Los ataques informáticos en contra de toda clase de empresas son cada vez más frecuentes. Según expertos, la mejor forma de evitarlos es adoptando una política de seguridad que no se debe quedar en el papel, sino que debe ser puesta en práctica y ajustada para responder a la amenaza de la ciberdelincuencia.
La presunta infiltración de atacantes informáticos a las bases de datos de la firma panameña de abogados Mossack Fonseca desató un gran escándalo a nivel mundial, ya que entre la información sustraída se encontraban nombres de personajes famosos y de políticos que habrían usado los servicios de dicha firma para crear empresas fachada con el objetivo de evadir impuestos.
Más allá de si la empresa y sus clientes cometieron o no delitos, tema que debe ser resuelto por las autoridades, lo que este caso enseña es que cualquiera es susceptible de que le roben su información.
Según Alberto Castillo, gerente de la firma BDO Colombia, los panameños pudieron ser objeto de un ataque de infiltración directo. ‘‘Suponemos que fue un malware desarrollado específicamente para infiltrar la red de Mossack Fonseca, ganar el acceso y hacer la descarga de toda la información a través de un exploid. Seguramente la información no estaba apropiadamente resguardada y mucho menos encriptada’’. Sin embargo, tampoco se debería descartar un evento de deslealtad laboral de alguno de sus funcionarios.
Y es que hoy en día realizar una transacción por Internet o abrir un correo electrónico expone a cualquier persona a un posible ataque.
La importancia de tener una política
Según conocedores del tema informático, contar con una política de seguridad es esencial para salvaguardar los intereses de la compañía. Es clave que dicha política esté adecuada para mitigar permanentemente los riesgos de abrir o cerrar una línea de negocio, de la emisión de un nuevo producto o de la contratación de un directivo en la compañía.
Simón Guzmán, gerente sénior forense de BDO, señala que ‘‘un empresario debe revisar de manera proactiva [su política] y tener una visión de cómo podría verse afectado’’ por eventuales ataques informáticos. ‘‘El tema no puede quedarse simplemente en apagar incendios o responder de manera tardía a un ataque, sino prepararse y tener una política dispuesta a anticiparse a cualquier evento de seguridad de información’’, asegura.
Simón Guzmán. Foto por BDO
Por su parte, María Isabel Mejía, viceministra de Tecnologías de la Información, recomienda a los empresarios manejar la información como un activo más. En su opinión, esto será útil para que ellos tengan claridad acerca de cómo se está cuidando la información de sus clientes y de sus ventas, y cómo se garantiza su privacidad.
La funcionaria también sugiere evaluar el riesgo derivado de hacer compras a proveedores por medios digitales o de vender sus propios productos por Internet.
En este sentido, Victoria Virviescas, directora de la Cámara Colombiana de Comercio Electrónico, señala que los empresarios deben ‘‘estar muy pendientes de las normas que se están implementando en Colombia, como la PCI DSS. Hay que estar muy pendiente de la industria de su actividad para que entre todos podamos lograr lo mejor en la implementación de estándares’’.
Los errores más comunes
Con base en su experiencia, Alberto Castillo, gerente de la firma BDO Colombia, asegura que son cinco los errores más frecuentes que cometen los empresarios en cuanto al manejo que dan a sus equipos informáticos:
- No actualizar los servidores y los equipos de forma permanente
- No deshabilitar completamente los programas de software que se decide suspender, ya que por esa vía podrían quedar activos en la red.
- No tener establecida una política de contraseñas.
- Descuidar o no prestarle la atención suficiente a la seguridad informática.
- No capacitar debidamente al personal en temas como la no apertura de correos maliciosos.
Artículos relacionados:
En vivo: un ataque informático. Ed. 83
¿Qué hacer antes, durante y después de un ataque informático? Ed. 72
Lo que debe saber sobre el cibercrimen en Colombia. Ed. 67
