Los riesgos relacionados con las TI deben estar presentes en la agenda del Consejo de Administración, ya que implican contingencias como el robo de bases de datos de millones de cuentas de usuarios, clientes e, incluso, del personal directivo y operativo.     Por: Carlos López- Santibáñez*   En la actualidad, las organizaciones de todas las industrias se enfrentan a constantes amenazas. Ante ello, la Alta Dirección recurre a la Gestión Integral de Riesgos, para minimizar o mitigar las contingencias, principalmente en cuestiones de mercado, de tipo de cambio, de fluctuaciones en las tasas de interés, en las operaciones e, incluso, en la seguridad física de sus instalaciones y personal. En ocasiones, sin embargo, los esfuerzos de la estrategia de Gestión de Riesgos se limitan a estos temas convencionales, descuidando un aspecto de capital importancia para las empresas, sobre todo, en sectores como el Financiero, el Asegurador o el de Retail: la seguridad en el área de Tecnologías de la Información (TI) o ciberseguridad. Los riesgos relacionados con las TI deben estar presentes en la agenda del Consejo de Administración, en el marco de un gobierno corporativo robusto, ya que implican contingencias como el robo de bases de datos de millones de cuentas de usuarios, clientes e, incluso, del personal directivo y operativo, de las empresas que resguardan estos datos. La pérdida de información tiene diferentes repercusiones nocivas para las organizaciones. Por una parte está el maltrato a la reputación de la empresa, que es un impacto directo, ya que la filtración de datos es publicada por los medios de comunicación, y los grupos de interés o stakeholders de la organización pierden la confianza que tienen depositada en ella. Por otro lado, existen impactos indirectos, porque la información filtrada puede ser utilizada por empresas competidoras o por el crimen organizado, y además está la posibilidad de que los clientes cuyo número de tarjeta de crédito, NIP o PIN (Personal Identification Number) u otros datos personales hayan sido robados, presenten demandas contra la empresa que no cuidó debidamente la información.   No es sensacionalismo Los riesgos relacionados con la ciberseguridad son, eminentemente, un tema de negocios, y los ataques de los cibercriminales se sofistican cada día más. Por ello, la actualización constante, tanto de tecnología como entre el personal, es una herramienta que, como algunas inversiones, resulta efectiva en el corto pero, sobre todo, en el largo plazo. Un ejemplo de esto es el ataque que dos bancos asiáticos sufrieron por parte de un grupo que vulneró su seguridad informática a través de su red de cajeros automáticos, llevándose un botín de 45 millones de dólares, realizando un golpe simultáneo en diferentes países. Tuvieron que pasar un par de días, antes de que las organizaciones lograran identificar el desfalco, que fue posible a través de software malicioso.   “Somos una empresa chiquita, no nos van a atacar” Las micro, pequeñas y medianas empresas (mipymes), que básicamente corresponden al modelo familiar, suman 99% del total de organizaciones en México, con un promedio de 5.4 empleados.[1] La cifra es similar en Estados Unidos, donde se estima que 95% de los negocios son de tipo familiar. Este tipo de organizaciones, que en ocasiones carecen de la Gestión de Riesgos Integral necesaria para hacer frente a los ciberataques, deben tener claro que están expuestas asimismo a repercusiones legales, ya que perder información de terceros está penado legalmente, de acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de Particulares. El tema, entonces, también debe estar presente en sus juntas administrativas.   ¿Dónde pierden información las empresas? La mayor parte de las pérdidas de información se debe al descuido o a la implementación de políticas inadecuadas en este rubro, por parte de las propias organizaciones. Estadísticamente, la mayor parte de las fugas de datos se da a través de computadoras personales, teléfonos móviles y tabletas, empleadas con descuido y sin los candados necesarios para evitar la vulnerabilidad. En este sentido, el presupuesto que destinan los consejos a la Gestión de Riesgos en materia informática debe diseñarse considerando que es un problema que atañe a toda la organización, y que, en la misma medida, toda la organización se verá beneficiada si cuenta con las herramientas y capacitación necesarias para hacer frente a este problema. Un plan de acción para minimizar riesgos en esta materia incluye un diagnóstico de la dependencia tecnológica que tiene la empresa, para luego analizar los procesos críticos; diseñar un plan de contingencias con toda la documentación requerida para tal efecto; realizar pruebas que lleven a la práctica dicho plan, y actualizar las estrategias por lo menos una vez al año. Minimizar los riesgos de ciberseguridad es una labor continua, en el que las labores de prevención y cultura son una herramienta clave. Identifique cuál es su nivel de dependencia de la tecnología en sus operaciones, preguntándose “¿Qué pasaría si no tuviéramos TI disponibles, abruptamente?”. Evite tener un eslabón débil, y gestione los riesgos de manera adecuada, agregando valor a sus inversiones en TI.     *Carlos López- Santibáñez es Socio Líder de Management Consulting de KPMG en México.     Contacto: Correo: [email protected] Twitter: @KPMGMEXICO Facebook: KPMGMEXICO YOUTUBE: kpmgmx Página web: Delineando Estrategias       *Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México. [1] Empresas familiares en México. El desafío de crecer, madurar y permanecer. KPMG en México, 2013.

 

Siguientes artículos

¡Cuidado con los ciberpeligros de la Navidad!
Por

La Navidad está a la vuelta de la esquina, y con ella los ciberpeligros que también representa. Te brindamos algunos con...