Veritas Online

Tecnologías de la Información

Administración de riesgos cibernéticos

Administración de riesgos cibernéticos
mayo 01
2019

En tanto que las empresas -pequeñas o grandes- tienen actividades de operación y administración en línea, hoy es fundamental saber cómo actuar ante un posible ataque.

Administrar los riesgos que enfrenta una empresa ante los posibles ataques perpetrados en el ciberespacio es una de las preocupaciones fundamentales en la actualidad entre las multinacionales europeas y norteamericanas, así lo expresaron altos ejecutivos en diferentes paneles de discusión llevados a cabo en el último Foro Económico Mundial de Davos, Suiza, a inicios de año.

La administración de riesgos cibernéticos requiere de una estrategia bien definida y aprobada por el máximo órgano de administración de toda empresa (en muchos casos el Consejo de administración) y debe de ser implementada de tal forma que todos los miembros de la institución, sin importar el rango, participen en el mantenimiento y seguimiento de los objetivos de salvaguardar todos los aspectos del negocio, por mínimos que sean.

DESARROLLO

Los riesgos cibernéticos, por definición, se generan al llevar a cabo alguna actividad de una empresa en el ciberespacio o Internet, como pueden ser computación en la nube, compra o venta de productos o servicios de forma digital —ya sea que los productos o servicios en sí sean tangibles o digitales—, transacciones bancarias electrónicas y, de manera general, al emplear sistemas de cómputo para la producción o manufactura de cualquier producto o para la prestación de cualquier servicio. Dicho de otro modo, que el sistema sea propio o arrendado.

En la época presente, en la que es difícil visualizar una empresa que desarrolle su actividad por completo fuera del espacio cibernético, es fácil concluir que en mayor o menor medida, todas las empresas por grandes o pequeñas que sean, están expuestas a un riesgo de operación o de responsabilidad civil o profesional ante un posible ataque cibernético. Otro elemento indispensable de tener en mente es que los ataques cibernéticos son invisibles y poco predecibles. La empresa o persona afectada se da cuenta de que ha sido intervenida cuando es muy tarde y cuando hay poco tiempo para reaccionar.

Los ataques pueden llegar de distintas fuentes: empleados o colaboradores externos”.

Dependiendo del tamaño de la empresa, de la complejidad de sus sistemas de información y de sus capacidades tecnológicas, es recomendable tener a un ejecutivo a cargo de la seguridad tecnológica que sea el responsable de mantener a la empresa a la vanguardia de la seguridad y lista para enfrentar algún ataque cibernético.

Los ataques cibernéticos pueden proceder de diferentes fuentes:

a) Ataques internos perpetrados por empleados o colaboradores que por algún resentimiento o fin ilícito sustraen información de la empresa para la que laboran, lo que pone en riesgo la seguridad informática y da como resultado, por ejemplo, el robo de secretos industriales, comerciales o científicos relacionados con un producto o servicio.

b) Ataques externos consumados por ladrones cibernéticos que pueden tener diferentes motivos, desde el robo de secretos industriales, comerciales o científicos, hasta el secuestro de toda la información y sistemas de la empresa, para lo cual buscan un rescate económico por lo afectado, o que desean dañar la reputación de una empresa en beneficio de un competidor. c) Ataques gubernamentales donde una autoridad, que generalmente no es del país de la empresa, tiene un interés específico e ilegal de afectar a la empresa objetivo en la búsqueda de ciertos beneficios para alguna parte de su interés.

d) Ataques perpetrados por otras partes interesadas en dañar la reputación de la empresa o persona objetivo. Para complicar el tema, los ataques cibernéticos, de forma general, proceden de los lugares menos esperados, desde jurisdicciones con poca o nula regulación criminal, hasta de ladrones cibernéticos que se encuentran en cualquier sitio con las suficientes herramientas para lograr un ataque exitoso. Hoy en día, cualquier lugar con acceso a Internet.

PREVENCIÓN DE ATAQUES 

  1. Llevar a la conciencia de la alta administración de las empresas y los accionistas que los ataques cibernéticos son reales, y que en el peor de los casos puede paralizar por completo las operaciones y dañar a tal grado que paguen a los ladrones cibernéticos por los rescates de su información, además de las multas a distintos gobiernos de diferentes países que penalicen la ruptura de los sistemas de salvaguarda de información en perjuicio de terceros.

En México, el estatuto reglamentario en la materia es la Ley General de Protección de Datos Personales en Posesión de Terceros Obligados publicada el 26 de enero de 2017 en el Diario Oficial de la Federación (DOF). En ella se establecen las diversas multas y sanciones, según las circunstancias, las cuales deben siempre cuantificarse en un posible conflicto y, en tal caso, tomar en cuenta la estimación de materialización junto con los honorarios legales correspondientes.

Paralizar las actividades, pagar por el rescate de la información y cubrir las multas correspondientes son los daños más graves para las empresas”.

2. Se deben implementar candados estrictos de seguridad y acceso a la información para usuarios internos y posibles usuarios externos; delimitar los códigos de acceso para que se desincentive cualquier ataque debido a la complejidad del mismo acceso a la información sensible de la empresa.

3. Tener soporte técnico disponible en cualquier momento, ya que no es común que los atacantes cibernéticos tengan un horario de labores y menos aún si se encuentran en un continente diferente al de la empresa. El soporte técnico puede ser interno o externo. Una estrategia adicional es la de considerar la necesidad de una póliza de seguro para cubrir el riesgo cibernético. Al amparo de una póliza, los interesados pueden no sólo tener la asesoría y la administración del riesgo a través de la empresa de seguros, sino que pueden crear una salvaguarda económica en el caso de que la empresa sufra daños materiales o económicos por un ataque cibernético. Mediante una póliza pueden cubrirse daños de responsabilidad civil y profesional por pérdidas causadas a terceros, pueden incluirse los pagos por los rescates de la información y cualquier costo de reparación de los sistemas dañados o intervenidos.

CONCLUSIONES

La administración de riesgos cibernéticos debe de ser una actividad prioritaria en toda institución y esa función debe tener el soporte del órgano de administración más alto de toda empresa. En el mundo de la economía digital, toda actividad empresarial tiene al menos un componente de operación o administración que se lleva a cabo por Internet, por lo tanto, toda empresa tiene una exposición a cualquier riesgo. Se recomienda retomar en todas las juntas de Consejo la discusión, planeación y seguimiento de la función de la administración de riesgos cibernéticos, así como el considerar urgente la adquisición de soporte técnico, ya sea interno o externo, y no descartar la posibilidad de adquirir una póliza de seguro con cobertura contra cualquier riesgo.

C.P.C., P.C.FI., Adv. LL.M. y M.I. Juan Ángel Becerra Cantú
Integrante de la comisión técnica Fiscal Internacional del Colegio
juan.becerra@cgctax.com

Facebook Comments

Related Articles

Búsqueda

Twitter

Felicitaciones por su entrega y profesionalismo. #DíaDelContador

Los requisitos para solicitar a la Secretaría de Energía los permisos previos con vigencia de un año para la importación y exportación de hidrocarburos y petrolíferos ya están en vigor. Un artículo de Antonio González Rodríguez.

Load More...
A %d blogueros les gusta esto: