Por: CP Iván Rodríguez. Colaborador de Auditool.

Hay una preocupación por los riesgos en el entorno empresarial actual, en el que la tecnología está inmersa en casi cada actividad administrativa y operativa. Por lo que, la alta dirección de las organizaciones, bien sean grandes o pequeñas, deben abordar con atención el tema de ciberseguridad como una respuesta a las amenazas que reciben día a día.

Normalmente, se entiende por ciberseguridad al conjunto de políticas, prácticas, tecnologías y procedimientos que se han diseñado y se emplean para proteger los sistemas informáticos, redes, dispositivos, información y datos frente a las amenazas, ataques y accesos no autorizados que alteren la confidencialidad, integridad y disponibilidad de la información digital.

Ahora bien, la ciberseguridad no es exclusiva de las empresas tecnológicas ni de las grandes corporaciones, sino que es esencial para todas las empresas. Debe tenerse presente que las organizaciones de todos los tamaños e industrias son objetivos potenciales de los ciberataques. De acuerdo con un reciente artículo publicado por la Asociación de Control y Auditoría de Sistemas de Información (ISACA):

(…) El informe DBIR[1] de Verizon encontró que el 43% de todos los ataques cibernéticos se dirigen a pequeñas empresas, y el 60% de ellas cierran dentro de los seis meses posteriores al ataque. También revela que, en promedio, las pymes gastan entre US$826 y US$653,587 en incidentes de ciberseguridad, y se espera un aumento del 15% en los próximos dos años.

Es claro, entonces, que las pequeñas empresas no pueden (ni deben) ignorar el panorama actual de amenazas y riesgos. Por ello, garantizar la debida diligencia se ha vuelto crucial, pues es probable que las organizaciones sean atacadas en algún momento. Para el efecto, es conveniente aplicar algunos de los siguientes principios:

  • Determinar el alcance de la protección

La alta dirección debe definir, mientras que la auditoría debe conocer, de manera clara, cuáles son los activos de la organización, su valor comercial e importancia para el negocio. Luego, sobre esa base, identificar las amenazas y vulnerabilidades que los afectan para adelantar una evaluación de riesgos que sirva como punto de partida para la estrategia de protección.

  • Definir (o actualizar) políticas y procedimientos de seguridad

Es aconsejable revisar las políticas y prácticas en materia de seguridad y ver si cumplen los requisitos normativos y de cumplimiento que debe atender la organización. Se deben establecer políticas claras sobre el uso de dispositivos personales para el trabajo y asegurarse de que estén protegidos por medidas de seguridad adecuadas. Es importante efectuar las capacitaciones respectivas a los empleados puesto que son ellos la primera línea de defensa contra las ciber amenazas, sin descuidar el tema de los ataques de ingeniería social. En particular, los colaboradores deben comprender su papel en la identificación y notificación de actividades sospechosas, así como aprender sobre las amenazas cibernéticas y la importancia de prácticas seguras.

  • Usar tecnología defensiva

Si bien una organización pequeña suele ser menos compleja y con menores recursos que una más grande, puede acceder a procesos y tecnologías que son efectivas y no por ello costosas. La autenticación multifactor, contraseñas robustas, tokens de un solo uso, datos biométricos, mensajes de texto al teléfono móvil, etc., son opciones económicas que proveen seguridad frente a accesos no autorizados. Así mismo, la creación de perfiles de usuario que limiten el acceso a datos confidenciales y solo permitan el uso de aplicativos necesarios según el trabajo desarrollado.

  • Actualizar aplicativos, programas y equipos

El propósito de mantener actualizados los recursos tecnológicos es reducir las vulnerabilidades y así evitar que los ciberdelincuentes las aprovechen. Las actualizaciones de programas y equipos contribuyen a reducir los riesgos, en particular debe prestarse atención a la red, toda vez que sirve como columna vertebral de la infraestructura de TI. Para el efecto, hay que considerar firewalls, emplear una VPN (Virtual Private Network - red privada virtual) para trabajadores remotos, así como segmentar la red. También vale la pena asegurarse que todos los dispositivos estén protegidos con herramientas antimalware y antiphishing.

  • Hacer copias de seguridad

Una recomendación empleada desde hace bastante tiempo y que es efectiva frente a incidentes cibernéticos es realizar una copia de seguridad de los archivos esenciales y conservarla fuera de las instalaciones o en la nube, con el propósito de protegerlos frente a pérdida o manipulación por ciberataques, desastres naturales o fallos de hardware. Adicionalmente, debe procurarse la realización de pruebas de restauración completa de manera periódica.

  • Plan de respuesta a incidentes

Es conveniente elaborar o actualizar un plan de respuesta a incidentes (un conjunto de instrucciones dirigidas a ayudar al personal de TI a detectar, responder y recuperarse de los incidentes de ciberseguridad). Debe estar apropiadamente documentado, indicar quiénes participan, sus responsabilidades y funciones. Debe impartirse la respectiva capacitación y efectuarle pruebas al plan. Los auditores deben tener en cuenta que el plan de respuesta a incidentes de ciberseguridad puede incluir, entre otros asuntos:

    • La implementación de sistemas de detección de intrusos y otras herramientas para identificar posibles amenazas o actividades sospechosas
    • Un proceso claro para notificar a las partes pertinentes sobre un incidente y definir niveles de escalamiento según la gravedad del asunto
    • La consideración de una investigación exhaustiva para comprender la naturaleza y el alcance del incidente
    • Identificación del origen del ataque y determinación del impacto
    • Toma de medidas inmediatas para contener la propagación del incidente y eliminar la amenaza de la red o sistemas afectados
    • La restauración de los sistemas afectados a un estado operativo normal y garantizar la continuidad del negocio y el establecimiento de protocolos de comunicación interna y externa para informar a las partes interesadas, incluyendo empleados, clientes, y autoridades competentes, según sea necesario.

La implementación de las anteriores medidas permite a las pequeñas empresas reducir significativamente el riesgo de sufrir ataques cibernéticos y de esta manera, proteger la confidencialidad, integridad y disponibilidad de sus datos y su conocimiento por parte de los auditores. Del mismo modo, le permite fortalecer sus evaluaciones y recomendaciones en beneficio de la organización.

[1] El informe DBIR de Verizon hace referencia al "Verizon Data Breach Investigations Report" (Informe de Investigaciones sobre Violaciones de Datos de Verizon). Es un informe anual que proporciona un análisis de las amenazas de seguridad cibernética y violaciones de datos.


ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado