Por: CP Iván Rodríguez. Colaborador de Auditool
La ciberseguridad se ha constituido en una de las mayores preocupaciones de las empresas, puesto que casi cualquier compañía puede ser vulnerable a un ciberataque y los costos potenciales son altos. Es así que cada empresa necesita adoptar una postura proactiva y crear un plan para minimizar el riesgo cibernético y de esta manera mitigar el riesgo y evitar pérdidas.
Algunas medidas que pueden sugerir los auditores, para que sean consideradas por las compañías para fortalecer su esquema de ciberseguridad son las siguientes:
Responsabilidad y capacitación
Si bien la seguridad es responsabilidad de todos, la gestión de riesgos debe asignarse a un empleado en particular. En un esquema maduro de ciberseguridad está definido quien es el responsable de administrar los riesgos cibernéticos de manera continua y la presentación de informes a las instancias respectivas.
De otra parte, los empleados deben tener clara su postura frente a la seguridad cibernética. Si los usuarios no se toman en serio la seguridad, entonces las medidas de seguridad empresarial serán deficientes. Es conveniente entonces capacitar a los empleados en cuanto a las medidas de protección adecuadas y mantenerlos actualizados sobre el tema.
Cultura del riesgo
La compañía, en su gestión de ciberseguridad, debe poseer una cultura de riesgo bien desarrollada, lo que permite a todos los empleados tener claridad sobre los riesgos a los que se enfrentan y los alienta a alinear los riesgos con los objetivos estratégicos. Si no existe una fuerte cultura de riesgo, las decisiones adoptadas podrían interferir con los objetivos estratégicos, tácticos y operativos.
Actualización de equipos y programas
Los equipos y programas deben estar debidamente actualizados. Esto aplica para servidores, almacenamiento, estaciones de trabajo y otros dispositivos de red. No exclusivamente para los computadores portátiles o de escritorio. Hay muchos otros equipos, por ejemplo, en las líneas de producción o en los sistemas de vigilancia. Los programas y sistemas operativos deben contar con las últimas actualizaciones y parches. Los equipos deben ser compatibles y encontrarse en buen estado para garantizar un buen funcionamiento.
Adecuada gestión de datos
La información es vital para las empresas. Uno de los elementos más críticos en el tema de ciberseguridad son las copias de seguridad fiables y frecuentes de los datos críticos. Hay todo un conjunto de medidas respecto del almacenamiento de copias de seguridad, desde su ubicación fuera de las oficinas y preferiblemente en la nube para mayor seguridad y redundancia. Además, deben ser inaccesibles desde la red de la empresa.
Los datos de trabajo deben poderse consultar de una manera ágil y segura. La información confidencial debe estar debidamente protegida y su acceso debe ser limitado y controlado. Así mismo, hay que garantizar la calidad de la información almacenada
La empresa debe contar con medidas seguras de identificación de los usuarios de los programas, aplicativos y archivos. Filtros, contraseñas e identidades digitales son recursos que mitigan el riesgo de acceso a la información de personas no autorizadas.
Plan de recuperación
Aunque muchas empresas hoy día cuentan con plan de recuperación, es probable que no lo hayan probado en escenarios críticos pero posibles. Por ejemplo, simular el caso de un ataque ransomware o secuestro de datos que implique la restauración de una copia de seguridad sin conexión es una buena prueba. (en general las pruebas que impliquen restaurar copias de seguridad son buenas). Probar el funcionamiento de centros de respaldo también es útil.
Sitios de internet similares
Un tema que a veces se pasa por alto es la existencia de sitios de internet con nombres parecidos a los de la compañía, en los que se pretende efectuar suplantación y fraude. Si se aprecia que hay diversos sitios web con direcciones similares, esto puede indicar un problema de phishing o suplantación que puede afectar la reputación de la compañía, por lo que es conveniente efectuar un monitoreo regular y acudir a las autoridades pertinentes, según el caso.
Si bien las anteriores medidas no son exhaustivas, su aplicación contribuye a fortalecer el sistema de control interno y a mejorar el esquema de ciberseguridad. El auditor debe estar atento a su existencia o a efectuar las recomendaciones del caso, según corresponda.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia