Las tecnologías de información y la multiplicación de los riesgos de compliance.

Las tecnologías de información y la multiplicación de los riesgos de compliance.
Carlos Alberto Barrios
Moore Stephens Madrid.

Uno de los aspectos que más ha crecido y que
más ha permeado a las organizaciones y a las personas es el mundo tecnológico.

Las ventajas y los beneficios que estas tecnologías y su interconectividad mundial están generando son indudables e irrefutables. Sin embargo uno de los problemas del crecimiento tan violento, tan exponencial y vertiginoso, es la forma caótica, incontrolable y confusa con la cual los proveedores de estas tecnologías han tratado de captar su tajada del mercado, cautivándolo con una cantidad de beneficios que no siempre se corresponden a la realidad de lo ofrecido y exponiendo en desconocimiento del usuario a una cantidad importante de brechas de seguridad que incrementan los riesgos de difusión y exposición de información privada y confidencial. Potencialmente muy dañina y de alto impacto para el afectado.

No imaginamos una persona (sin importar su edad) sin un Smartphone, y una tablet y una laptop, interconectada en su casa a la red WIFI, compartiendo internet con su impresora inalámbrica, su SmartTV y los más osados con su nevera inteligente (imagino será Smartfridge), con acceso a la red. El promedio de conectividad de equipos por persona
es de 4 equipos, y por vivienda familiar hasta de 12 dispositivos. En España la penetración de la telefonía inteligente es del 95%, y del 65% en el segmento adultos mayores entre 60 a 75 años. El promedio de descargas de app´s por Smartphone va de 13 a 32 por equipo.

A nivel empresarial no concebimos una empresa que no tenga implementado y desarrolle sus procesos sobre algún tipo de plataforma tecnológica. Muchas veces implementado en una suerte de plataformas tecnológicas variopintas, desvinculadas entre sí o tímidamente relacionada por una suerte de collage de scripts, app´s o herramientas de gestión que permiten medianamente su integración. Todas dispuestas en un grupo de servidores que comparten funciones que en muchos casos son incompatibles entre ellas y que exacerban su nivel de exposición a riesgos.

Toda esta larguísima introducción es solo para reforzar la importancia, la exigencia, la imperiosa necesidad de que una evaluación de cumplimiento o compliance sin desarrollar una profunda evaluación y entendimiento del nivel y penetración de las tecnologías de información  en todas las capas de la organización puede traer como consecuencia la no identificación de riesgos potencialmente muy dañinos, peligrosos y de alto impacto en la organización.

Los riesgos derivados de inconsistencias o inobservancia de controles en la definición de los esquemas de seguridad perimetral de las redes de datos, sus accesos a internet, implementación de cortafuegos o firewalls, analizador de tráfico de internet, esquemas de detección de intrusos (IDS/IPS), antivirus y antispam robustos adecuadamente implementados y controlados minimizan los niveles de exposición por acceso y propagación de información confidencial, de uso de nuestras redes de datos como medios de tráfico y difusión de material clasificado.

De las 24 causales de delitos potenciales según el Código Penal, no menos de 4 de ellas de las 8 que aplican en forma general para todas las organizaciones, están directa o indirectamente relacionadas a debilidades, fallas o inconsistencias en el control de nuestro ambiente informático.
Una revisión de compliance sin una evaluación y entendimientos de los riesgos tecnológicos que como organización estamos expuestos desde mi punto de vista incumple el “debido control” en sus deberes de supervisión, vigilancia y eficacia expresados en el artículo 31bis:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos” y “2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos”.

Más claro y más especifico no se puede expresar.!


Si deseas complementar el tema o aportar tus comentarios e ideas, estás en la libertad de realizarlo, respetando las ideas de los demás y sin exponer a personas o empresas. Nadie tiene la verdad absoluta!

Comentarios