La seguridad informática es de vital importancia para todas las organizaciones (grandes y pequeñas)

IFAC, Noticias IFAC

En el actual mundo computarizado, surgen nuevos riesgos cada hora de cada día. Conectarse a internet abre la posibilidad de que un pirata informático ponga en la mira su organización. El cibercrimen se está convirtiendo en un gran negocio y el riesgo cibernético se está convirtiendo en el centro de atención de las organizaciones y los gobiernos a nivel global. Los riesgos monetarios y para la reputación son altos si las organizaciones no tienen un plan adecuado de seguridad informática.

La seguridad informática y las filtraciones de datos siguen en aumento y afectan a organizaciones de todos los tamaños y sectores. El último Informe de preparación cibernética de Hiscox 2023 revela que los ataques informáticos han aumentado constantemente durante cuatro años consecutivos, con un notable incremento en los dirigidos a empresas más pequeñas, alcanzando un 36 %. Según Statista, el sector manufacturero experimentó la mayor proporción de ataques informáticos en comparación con otras industrias en 2022, seguido de cerca por el sector de finanzas y seguros. Algunos casos recientes han implicado robos de información confidencial, lo que ha provocado importantes pérdidas financieras para las empresas afectadas.

¿Qué es seguridad informática?

La seguridad informática consiste en asegurarse de que los datos de su organización están a salvo de ataques por parte de actores maliciosos, tanto internos como externos. Puede abarcar un conjunto de tecnologías, procesos, estructuras y prácticas empleadas para proteger redes, computadores, programas y datos frente a daños o accesos no autorizados. El objetivo de cualquier estrategia de seguridad informática es garantizar la confidencialidad, la integridad de los datos y la disponibilidad.

Hay varios medios principales mediante los cuales algunos problemas de seguridad informática pueden afectar (o incluso destruir) una organización y su reputación. Existe el riesgo de que un pirata informático obtenga información sensible, por ejemplo, datos sobre cuentas bancarias o tarjetas de crédito. Hay mercados abiertos para tal información en la “internet oscura”. Si otros acceden a tal información sensible, es posible que la organización encuentre que sus cuentas bancarias o tarjetas de crédito estén vacías o infringiendo las leyes sobre privacidad. Cada mes, a nivel global, se producen violaciones muy mediáticas a la seguridad informática que tienen impacto en los datos personales.

Un segundo problema relacionado es que cuando un pirata informático obtiene información sensible sobre la organización, es posible que esta vea su reputación estropeada. Pocas organizaciones pequeñas pueden sobrevivir al daño que dicha pérdida de datos puede ocasionar a su reputación. El daño a la reputación y al prestigio puede ser más devastador que la propia pérdida de datos. Es posible que la pérdida de datos de clientes traiga consigo procesos judiciales o reglamentarios contra la organización. Un tercero podría presentar una demanda contra una organización puesto que esta ha sufrido una pérdida. Las organizaciones también podrían quedar sujetas a sanciones o procesos judiciales derivadas del incumplimiento de las leyes de privacidad en muchas jurisdicciones.

El aspecto más reciente y alarmante sobre seguridad informática que ocasiona problemas considerables para las organizaciones son los programas de secuestro informático (ransomware). A principios de 2012, las denuncias sobre campañas de secuestro informático adoptaron modelos de negocio con un enfoque comercial. En muchos casos, una parte de un programa maligno (malware) se oculta y se incrusta dentro de otro tipo de documento solamente a la espera de que lo ejecute el usuario que está en la mira. Después de ejecutarlo, es posible que el malware cifre los datos de la organización con una clave de cifrado de 2,048 bits o se comunique con un servidor de comando y control centralizado a la espera de las instrucciones que lleve a cabo el adversario. Una vez infectados, los datos de la organización siguen estando inaccesibles dado que los datos están cifrados mediante la clave de cifrado del atacante. Una vez que todos los datos accesibles estén cifrados, lo cual incluye en muchos casos los datos y sistemas referentes a copias de seguridad, la organización recibirá dentro de unos días instrucciones sobre la forma de pagar un rescate o el adversario eliminará la clave de cifrado y los datos se perderán. Literalmente, el adversario mantiene los datos hasta el rescate, de ahí lo de secuestro informático. La clave de cifrado es lo suficientemente potente que descifrarla, en lugar de pagar un rescate, es poco rentable; algunos calculan que un computador de escritorio promedio se tardaría cinco cuatrillones de años en descifrar los datos sin la clave. En algunos casos, la organización objetivo puede esperar que algunos investigadores hayan descubierto una forma de descifrar el acceso a los datos con base en un error de diseño. De lo contrario, la organización tendrá que pensar en restaurar los sistemas y los datos a partir de una copia de seguridad o considerar la posibilidad de pagar el rescate. Hay que tener en cuenta que incluso la restauración de los datos no elimina el riesgo de que los programas de secuestro informático no se activen de nuevo o regresen basándose en la integridad comprometida del entorno.

Gobernanza de la seguridad informática

Se debe establecer un plan de gobernanza y gestión de riesgos de la seguridad informática adecuado para el tamaño de la organización. Los propietarios y los directivos tienen que considerar los riesgos para la seguridad de la información como un riesgo empresarial significativo. Este debería estar al mismo nivel de los riesgos de cumplimiento, operativos, financieros y de reputación, con criterios de medición adecuados y resultados que estén bajo seguimiento y gestión.

Hay marcos voluntarios que se pueden utilizar para considerar la evaluación de riesgos y las mejores prácticas relacionadas. Por ejemplo, el (NIST) Cybersecurity Framework (Marco de Seguridad Informática del Instituto Nacional de Normas y Tecnología [NIST, por sus siglas en inglés] de los EE. UU.) incluye cinco funciones concurrentes y continuas:

  1. Identificar: desarrollar una noción organizacional para gestionar el riesgo para la seguridad informática de sistemas, personas, activos, datos e instrumentos informáticos para tareas específicas.
  2. Proteger: desarrollar e implementar las salvaguardas adecuadas para garantizar la prestación de servicios fundamentales.
  3. Detectar: desarrollar e implementar actividades adecuadas para identificar un evento referente a seguridad informática.
  4. Responder: desarrollar e implementar actividades adecuadas para tomar medidas en relación con un incidente de seguridad informática detectado.
  5. Recuperar: desarrollar e implementar actividades adecuadas para mantener los planes de resiliencia y restaurar todo instrumento informático para tareas específicas o todo servicio que haya quedado deteriorado debido a un incidente referente a seguridad informática.

Protección contra software maliciosos y ataques externos

Siguen surgiendo nuevas amenazas y cada organización debe asegurarse de estar preparada para afrontar un entorno dinámico de amenazas. Las siguientes son algunas de las herramientas y soluciones más importantes en los sistemas utilizadas para ayudar a mitigar estos ataques maliciosos:

  • Los cortafuegos son software (y también hardware) diseñados para proteger el sistema contra ataques provenientes de personas que acceden a los sistemas de la organización mediante enlaces de comunicación, tanto internos como externos.
  • Los productos especializados de protección frente a programas maliciosos o programas espía y los productos especializados de protección de servidores proxy protegen el sistema frente a códigos de software que pueden provenir de ventanas emergentes o tener intenciones más insidiosas, tales como iniciar sesiones con nombres de usuarios y contraseñas con fines fraudulentos.
  • Los programas para prevenir el correo basura protegen las bandejas de entrada de los correos electrónicos para que no queden atascadas con mensajes no deseados.
  • Los programas informáticos antifraude protegen a los usuarios de visitar páginas web diseñadas para capturar información del usuario, que luego puede ser utilizada con fines fraudulentos.

Todas estas herramientas son obligatorias para cualquier sistema bien administrado que utilice una estrategia exhaustiva de defensa. El costo de un ataque puede ser significativo, ya que implica pérdida de datos, fraude y el costo de reconstruir los sistemas, y debe analizarse en comparación con el costo de defenderse de tales amenazas.

Se recomienda utilizar un proveedor conocido y de buena reputación. Algunas empresas fingen proveer tales herramientas, pero, de hecho, esas herramientas en sí mismas pueden ser programas maliciosos. Sea precavido a la hora de utilizar programas informáticos gratis o de un proveedor desconocido. Por lo general, es mejor utilizar las herramientas que recomienda la organización de integración de sistemas (servicio técnico) del negocio, puesto que se encargará de su instalación, configuración y mantenimiento.

El mantenimiento de estas aplicaciones es fundamental, pues todos los días aparecen nuevos programas maliciosos. La mayoría de los proveedores de software ofrecen, por lo menos, una actualización automática diaria para sus bases de datos con el fin de garantizar que el sistema se mantenga protegido eficazmente. Es esencial asegurarse de que estas actualizaciones se implementen correctamente.

Planes de mantenimiento de hardware

Deben mantenerse los contratos de mantenimiento con los proveedores de hardware, de manera que las fallas en dichos equipos se puedan rectificar rápidamente. Estos contratos deben especificar los niveles de servicio que el proveedor ha de cumplir en caso de presentarse algún fallo. Algunos equipos informáticos de vital importancia, tales como servidores, conmutadores y tecnologías de copias de seguridad, requieren de atención inmediata. Muchos contratos especifican mecanismos de respuesta de cuatro horas en caso de fallo en estos componentes. Otros equipos informáticos de menor importancia, tales como las estaciones de trabajo individuales, pueden tener tiempos de respuesta más prolongados.

Algunas organizaciones, especialmente en lugares lejanos, compran algunos componentes fundamentales que tienen una mayor posibilidad de fallar, tales como las fuentes de alimentación o repuestos que pueden reemplazar rápidamente un componente averiado. Las organizaciones que dependen de los contratos de mantenimiento deben asegurarse de que la empresa de servicio técnico mantenga una reserva suficiente de repuestos para cumplir con los compromisos de nivel de servicio de las organizaciones.

La calidad de la empresa externa de soporte de tecnologías de la información (TI) para la organización es de vital importancia a la hora de garantizar la correcta implementación y soporte de los sistemas. Entre los asuntos que deben tenerse en cuenta a la hora de seleccionar una empresa adecuada, aparecen los siguientes:

  • Su conocimiento y experiencia en la configuración del sistema operativo y el hardware de la organización.
  • Su conocimiento y experiencia con la aplicación del software de la organización.
  • Certificaciones que se tienen con importantes empresas de software y hardware, lo cual da garantía en cuanto a la competencia del personal de la organización.
  • La cantidad de personas dentro de la empresa que tienen el conocimiento requerido para dar soporte al sistema – esto es de vital importancia, puesto que el hecho de depender de una sola persona puede traer consigo demoras y costos significativos si esa persona no está disponible por algún motivo.
  • Su capacidad para prestar servicio técnico a distancia para facilitar un mecanismo de respuesta rápida a ciertos problemas a un costo razonable.
  • La debida diligencia y la gestión de riesgos del proveedor para garantizar que el tercero presta los servicios de acuerdo con las expectativas de las organizaciones.

Personas y registro de información

Toda organización debe establecer un plan para mitigar el riesgo de que las personas importantes no estén disponibles en caso de presentarse algún fallo en el sistema. Conserve una lista de datos de contactos correspondientes al personal técnico de reserva. Registre la información sobre la configuración del hardware y las aplicaciones de software y manténgala actualizada para que un nuevo técnico pueda reconstruir rápidamente el sistema.

Políticas y procedimientos

Es fundamental contar con los procedimientos adecuados de gobernanza de TI dentro de la organización. Implemente un proceso de evaluación de riesgos formal y desarrolle políticas para garantizar que se haga un uso indebido a los sistemas, además asegúrese de que las políticas aplicables se revisen y actualicen de forma continua para que reflejen los riesgos más recientes. Lo anterior, incluye desarrollar políticas y procedimientos de respuesta a incidentes para afrontar, rendir cuentas y ayudar a mitigar adecuadamente el costo de una posible violación a los sistemas.

La educación continua para todos los empleados, en lo referente a riesgos tecnológicos, debe formar parte del marco de gestión de riesgos de las organizaciones, teniendo en cuenta que las posibles violaciones a los mecanismos de seguridad se mitiguen gracias a la formación y las políticas que se difundan en todos los niveles del personal. Las políticas deben incluir, entre otras, las siguientes cuestiones:

  • Gestión de cuentas de usuarios: reglas y políticas para todos los niveles de usuarios, procedimientos para garantizar el hallazgo oportuno de incidentes de seguridad; los sistemas informáticos y los datos confidenciales quedan protegidos de usuarios no autorizados.
  • Gestión de datos: establecer procedimientos eficaces para gestionar los bancos de datos, las copias de seguridad y recuperación de datos, y la eliminación adecuada de los soportes. La gestión eficaz de los datos ayuda a garantizar la calidad, puntualidad y disponibilidad de datos empresariales.
  • Gestión de riesgos y seguridad informática: proceso que mantiene la integridad de la información y la protección de los activos de TI. Este proceso incluye establecer y mantener funciones y responsabilidades, políticas, normas y procedimientos para la seguridad informática.

Es probable que cada jurisdicción haya sancionado y aprobado leyes que exijan que se aborden determinadas políticas o cuestiones dentro de una política específica. A continuación, se enumeran algunas políticas comunes que abordan el uso de sistemas, correo electrónico, internet y el acceso a distancia.

Política de uso de sistemas

Por lo general, una política de uso de sistemas describe las reglas mediante las cuales se pueden utilizar los sistemas informáticos de las organizaciones. Entre los ejemplos de elementos que se han de tener en cuenta en esta política, se incluyen los siguientes:

  • El uso obligatorio de contraseñas en todos los sistemas, tales como teléfonos y tabletas, incluida la necesidad de que se cambien periódicamente las contraseñas y la prohibición de entregar contraseñas a otros compañeros de trabajo o terceros.
  • La prohibición de copiar datos de la organización y sacarlos de la oficina sin previa autorización.
  • El cifrado de memorias USB
  • La seguridad física de los equipos
  • El uso del sistema durante las horas de trabajo
  • Las reglas para el uso privado del sistema, si se permite, fuera del horario laboral.
  • La autenticación multifactor: utilizar más de un método de autenticación a partir de categorías independientes de credenciales para verificar la identidad del usuario para iniciar sesión.

Política de uso del correo electrónico

Entre los elementos que se deben tener en cuenta en la política de uso del correo electrónico, se incluyen los siguientes:

  • Prohibir el uso de cuentas de correo electrónico personales para asuntos laborales.
  • Prohibir la apertura de archivos adjuntos de correos electrónicos provenientes de fuentes desconocidas (puesto que podrían contener programas maliciosos).
  • Prohibir el acceso a cuentas de correo electrónico de otras personas.
  • Prohibir la divulgación de contraseñas de cuentas de correo electrónico.
  • Prohibir el uso personal excesivo del correo electrónico de la organización.
  • Notificar que la organización le hará un seguimiento al sistema de correo electrónico.

Política de uso de internet

Entre los elementos que se deben tener en cuenta en la política de uso de internet, se incluyen los siguientes:

  • Limitar el uso de internet para fines comerciales.
  • Notificar la capacidad que tiene la organización de rastrear el uso de internet.
  • Prohibir el acceso a páginas web que tengan contenido ofensivo contra el género, la sexualidad, la religión, la nacionalidad o la ideología política de una persona.
  • Garantizar que las descargas se produzcan solamente desde una página web segura y de buena reputación.
  • Prohibir la descarga de archivos ejecutables (programas), puesto que pueden contener softwares maliciosos y, asimismo, prohibir la descarga de música, películas o programas informáticos pirateados.
  • Prohibir la entrega de la dirección de correo electrónico empresarial del usuario con el fin de limitar la probabilidad de recibir correos no deseados.
  • Consecuencias de la violación a la seguridad

Política de acceso a distancia

Entre los elementos que se deben tener en cuenta en la política de acceso a distancia, se incluyen los siguientes:

  • Autorizaciones necesarias para el acceso externo
  • Reembolso de costos por acceso externo
  • Procedimientos de seguridad (incluida la divulgación de contraseñas, uso del sistema por parte de terceros, desconexión de otras redes mientras se accede a los sistemas de la organización, uso de cortafuegos e instalación de programas informáticos adecuados para proteger el sistema remoto de ataques maliciosos y de una autenticación multifactor).
  • Seguridad física de los equipos que la organización suministra, tales como los computadores portátiles.
  • Notificaciones sobre cualquier posible violación a los mecanismos de seguridad, acceso no autorizado o divulgación de datos de la organización.
  • Acuerdo de que la organización pueda hacer seguimiento a las actividades del usuario externo para identificar patrones inusuales de uso u otras actividades que parezcan sospechosas.
  • Consecuencias del incumplimiento

Seguros

Unas pólizas de seguro suficientes deberían cubrir el costo de reemplazar la infraestructura estropeada, así como los costos de la mano de obra para investigar el incidente, reconstruir los sistemas y recuperar los datos. Asimismo, considere una póliza de seguros para la pérdida de productividad como consecuencia de una falla importante del sistema o de un hecho catastrófico.

Este artículo se publicó originalmente como Financial Literacy for SMEs: A Lifeline to the Lifeblood of the Global Economy del órgano de contadores profesionales Institute Federation of Accountants.

Autores: Steve Ursillo, Jr. y Christopher Arnold

“Este documento titulado “Cybersecurity Is Critical for all Organizations – Large and Small” que la Federación Internacional de Contadores (IFAC) publicó en inglés el 23 de octubre de 2023, lo ha traducido al español el Instituto Nacional de Contadores Públicos de Colombia (INCP) el 31 de octubre de 2023 y se utiliza con permiso de IFAC. El texto aprobado de todas las publicaciones de IFAC es aquel que IFAC publique en lengua inglesa. La IFAC no asume responsabilidad por la exactitud y completitud de la traducción ni por ninguna medida que se tome como consecuencia de lo anterior.

Texto en inglés del documento titulado “Cybersecurity Is Critical for all Organizations – Large and Small”, © 2023 cuyo autor es la International Federación Internacional de Contadores (IFAC). Todos los derechos reservados.

Texto en español del documento titulado “La seguridad informática es de vital importancia para todas las organizaciones (grandes y pequeñas)”, © 2023 cuyo autor es la International Federación Internacional de Contadores (IFAC). Todos los derechos reservados.

Título original: “Cybersecurity Is Critical for all Organizations – Large and Small”. Póngase en contacto con Permissions@ifac.org con el fin de solicitar permiso para reproducir, almacenar, transmitir o darle otros usos similares a este documento”.

  • by
  • on 6 diciembre, 2023
0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tag Cloud
IAASB NIA SMMLV
Etiquetas
IAASB NIA SMMLV

Elaborado por:

La revista El Contador Público es una publicación periódica realizada por el Instituto Nacional de Contadores Públicos – INCP desde 1954, registrada bajo el ISSN 2745-1224 (en línea) / 0122-6762 (impreso), en la cual se publican contenidos relacionados con los ejes centrales de la profesión contable y las temáticas que tienen incidencia en ella, tales como: ética, aseguramiento, Normas Internacionales de Información Financiera (NIIF), impuestos, regulación y normatividad, revisoría fiscal, tecnología, tendencias e innovación, finanzas, contabilidad, costos, buenas prácticas, sostenibilidad, entre otros.
© 2025 Revista El Contador Público INCP.