Módulos Temas Día

¿Qué tan valiosa considera la información de su empresa?

Aptitus por G de Gestión. El avance tecnológico no solo está abriendo puertas a las empresas en cuanto a mejoras de producción, sino también da lugar a nuevas vulnerabilidades que deben ser consideradas. Cuidado con los ataques cibernéticos.

Las organizaciones están migrando hacia los sistemas de información en la nube.

Por Jorge Acosta, socio líder de consultoría de EY.

El mundo ha cambiado y seguirá cambiando. La tecnología ha abierto nuevas posibilidades de comunicación, de interactuar entre personas, entre las empresas y sus clientes, de aprender y de trabajar.

El avance tecnológico no solo está abriendo puertas a las empresas en cuanto a mejoras de producción, captación de clientes, procesos, entre tantos otros, sino también da lugar a nuevas vulnerabilidades, que deben ser consideradas.

Los nuevos riesgos.Cinco nuevos riesgos que enfrenta una organización son: redes sociales, dispositivos móviles, sistemas de información, seguridad en los sistemas de información y gestión de riesgos de terceros.

El medio de interacción más común y utilizado es hoy uno de los nuevos riesgos que enfrenta una organización. Y es que los principales riesgos que presentan las redes sociales son varios: divulgación de información sensible, hackers que descifran datos confidenciales, plataformas con mayor acceso a virus, software malicioso, secuencias de comandos en páginas cruzadas y suplantación de identidad en la web.

Para manejar esta situación, se deben evaluar las amenazas y el diseño de las políticas y procedimientos para administrar las redes sociales dentro de la organización. Además, evaluar la posibilidad de tener un programa de capacitación en redes sociales y revisar las actividades en las redes sociales de la organización y a sus usuarios, con respecto a las políticas y procedimientos.

Los dispositivos móviles, como los smartphones y las tablets, son cada vez mucho más frecuentes, los utilizan desde niños hasta adultos para acceder a las redes sociales, internet y correo.

Por otro lado, en las empresas buscamos que nuestros colaboradores sean más productivos: proporcionan potentes sistemas de información móviles que permiten el uso de dispositivos personales de forma segura para realizar actividades del trabajo y así elevar la productividad.

Un modelo de propiedad de equipos de tecnologías de información para empleados, llamado típicamente "traiga su propio teléfono o dispositivo" (BYOD, por sus siglas en inglés), presenta una opción atractiva. Los dispositivos móviles permiten acceder y distribuir información empresarial desde cualquier lugar y en cualquier momento.

Estos dispositivos ya se han convertido en parte integrante de la forma en que la gente realiza tareas, tanto en el trabajo como en sus vidas personales. La demanda creciente de información móvil por parte de la fuerza laboral está impulsando cambios en la manera en que las organizaciones apoyan y protegen el flujo de información.

Ahora que los dispositivos móviles tienen tantas aplicaciones (incluyendo datos corporativos), las organizaciones buscan determinar cuál es el impacto en la seguridad de información y cómo mejorar sus controles.

Los riesgos son evidentes: pérdida o fuga potencial de importante información empresarial, las limitaciones de seguridad dada la gama de dispositivos, software y sistemas operativos, hasta el robo de un dispositivo móvil debido a su pequeño tamaño.

Las organizaciones también están migrando hacia los sistemas de información en la nube, para incrementar la efectividad de las iniciativas de sistemas de información, reducir costos, incrementar la flexibilidad operativa y generar una ventaja competitiva. Estas decisiones enfrentan riesgos y desafíos, los cuales son, a menudo, pasados por alto o no comprendidos.

Los sistemas "cloud computing" requieren un cambio de rumbo considerable con respecto a los métodos y procesos tradicionales en la empresa. Es así que surgen problemas con la infraestructura y arquitectura del sistema: si los proveedores no cumplen con los requerimientos de desempeño de las organizaciones y se establecen acuerdos de nivel de servicio al inicio del contrato, se incrementa la dependencia del programa de continuidad del negocio, y de la capacidad de recuperación de desastres del proveedor.

Muchas empresas han "tercerizado" algunas de sus actividades o procesos, desde centrales de llamadas para clientes hasta la planilla de remuneraciones, en la búsqueda de reducir sus costos e incrementar eficiencia.

Sin embargo, los riesgos asociados no se pueden "tercerizar"; la organización retiene su responsabilidad, por lo que deben verificar que las políticas de terceros satisfagan sus propias normas de control.

La publicidad negativa y las multas por infracciones al cumplimiento regulatorio, violaciones de seguridad y robo de datos que involucran a proveedores de procesos tercerizados han obligado a las empresas a mejorar continuamente su programa y controles relacionados.

Se deben aplicar los mismos estándares corporativos a los proveedores y asociados de negocios externos que a los propios empleados. Las empresas, a menudo, adoptan un enfoque ad hoc, proveedor por proveedor, del riesgo de los procesos tercerizados.

Luchan para entender su exposición global en procesos tercerizados y les cuesta determinar si dicha exposición se encuentra dentro de las fronteras de su apetito por el riesgo.

Las empresas que no cuentan con un programa implementado de gestión de riesgos de terceros pueden encontrarse frente a riesgos no solo financieros, sino de reputación, cumplimiento y marca de la empresa.

A medida que las empresas se dirigen a sus proveedores para que hagan más por ellos, se están volviendo más dependientes de terceros con quienes hacen negocios. Esto va mucho más allá de la viabilidad financiera del proveedor. En el entorno conectado de hoy, las acciones de un proveedor pueden tener consecuencias no deseadas para las empresas que les compran.

Hoy en día, ver noticias sobre ataques cibernéticos es cada vez más común y los impactos son cada vez más grandes de lo que se imagina. Ejemplos como el colapso en los sistemas de información de Sony, el ataque que sustrajo información financiera de millones de clientes de E-bay o la noticia del robo de más de US$ 1,000 millones en más de 100 entidades en 30 países son cada vez más frecuentes.

Ya no solo es un riesgo de que nuestras cuentas de correo sean "hackeadas", o que por las redes sociales los delincuentes puedan determinar sus próximos blancos.

A nivel de las empresas, poco a poco se comprende mejor cuál es el riesgo de un ataque cibernético y sus posibles impactos. Sin embargo, muchas se sienten lejanas aún a estas amenazas, o solo están concentrando su seguridad o preocupación en un sector cuando en realidad tienen muchas vulnerabilidades.

Según la última Encuesta Mundial sobre Seguridad de la Información 2014 de EY, tanto en el Perú como a nivel global, la mayoría de las organizaciones encuestadas no saben si son vulnerables o no –en nuestro país, el 53% de las organizaciones encuestadas declaró que tienen menos del 25% de probabilidades de detectar un ataque cibernético.

A esto, se debe sumar el constante incremento de amenazas –el 71% de las organizaciones encuestadas en el Perú afirmó tener un incremento de amenazas en los últimos 12 meses– e insuficiente seguridad –45% indicó que su función de seguridad de la información cumple parcialmente sus necesidades.

En el Perú, el 90% de las empresas encuestadas considera que la fuente más probable de un ataque son los propios empleados, seguidos de un hacker solitario (68%), un contratista trabajando en la empresa (66%), entre otros.

A esto, se deben sumar los principales motivos que dificultan la efectividad de la seguridad de la información. En primer lugar, los empresarios peruanos sostuvieron que la falta de recursos especializados (68%) es el principal motivo.

Sin personal calificado, herramientas técnicas y presupuestos adecuados, será difícil para las empresas mejorar su nivel de prevención y mitigación de riesgos de seguridad de información.

Todo este panorama requiere que la seguridad de información sea parte de la agenda de los temas tratados en la gerencia en las empresas con una perspectiva pragmática y racional en relación con los riesgos que se enfrentan y los presupuestos que se tienen para atenderlos.

Además, recordemos que, en particular, en lo que corresponde al Perú, es importante tener presente la Ley de Delitos Informáticos y la Ley de Protección de Datos Personales en el contexto de los delitos cibernéticos.

Particularmente, la Ley de Protección de Datos Personales establece acciones de control de índole legal, organizacional y técnico que las empresas deben ejecutar para cumplir con lo requerido por la norma. Esta normativa establece, por parte del ente regulador, acciones de fiscalización y sanciones en caso de no cumplimiento.

Leer comentarios ( )

Ir a portada