Las tecnologías de información y la
multiplicación de los riesgos de compliance.
Carlos
Alberto Barrios
Moore
Stephens Madrid.
Uno de los
aspectos que más ha crecido y que
más ha permeado a las organizaciones y a las
personas es el mundo tecnológico.
Las ventajas
y los beneficios que estas tecnologías y su interconectividad mundial están
generando son indudables e irrefutables. Sin embargo uno de los problemas del
crecimiento tan violento, tan exponencial y vertiginoso, es la forma caótica,
incontrolable y confusa con la cual los proveedores de estas tecnologías han
tratado de captar su tajada del mercado, cautivándolo con una cantidad de
beneficios que no siempre se corresponden a la realidad de lo ofrecido y exponiendo
en desconocimiento del usuario a una cantidad importante de brechas de
seguridad que incrementan los riesgos de difusión y exposición de información
privada y confidencial. Potencialmente muy dañina y de alto impacto para el
afectado.
No imaginamos
una persona (sin importar su edad) sin un Smartphone, y una tablet y una
laptop, interconectada en su casa a la red WIFI, compartiendo internet con su
impresora inalámbrica, su SmartTV y los más osados con su nevera inteligente (imagino
será Smartfridge), con acceso a la red. El promedio de conectividad de equipos
por persona
es de 4 equipos, y por vivienda familiar hasta de 12 dispositivos.
En España la penetración de la telefonía inteligente es del 95%, y del 65% en
el segmento adultos mayores entre 60 a 75 años. El promedio de descargas de
app´s por Smartphone va de 13 a 32 por equipo.
A nivel
empresarial no concebimos una empresa que no tenga implementado y desarrolle
sus procesos sobre algún tipo de plataforma tecnológica. Muchas veces
implementado en una suerte de plataformas tecnológicas variopintas, desvinculadas
entre sí o tímidamente relacionada por una suerte de collage de scripts, app´s
o herramientas de gestión que permiten medianamente su integración. Todas
dispuestas en un grupo de servidores que comparten funciones que en muchos
casos son incompatibles entre ellas y que exacerban su nivel de exposición a riesgos.
Toda esta larguísima
introducción es solo para reforzar la importancia, la exigencia, la imperiosa
necesidad de que una evaluación de cumplimiento o compliance sin desarrollar una
profunda evaluación y entendimiento del nivel y penetración de las tecnologías
de información en todas las capas de la
organización puede traer como consecuencia la no identificación de riesgos potencialmente
muy dañinos, peligrosos y de alto impacto en la organización.
Los riesgos
derivados de inconsistencias o inobservancia de controles en la definición de
los esquemas de seguridad perimetral de las redes de datos, sus accesos a
internet, implementación de cortafuegos o firewalls, analizador de tráfico de
internet, esquemas de detección de intrusos (IDS/IPS), antivirus y antispam
robustos adecuadamente implementados y controlados minimizan los niveles de
exposición por acceso y propagación de información confidencial, de uso de
nuestras redes de datos como medios de tráfico y difusión de material
clasificado.
De las 24
causales de delitos potenciales según el Código Penal, no menos de 4 de ellas
de las 8 que aplican en forma general para todas las organizaciones, están
directa o indirectamente relacionadas a debilidades, fallas o inconsistencias
en el control de nuestro ambiente informático.
Una revisión
de compliance sin una evaluación y entendimientos de los riesgos tecnológicos que
como organización estamos expuestos desde mi punto de vista incumple el “debido
control” en sus deberes de supervisión, vigilancia y eficacia expresados en el
artículo 31bis:
1.º
Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos” y “2.º Establecerán los protocolos o procedimientos
que concreten el proceso de formación de la voluntad de la persona jurídica, de
adopción de decisiones y de ejecución de las mismas con relación a aquéllos”.
Más claro y
más especifico no se puede expresar.!
Si deseas
complementar el tema o aportar tus comentarios e ideas, estás en la libertad de
realizarlo, respetando las ideas de los demás y sin exponer a personas o
empresas. Nadie tiene la verdad absoluta!
Comentarios
Publicar un comentario