La situación actual que nos encontramos atravesando ha puesto a las organizaciones en riesgo, debido a que la gran mayoría de compañías sin importar el sector económico se tardan en detectar la materialización de las brechas de seguridad debido a que la interacción y las transacciones son realizadas de manera virtual, por esta razón miles de empresas se encuentran expuestas a la fuga de información.
Nos preguntamos ¿Qué tan preparadas se encuentran las organizaciones para afrontar esta nueva metodología de trabajo?, trabajo sin contacto.
Esta pandemia del Covid – 19 llevó a las compañías a implementar diferentes mecanismos y formas de trabajo, como por ejemplo, el trabajo en casa el cual llego a ser uno de los aspectos mas relevantes de la vida diaria, a través de diversas soluciones de comunicación como son: videoconferencias, uso de computadores personales y dispositivos móviles, para continuar con el cumplimiento de las actividades laborales diarias y la inclusión de las actividades de carácter personal tales como, el contacto con nuestro seres queridos y la educación virtual. Sin embargo, el uso extensivo de servicios de trabajo en casa, aplicaciones, flujos de información virtual y por medio de dispositivos, exigen un nuevo reto de seguridad de la información en estos tiempos.
Actualmente, los sistemas de seguridad usados dentro de las organizaciones o que los colaboradores tienen instalados en sus dispositivos móviles, o computadores personales no son lo suficientemente robustos ni cuentan con las seguridades de información necesarias para contrarrestar esos nuevos depredadores digitales que están en la búsqueda permanente de atacar las conexiones de los usuarios y vulnerar la información, llegando al punto de hurtarla, pedir rescate, hacer uso inadecuado de la misma; situaciones que impactan de manera considerable la salud digital de las organizaciones a nivel reputacional o el buen nombre, conllevando riesgos de pérdida de información sensible, que finalmente se convierten en pérdidas financieras.
Esta es la razón del porque las compañías se encuentran en riesgo; debido a que en muchas de ellas sin importar su tamaño, el área de sistemas o de tecnología de la información no es esencial, ni le prestan la atención necesaria, ni destinan los recursos, ni el presupuesto para la actualización de los sistemas, temas de seguridad, realización de pruebas, implementación de planes de contingencia, pruebas de vulnerabilidad, entre otros; en algunos sectores, como por ejemplo, el sector financiero que es reglamentado por una normatividad específica el Legislador y los entes de control establecieron circulares, parámetros y directrices frente a la seguridad de información, a la cual, solo se da cumplimiento por ser un requisito de índole legal, sin mirar la relevancia que conlleva, comoquiera que en la mayoría de los casos se evidencia que son implementados sin las pruebas acordes y el nivel de conciencia, e importancia requerido. Por esta razón, a la mayoría de las organizaciones les ha costado adaptarse al trabajo en casa, debió a que no contaban con: equipos portátiles suficientes, accesos remotos, infraestructura robusta, entre otros.
En estos días hemos visto que han ocurrido los siguientes acontecimientos que nos han servido para tener una gran aceleración, aprendizaje e implementación de nuevas alternativas para lograr este desafío tecnológico, como son:
• Aceleración en la aplicación de correctivos tecnológicos a las plataformas de uso dentro de las organizaciones.
• Aprendizaje rápido de las herramientas de colaboración online (video conferencias, clases, y reuniones virtuales).
• Implementación acelerada de sistemas de autenticación.
• Definición e implementación de controles para asegurar los accesos remotos sobre aplicaciones que antes funcionaban internamente dentro de las organizaciones (VPN – Virtual Private Network)
• Aceleración en el uso de ambientes virtualizados.
• Aumento del control sobre personas y sistemas que no son parte oficial del ecosistema de tecnologías permisibles en la organización, pero que son necesarias y críticas, por ejemplo otorgar accesos a personal externo del outsourcing contable, revisoría fiscal, personal de ventas, entre otros.
• Actualización de sus sistemas contables para ser trabajado bajo la nube y no anclados a un servidor local.
Como se menciona en los ítems anteriores, la aceleración, implementación y búsqueda de nuevas alternativas, no se hubiesen presentado tan rápidamente en las organizaciones como se tuvo que vivir en estos momentos con ocasión al estado de emergencia económico, social y ecológico que estamos atravesando. Lo anterior, les ha permitido a las diversas organizaciones efectuar cambios positivos, pues se ha llegado a adquirir mayores recursos para el adecuado desempeño de las labores encomendadas a sus colaboradores como también la relación entre ellos y su empleador.
Adicionalmente, también hemos tenido cambios culturales dentro de las organizaciones, como son:
• Los departamentos de seguridad o tecnología de la información han entendido las necesidades de accesos remotos y han facilitado de manera segura estos procedimientos, algo que antes tomaba meses de aprobación se ha hecho en horas o días.
• Se han identificado nuevos grupos de riesgo y se han monitoreado activamente, ayudándoles a entender el nuevo entorno, logrando que asimilen comportamientos adecuados para trabajar de manera segura, logrando procesos que antes eran imposibles de realizar, ahora todo se ha vuelto posible.
• Las organizaciones se encuentran concientizando a sus colaboradores sobre los riesgos cibernéticos en que estamos implicados por el uso de trabajo remoto, por tal razón se realizan capacitaciones, dando a conocer al personal la importancia del cuidado de la información e implementado nuevas maneras de envío de la misma como es el uso de la información encriptada.
• Elaboración e implementación de manuales de seguridad de la información en donde se tienen en cuenta factores, tales como: confidencialidad, integridad y disponibilidad de los datos que soportan la actividad de cada organización.
Sean datos confidenciales o no la información es valiosa y requiere de sistemas efectivos de protección, que no necesariamente están asociados a encerrar la información y a los colaboradores en el espacio físico de una oficina.
Cuando se trata de seguridad informática se consideran dos ámbitos de acción:
• Seguridad de la información, la cual se concentra en prevenir posibles ataques o accidentes que provoquen la pérdida física o la alteración de la información.
• Protección de datos, lo que se relaciona con la confidencialidad de la información particularmente de las bases de datos y de los registros sensibles de las organizaciones.
Es por esto que existen grandes temores al momento de la adopción del teletrabajo, debido a que se pone en riesgo la información, especialmente porque se cree que al compartir datos con dispositivos remotos se corre un mayor riesgo que sean victimas de ataques o filtraciones.
Otro acontecimiento importante que se ha venido presentando durante esta cuarentena, son los ataques cibernéticos, tales como:
• Vulnerabilidad en las plataformas tecnológicas para la realización de video conferencias.
• Hackers han entrado a plataformas educativas a tomar fotos de los participantes conociendo detalles de sus viviendas y configuraciones tecnológicas.
• Se ha incrementado el número de correos con información falsa relacionada con el COVID – 19 y enlaces diseñados para el robo activo de información.
• Empresas que funcionan en cloud (la nube) incrementan su capacidad, sin ejecutar todos los procedimientos de seguridad necesarios, con la justificación de mantener el nivel de servicio; dejando al descubierto fallas que han sido aprovechadas por los hackers.
Por todo este tipo de ataques y por los diferentes tipos de datos que circulan entre los equipos de trabajo, las organizaciones deben implementar e incluir diferentes filtros básicos para detener posibles amenazas. La información tiene un carácter estrictamente privado y solo puede estar al alcance de los colaboradores autorizados para ello, como es el caso de la información financiera o la información de futuros proyectos, por esta razón es importante el uso sistemas de protección de datos complejos, que garantizan la transparencia en el flujo de información y para la disipación de cualquier riesgo de ataque.
Se recomienda a las organizaciones que cuenten con programas de protección de datos y antivirus pertinentes. Además, es necesario que todos los miembros de las organizaciones tengan conciencia respecto al riesgo que supone exponer los datos de la entidad.
Las organizaciones tienen hoy un gran reto y temas pendientes por resolver, teniendo en cuenta el tamaño de las mismas y los sectores en donde estas se desarrollen, como son:
• Actualización o implementación de planes de continuidad del negocio, los cuales deben ser revisados, verificados, probados y actualizados continuamente; debido a que muchas compañías cuentan con planes de continuidad por dar cumplimiento a la normatividad aplicable según su sector pero los mismos no son revisados continuamente y cuando van a ser usados dichos planes no funcionan o no cumplen con lo que necesita la entidad.
• Acelerar la transformación digital, este es el único camino para sobrevivir en tiempos de crisis.
• Evaluar las capacidades reales de cada negocio para reinventarse en una economía de no contacto.
• Uso intensivo de la robótica, inteligencia artificial, drones, visión artificial como medios válidos para continuar operaciones no atendidas.
• Reevaluar la necesidad de grandes plantas físicas para gestionar procesos de back office (conjunto de actividades de apoyo al negocio para el cumplimiento de los objetivos)
• Extender la nube para los procesos colaborativos desde posiciones remotas.
• Reevaluar el uso de espacios físicos en donde se desarrollan las operaciones de las organizaciones.
Es decir, que las organizaciones se están enfrentando a diferentes cambios y solo sobrevivirán las que decidan aceptar dichos cambios, la forma de operar, la forma de manejar su negocio, buscar nuevas alternativas y reinventarse.
Dando respuesta a nuestro interrogante de ¿qué tan preparadas se encuentran las organizaciones para afrontar esta nueva metodología de trabajo?, podemos concluir que nos encontramos afrontando un gran reto y para todos nosotros es la primera vez que vivimos este tipo de crisis -emergencia económica y social- la cual nos ha conducido a cambiar de mentalidad, las formas de trabajo, reinventarnos y de hacer más con menos.
Es por esto, que las organizaciones deben afrontar esta crisis para buscar un crecimiento, avance, búsqueda de nuevas formas de negocio, nuevas formas de promocionar, gestionar sus productos y/o servicios, en caso de no ser así, muchas de las compañías dejaran de existir; primero por la falta de una adecuada planeación, temas financieros, flujo de caja, el personal que gerencia y segundo porque quienes administran varias organizaciones no cuentan con la experiencia y las capacidades de afrontar cambios abruptos que los inciten a la búsqueda de la innovación y a la adaptabilidad de una economía sin contacto.
Por lo expuesto, se requiere que las organizaciones adapten, modifiquen y actualicen la seguridad de la información, debido a que nos podemos afrontar de manera diaria a un gran número de riesgos de inseguridad que proviene de fuentes distintas y generando fugas, filtración o pérdidas de información con respecto a toma de decisiones, cambios en el giro del negocio, entre otros, y esta información puede caer en manos de personas no idóneas que pueden divulgar y acabar con las organizaciones u ocasionar grandes pérdidas económicas y financieras afectando la reputación y hasta la existencia de las mismas.
Por esto se hace importante y urgente que en cada compañía se verifiquen y evalúen los sistemas de seguridad, los planes de continuidad del negocio, se agilicen los procesos tecnológicos, la aplicación de los correctivos tecnológicos a las diferentes plataformas utilizadas, los cuales deben ser inmediatos y esto no dará espera, que el aprendizaje de los colaboradores del uso de las herramientas tecnológicas sea en línea con los procesos adelantados, validación de la seguridad del uso de herramientas tecnológicas para la elaboración de video conferencias, validar que cuando se realicen reuniones virtuales se encuentren únicamente las personas invitadas y autorizadas para tal fin, evitar el uso del correo personal para el envió de información sensible de las compañías, cerciorarnos que los sistemas de comunicación se encuentran encriptados, que el wifi de nuestras casas cuenta con una contraseña segura o realizo cambios periódicos de la misma, tener precaución con la instalación de software desconocidos y algo muy importante tener cuidado de las llamadas telefónicas laborales sobre temas sensibles que podamos sostener en nuestras casas con respecto a decisiones importantes de nuestras organizaciones y las personas que nos puedan escuchar.
Todo esto nos invita a que debemos adaptarnos a las nuevas tendencias como lo es la economía sin contacto, los gobiernos estarán mas interesados en la resiliencia de las compañías, estableciendo nuevas regulaciones y más vigilancia, establecer niveles de seguridad implementación de procesos y procedimientos y contar con soluciones de seguridad y ciberseguridad que permitan a las empresas para prevenir el riesgo de fuga de información y proteger el bien mas valioso que es la información, frente al creciente volumen de amenazas cibernéticas.
Adicionalmente, tener en cuenta la protección de datos validando el almacenamiento de la información en dispositivos externos como USB, discos duros, CD, DV, entre otros.
Por último, se debe validar el control en la fuente donde reposa la información general de la organización escaneando las conexiones, permisos de acceso y privilegios a la información a nivel de bases de datos, archivos y servidores principales.
Por: Paola Suarez – Supervisora de Auditoría.