 2013 (“The Global state of Information Security”), la tasa de incremento anual de delitos informáticos a nivel mundial alcanza el 25%.
Quienes llevan a cabo estos delitos se han vuelto más sofisticados utilizando, en muchas ocasiones, a empleados o colaboradores de la empresa que se transforman en cómplices intencionales, o hasta a veces involuntarios, de estas maniobras.
Las empresas, aún las más pequeñas y simples, se encuentran hoy interconectadas con sus clientes, bancos, proveedores, distribuidores, socios, consultores y tantos otros. Cada una de esas contrapartes puede tener uno o varios puntos de acceso a los sistemas de información de la empresa, lo que puede acrecentar aún más la vulnerabilidad de la misma a los ataques informáticos.
Las implicancias de una violación de datos pueden ser variadas, peligrosas e insospechadas. Podrían incluir la afectación de la continuidad de las operaciones de la entidad, su capacidad para dar respuesta a requerimientos regulatorios, generar pérdidas financieras o inclusive exponer a la empresa a situaciones contingentes como juicios y reclamos, entre otras.
Es por ello que los ataques informáticos han dejado de ser un riesgo técnico para convertirse hoy en un riesgo de negocio y una preocupación cada vez mayor dentro de los sistemas de manejo del riesgo de las empresas.
Los empleados, tanto los actuales como aquellos que ya se han desvinculado, son los actores más asiduamente nombrados como los causantes de los ataques informáticos.
Esto no significa que en todos los casos se trate de algún comportamiento intencional. Los empleados pueden comprometer la seguridad informática de la empresa mediante acciones que no sean intencionales, como por ejemplo la pérdida de una computadora personal, una tablet o un teléfono celular donde tenga almacenada información sensible de la empresa.
En ese marco, es crítico desarrollar una cultura organizacional que focalice en la seguridad de la información, conjuntamente con acciones de capacitación para crear conciencia de los riesgos potenciales.
Lo mismo ocurre con terceros, como proveedores pasados o actuales, consultores y contratistas, a quienes se les haya asignado acceso a las redes e información de la empresa. Ellos son también una fuente potencial de este tipo de ataques.
Algo que no debe perderse de vista tiene que ver con la inversión que la empresa destina a sus actividades de tecnología de la información. Como decíamos antes, las empresas manejan cantidades crecientes de información, en entornos digitales también cada vez más complejos. Muchas veces, estos procesos no se ven acompañados por consecuentes aumentos de los presupuestos de inversión en tecnología de información.
En consecuencia, las empresas a veces demoran mejoras o reemplazos de sistemas. Esta situación, usualmente llamada “deuda técnica”, acrecienta la exposición al riesgo de ataques informáticos y da como resultados mayores costos al final de la cuenta.
Es importante que los presupuestos y recursos asignados a las actividades de tecnología de información sean apropiados y evaluados, y que los riesgos derivados de la “deuda técnica” sean analizados y evaluados por la gerencia y transmitidos en forma transparente al directorio.
El abordaje adecuado del riesgo de ataques informáticos consiste en desarrollar un programa que al menos debería incluir:
a) la identificación de los sistemas, recursos, datos y capacidades involucradas en los procesos de manejo de información, y su susceptibilidad al riesgo de ser atacados interna o externamente;
b) La implantación de un sistema de controles necesarios para proteger esos activos;
c) El monitoreo continuo del sistema para descubrir alertas sobre potenciales eventos de ataque informático;
d) El desarrollo de políticas y actividades necesarias para responder en forma rápida y adecuada a los incidentes que puedan producirse;
e) El diseño de planes de continuidad de los negocios que permitan recuperar capacidades luego de un ataque informático sufrido por la empresa.
El Directorio debe estar activamente involucrado en las discusiones sobre el programa de prevención de ataques informáticos y asegurarse de que los activos más valiosos del negocio están siendo protegidos adecuadamente.
Asimismo, los directores deben también monitorear que exista un plan de capacitación y educación al personal en relación a esta temática y que el presupuesto de inversión en tecnología de la información sea el adecuado para el cumplimiento de los objetivos planteados.
Alejandro Javier Rosa
Cátedra PwC de Gobierno de las organizaciones. IAE.
SD/BN/CC/rp.
