Por: CP Iván Rodríguez. Colaborador de Auditool.

Un tema que cada vez más se ha convertido en parte de la agenda de auditores, gestores de riesgo y miembros de la alta dirección de las organizaciones es la privacidad de datos. Al evaluar los riesgos, sean estos cibernéticos, regulatorios de reputación, la privacidad de los datos se constituye en uno de los desafíos más críticos a los que se enfrentan los profesionales del riesgo y garantizar tanto la seguridad y el cumplimiento de los activos de datos es un factor decisivo para las empresas.  

Con motivo de la reciente pandemia Covid 19, un cierto número de organizaciones advirtieron que no estaban debidamente preparadas en cuanto a los requisitos de privacidad y seguridad necesarios para gestionar los riesgos que aparecieron con el cambio al trabajo remoto y tuvieron que recurrir a terceros expertos para que les ayudaran a superar estos desafíos. No obstante, se presentaron filtraciones de datos (algunas ampliamente difundidas por la prensa) y de manera simultánea los reguladores incrementaron su actividad para dar tranquilidad al entorno. Por su parte, para los auditores y los profesionales de riesgo, el tema de privacidad de datos se constituyó en un área de competencia crítica.

Dentro de las dificultades relacionadas con el tema de la seguridad, se encuentran las siguientes, que de materializarse, pueden convertirse en problemas críticos que requieren una pronta atención para mitigar sus impactos.

Ciberataques y Amenazas Persistentes Avanzadas (APTs):

En la medida en que surgen avances tecnológicos, los ciberdelincuentes emplean técnicas cada vez más refinadas para eludir las medidas de seguridad tradicionales. Allí se enmarcan las amenazas persistentes avanzadas (APTs), que son ataques dirigidos y persistentes que pueden pasar desapercibidos durante largos periodos y causar daños significativos. Estos ataques suelen ser sigilosos y están dirigidos específicamente a ciertos objetivos, como empresas, organizaciones gubernamentales o infraestructuras críticas. Normalmente se llevan a cabo por actores altamente capacitados, como agencias gubernamentales, grupos de hackers patrocinados por organizaciones criminales sofisticadas y terceros interesados en causar daños a la información y a las organizaciones. Para llevar a cabo estos ataques, utilizan técnicas avanzadas de hacking, como el phishing, malware personalizado y exploits de vulnerabilidades para comprometer sistemas y redes.

Falta de conciencia y educación en seguridad:

Las personas, bien sea empleados o colaboradores así como otros terceros, son a menudo el eslabón más débil en la cadena de seguridad. Cuando hay falta de conciencia y educación en seguridad en las personas, esto puede llevar a prácticas inseguras, tales como el uso de contraseñas débiles, la apertura de correos electrónicos maliciosos o el acceso a sitios web no seguros, todas estas situaciones que introducen riesgos y permiten a los ciberdelincuentes aprovechar debilidades y vulnerabilidades.

Cumplimiento normativo:

Toda vez que diferentes organismos gubernamentales y profesionales se han preocupado por el tema de la seguridad de datos, como respuesta han emitido diferentes normas tendientes a garantizar que las organizaciones sometidas a vigilancia y control operen de manera segura para beneficio propio y de los usuarios y otros terceros. En caso de incumplimientos, las organizaciones vigiladas o que deben atender el marco normativo, se ven expuestas a multas, sanciones y probablemente a pérdida de confianza por parte de los clientes. El cumplimiento le da a la organización herramientas para mitigar los riesgos de acceso a información confidencial y de violación de datos.

Escasez de talento en ciberseguridad:

La falta de auditores especializados y de profesionales en ciberseguridad, frente a las amplias y crecientes necesidades de las organizaciones, se constituye en una dificultad que deben afrontar las organizaciones para abordar los riesgos a los que se ven expuestos los datos. En tanto los auditores y otros profesionales se preparan y reciben la capacitación necesaria y adquieren las habilidades requeridas, hay una ventana de tiempo en que las organizaciones que no cuentan con personal preparado están expuestas a la materialización de riesgos de ciberseguridad y problemas con la privacidad de datos.

Uso de dispositivos móviles:

Con los permanentes adelantos tecnológicos, se ha incrementado la tendencia a emplear dispositivos móviles personales para acceder a información y datos corporativos, lo cual representa desafíos de seguridad. Para las organizaciones, gestionar y asegurar la información en dispositivos que no son corporativos, toda vez que están fuera del control directo de la organización es un problema crítico. Se requiere de medidas adicionales tales como configurar la funcionalidad de borrado remoto en caso de pérdida del dispositivo móvil para evitar accesos no autorizados a la información corporativa, emplear herramientas de monitoreo para supervisar la actividad de los dispositivos móviles y detectar cualquier comportamiento sospechoso o actividad no autorizada y educar y concientizar a los empleados sobre las mejores prácticas de seguridad móvil, como no hacer clic en enlaces sospechosos, no descargar aplicaciones de fuentes no confiables y estar alerta ante posibles intentos de phishing.

Accesos internos no autorizados:

Por descuido o mala intención, hay riesgos significativos originados en la conducta de empleados y colaboradores que por diversas razones conceden accesos no autorizados a programas, bases de datos o información confidencial a personas que no están debidamente autorizadas. Las organizaciones deben implementar diversas medidas preventivas y correctivas, tales como controles de acceso, definición de perfiles en función del cargo, realización de auditorías periódicas y revisión de logs o huellas de los sistemas, con el propósito de evitar el acceso no autorizado y mitigar los riesgos derivados de esa situación.

Otros riesgos surgen del uso de la inteligencia artificial en ciberataques, haciendo que la detección y prevención sean más desafiantes; las vulnerabilidades en los programas y equipos pueden ser explotadas por atacantes para ganar acceso no autorizado a la información, la protección insuficiente de datos en la nube por configuración inadecuada y la falta de controles de seguridad pueden exponer datos sensibles a riesgos.

Para abordar estos problemas, las organizaciones deben adoptar un enfoque integral de gestión de riesgos y seguridad de datos que incluya políticas sólidas, tecnologías de seguridad avanzadas, capacitación continua del personal y una cultura de seguridad arraigada en toda la empresa. Los auditores y los gestores de riesgos desde sus posiciones pueden contribuir con su conocimiento y experiencia. De ahí la importancia de una permanente capacitación y actualización en ciberseguridad y el debido cuidado al implementar controles que busquen la preservación de la privacidad de los datos.

La implementación de medidas de seguridad avanzadas, como firewalls, sistemas de detección de intrusiones, análisis de comportamiento de red y formación en concienciación sobre seguridad para el personal, además de mantener los sistemas actualizados y realizar auditorías de seguridad periódicas, contribuyen a la seguridad de los datos y son prácticas recomendadas para mitigar los riesgos de no proteger la privacidad de los datos.


  

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado