Bogotá, enero de 2017.- De acuerdo con la consultora BDO Colombia, dos sectores específicos de la economía deben mejorar considerablemente sus estrategias de protección de la información y confrontación de ataques cibernéticos, dada la información tan sensible que gestionan en sus centros de datos, estos son el sector financiero y el sector de la salud.
Las empresas, sin importar su foco de negocio, deben medir su capacidad de respuesta para enfrentar los posibles ataques, reconocer sus ambientes de operación y sus necesidades específicas, con el fin de proteger de forma proactiva los activos críticos.
Pero las empresas del sector financiero y las del sector salud deben hacer mayores esfuerzos. “La transición hacia los archivos electrónicos en el área de la salud (EHR, por sus siglas en inglés), a pesar de resultar fundamental para el progreso y la innovación, también abre puertas a riesgos significativos de seguridad y privacidad”, comentó Patrick Pilch, Managing Director y National Leader en el Centro de Excelencia e Innovación para el Cuidado de la Salud de BDO. “Como evaluador aprobado en el HITRUST, CSF, BDO puede ayudar a los clientes del sector de la salud a garantizar el cumplimiento de todos los requisitos y reglamentos, para proteger de forma simultánea los datos confidenciales de los clientes y los pacientes”.
Por su parte, las empresas del sector financiero, al gestionar el dinero y los valores de las personas y las empresas, siempre estarán en la mira de la ciberdelincuencia. Esto les exige no solo desplegar estrategias de seguridad y protección de la información más consistente, sino también ser proactivas e incluso ayudar a sus clientes y usuarios a tomar las medidas necesarias para mejorar su capacidad de respuesta ante los ataques que puedan sufrir. Lo anterior toma relevancia a nivel local si se tiene en cuenta que según la Superintendencia Financiera de Colombia (2015), el número de operaciones financieras (monetarias y no monetarias) en Colombia mediante el canal internet aumento en un 45% de 2012 a 2014 y mediante el canal Telefonía móvil en un 252%. Adicionalmente este mismo ente informó que en el primer semestre de 2015, el sistema financiero colombiano realizó 2.026 millones de operaciones por 3.237,8 billones de pesos, de los cuales mediante el canal Internet se realizaron 363 millones de operaciones (un 43% del total) por valor de 1.092,61 billones de pesos (un 34% del total), algo que demuestra la cantidad de momentos y de recursos que están comprometidos en este tipo de transacciones y que son una fuente de oportunidades para algún tipo de ataque cibernético.
ESTRATEGIA Y AGILIDAD, ELEMENTOS CLAVES
Shahryar Shaghaghi, Technology Advisory Services National Leader and Head International BDO Cybersecurity, advierte que “las amenazas no son específicas para un grupo de negocios, ni para las empresas de un país, ni siquiera para las de gran tamaño. Todos los negocios son vulnerables y deben asumir la responsabilidad de proteger sus activos más valiosos, entre ellos la información y sus ingresos, con estrategias que les permitan maniobrar de forma confiable y eficiente, en particular las empresas y entidades que pertenecen a sectores como el financiero y el de la salud”.
Para lograrlo, BDO sugiere el desarrollo de planes estratégicos de largo plazo que incluyan el nombramiento de un director idóneo de seguridad y tecnología, o CISO, por las siglas en inglés de Chief Information and Security Officer, que supervise e implemente los programas de seguridad de la institución y refuerce las políticas de seguridad. Este líder debe reportar cómo está funcionando la seguridad del negocio a la junta directiva de la empresa al menos dos veces al año.
También, es importante que las empresas desplieguen programas formales de gestión de riesgos cibernéticos con terceros de tal forma que puedan implementar políticas y procedimientos que identifiquen y midan el riesgo de terceros con acceso a sistemas de información o a información privada.
LAS JUNTAS DIRECTIVAS DEBEN ASUMIR SU PAPEL DE LIDERAZGO
De acuerdo con un estudio de BDO realizado en Estados Unidos con las juntas directivas de empresas de ese país, 74% de los directores de empresas que cotizan en bolsa reportan que han sido vulnerados en los últimos doce meses y un 80% de todos los líderes encuestados han aumentado sus inversiones en protección contra ataques cibernéticos. De paso, los miembros de juntas directivas le dedican más tiempo al tema de la seguridad cibernética. Esto muestra que la dinámica de la ciberseguridad se mantendrá en las agendas de las juntas directivas de los negocios por muchos años a nivel internacional. Teniendo en cuenta el ámbito Colombiano y según estadísticas del Centro Cibernético Policial (CCP) y del Centro de Coordinación de Seguridad Informática (CSIRT PONAL) en Colombia se han incrementado el tipo y número de amenazas cibernéticas, es decir pasaron de gestionar 3.871 incidentes digitales en el 2014 a gestionar un total de 6.366 incidentes en el 2015. Según estas mismas entidades en el 2015, el 34% del total de los incidentes corresponden a incidentes de defacement[1], el 15.5% a estafa en compra o venta de servicios de Internet, el 8.9% a usurpación de identidad, el 7% a phising[2] y el 5.2% a smishing[3], situaciones y estadísticas que se deben poner sobre la mesa en las juntas o mesas directivas de las entidades al momento de asignar los recursos necesarios para cubrirse sobre estas modalidades de fraude.
De acuerdo con Javier Arévalo, gerente de Ciberseguridad de BDO Colombia: “Para hacer que las empresas cumplan sus metas de protección contra ataques cibernéticos, BDO ha desarrollado estrategias ajustadas a sus necesidades y que se enfocan en los temas críticos de cada una de ellas. Entre estos temas se destacan el diseño de un programa y una estrategia para la gestión del riesgo cibernético, el cual consiste en la creación e implementación de un programa exhaustivo que se alinea con los entornos de gestión de riesgo de los negocios y que incluye desde la misma estrategia hasta la estructura de la organización, gobernanza, políticas y procedimientos, así como entrenamiento y comunicaciones internas y externas”.
“Las empresas, sin importar el sector de donde procedan, deben superar las barreras de la defensa e integrar estas políticas con su estructura organizacional y de servicio. De esto depende no solo una buena capacidad para resolver los problemas internos y externos que generan los riesgos cibernéticos sino también su reputación y la capacidad de avanzar en el negocio” asegura Shaghaghi y agrega que “En los últimos tres años, los entes corporativos han aumentado su atención en el tema de la protección cibernética de sus negocios pero a pesar de esto más de la mitad de las empresas no han logrado progresos medibles entre el año pasado y este, lo cual muestra que es importante asesorarse de un experto en estrategia y que conozcan a la perfección los problemas cibernéticos de seguridad”.
COLOMBIA TIENE IMPORTANTES RETOS
Dadas las nuevas formas de criminalidad y del hecho de que actualmente las grandes redes criminales y el crimen organizado han adquirido una pericia especial en el manejo de nuevas tecnologías, lo que ha potenciado y ampliado sus capacidades, facilitando su actuar y optimizando sus rendimientos y teniendo en cuenta que el crimen organizado ha escogido como una gran aliada a la tecnología, y en esa medida crimen y mundo digital se funden en una amalgama que, vista desde la perspectiva del riesgo país, constituye una amenaza contra la seguridad empresarial y nacional, es indispensable que en el país se dé un entendimiento claro de los fenómenos tales como el ciberlavado de activos[4], el ciberterrorismo, la ciberdelincuancia, el ciberespinaje o el cibersabotaje[5].
En Colombia, particularmente, la Banca ha avanzado en los modelos de gestión y protección del negocio de una forma integral que permite atender las solicitudes de los clientes. BDO ha trabajado de la mano con gran cantidad de entidades de este sector a nivel internacional con el fin de asegurar y perfeccionar sus estrategias y así poderlas replicar en diferentes países como Colombia.
Otro sector que está adelantando sus estrategias para prevenir incidentes es el sector salud, “porque aparte de la información financiera está también la información personal, por ejemplo, la de las historias clínicas, que pueden sufrir hackeos y obstruir la atención o una cirugía e incluso impedir que un paciente con cáncer obtenga un tratamiento”, afirma Shaghaghi. Sin embargo, el sector salud, seguido de otros sectores, como el de retail, logística e infraestructura y servicios públicos, entre otros, deben asumir que la vulnerabilidad a los ataques cibernéticos es inversamente proporcional a la atención que dediquen al tema.
BDO puede ayudar a establecer un programa de ciberseguridad que asegure la confidencialidad, la integridad y la disponibilidad de los sistemas de información cumpliendo con al menos cinco funciones primordiales, como son, la identificación de los riesgos cibernéticos, la implementación de políticas y procedimientos para prevenir acceso o usos no autorizados, la detección de eventos que atañen a la seguridad cibernética, la capacidad para responder a los incidentes de seguridad y la habilidad para restaurar las operaciones y los servicios luego de un ataque.
Así, las empresas colombianas deberán enfocarse en temas concretos que les permitan superar sus retos de ciberseguridad. Entre ellos es necesario destacar la realización de pruebas y mediciones en este campo, la transformación de la arquitectura de seguridad, la planeación ante incidentes y las investigaciones digitales forenses. Estos son los temas claves sin dejar de lado la concientización y la educación, que permitirán a las empresas colombianas mejorar sus estándares de seguridad y protección.
Responder si la empresa está asegurada requiere una medición profunda del entorno operativo y BDO está dispuesta a acompañar a las empresas colombianas en el desarrollo e implementación de sus estrategias de seguridad cibernética con el fin de hacer más eficientes y confiables sus decisiones de negocios.
Por: Redacción BDO
0 Comentarios
Deje su comentario