Según información publicada en el Reporte Global de Riesgos del Foro Económico Mundial 2019, el riesgo tecnológico sigue tomando fuerza para las empresas y los países junto con sus gobiernos. El robo de información y los fraudes tecnológicos ocupan el cuarto lugar (en cuanto a impacto y probabilidad de ocurrir) y se proyectarán durante los próximos 10 años, por lo que deben ser seriamente considerados por los directivos de las organizaciones.

A continuación se mencionan tres tipos de riesgo tecnológico, su origen, consecuencias y recomendaciones generales para evitarlos o minimizarlos:

1. La interconexión de miles de dispositivos: El internet de las cosas.

2. La tecnología de computadoras cuánticas: Causando una obsolescencia y vulnerabilidad en la técnica de encriptación de datos mientras surgen las nuevas tecnologías de protección de datos.

3. Debilidad en el hardware. La demanda de interconexión, almacenamiento, entre otras acelera el cambio de dispositivos físicos y los hace vulnerables.

La interconexión de miles de dispositivos: El internet de las cosas

La posibilidad de que ocurran este tipo de riesgos se debe a la integración de las tecnologías digitales cada vez más adentro de todas las actividades que se realizan (telefonía, cámaras grabando el día a día, sistemas de transporte, equipos de cómputo, tabletas, televisión digital, línea blanca inteligente como refrigeradores, autos con software integrado, etc.)

El internet de las cosas, se refiere a que estamos rodeados de tecnologías que van almacenando información como preferencias en cualquier tipo de consumo, costumbres, horarios, salud (frecuencia cardiaca, pasos caminados, grasa corporal= hábitos, rango de edad, etc.), ubicación, capacidad de gasto, etc. En las organizaciones se puede almacenar el número de correos enviados y recibidos, el tipo de consultas que se realizan y quién las realiza, cuántas veces se comunican los grupos de trabajo, de dónde se comunican, sus movimientos dentro de la organización y el tipo de información que consultan.

¿Eres un profesionista que aspira a una posición de liderazgo? Encuentra tu posgrado: http://bit.ly/2WQhHn2

Si los intrusos cibernéticos logran obtener y analizar la información que se van recolectando del internet de las cosas, pueden ir un paso delante de las organizaciones y cometer actos de corrupción o fraude con dicha información.

A pesar de que ahora se tiene más intercomunicación efectiva, es importante que en las empresas se utilicen elementos como controles de acceso físico, claves de acceso ocultas o encriptadas actualizándose periódicamente, procesos para asegurar la integridad de la información como bloqueos de equipos prendidos sin ninguna actividad y reglas bien establecidas sobre el uso de los recursos de las organizaciones, por ejemplo muchas empresas prohíben el uso de memorias portátiles personales (USB) que pueden estar infectadas con programas maliciosos.

Criptografía en computadoras cuánticas

Las técnicas actuales de criptografía consisten básicamente en aplicar técnicas de transformación de contraseñas, de tal forma que al escribirlas, se aplique una “fórmula” que las cambie. Un ejemplo sencillo sería cambiar cada letra por un número, y solamente un programa de reversa podrá regresar el número a su letra correspondiente. Los programas que encriptan por supuesto son más complejos que el ejemplo aquí mencionado ya que se basan en fórmulas matemáticas que involucran operaciones con números primos de muchos dígitos. Existen también métodos de encriptación que requieren que al enviar el mensaje encriptado, el receptor utilice lo que se conoce como una llave (que es otro programa) que logre desencriptar el mensaje (los tokens se basan en esta última).

Esta forma habitual de protección de los datos y de contraseñas de acceso se hará obsoleta con  la nueva tecnología de computadoras cuánticas, con las cuales para los intrusos, será posible aprovechar la velocidad de procesamiento que alcanzarán, para encontrar la forma de revertir las claves encriptadas y lograr ingresar a los sistemas. Actualmente el tiempo que se requiere para adivinar los códigos llevaría muchos años por lo que hace imposible el proceso de desencriptación.

Afortunadamente se está trabajando en técnicas de criptografía cuántica donde en vez de una encriptación matemática, se utiliza una encriptación física, como si se envolviera la contraseña en un paquete que no se puede abrir hasta llegar a su destino.

Debilidad en el hardware

El hardware implica una gran inversión para las empresas, desde compra de equipos de cómputo, discos duros, redes (alámbricas o inalámbricas). Por lo anterior se debe esperar a los presupuestos y algún tiempo razonable para sustituir los equipos por nuevas tecnologías. En este caso el riesgo que se corre tiene que ver con: Encontrar la falla de hardware que no siempre es trivial, reponer el dispositivo que falló y ponerlo en marcha para su funcionamiento. Esto es similar a cuando se lleva un auto al taller y el fabricante tiene que solicitar la pieza faltante. Habrá que localizar la tecnología crítica en su falla para tener un repuesto que se ponga en funcionamiento rápidamente y por supuesto tener siempre el espejo de dicha tecnología funcionando.

Estas son las próximas aperturas de los posgrados Anáhuac: http://bit.ly/2WQhHn2

Otro punto vulnerable del hardware es que ahora la infraestructura está formada por una gran cantidad de equipos interconectados y comunicándose a través de medios físicos o inalámbricos lo que hace complicado encontrar dónde hay una amenaza. La tecnología no proviene de un solo fabricante (un procesador puede tener componentes de distintos proveedores). Se dan casos donde en el mismo dispositivo viene ya grabado un código malicioso. Por lo anterior es necesario contar con herramientas de monitoreo de equipos en busca de eventos sospechosos viajando por la red.

Acciones a considerar para mitigar los riesgos tecnológicos

Los actores dentro de las organizaciones precisan un trabajo coordinado: El área legal o jurídico, los departamentos de tecnología y la propia dirección. Debe existir un código o reglamento de recursos tecnológicos y una supervisión periódica de las políticas y procedimientos en cuanto a riesgo tecnológico. Los tres actores formando un comité de riesgo tecnológico que se reúna 3 o más veces en el año para su revisión.

Estar al pendiente de los pequeños errores, no esperar a que se hagan más grandes o exploten. No existen aplicaciones 100% sin errores. Por lo tanto al detectar la más mínima falla investigarla (intento fallido de ingresar a un sistema y al segundo intento lograrlo, bloqueo del programa que implica reiniciar el dispositivo, etc.).

Se recomienda considerar dentro del grupo de riesgo, un puesto de trabajo (o grupo de trabajo)  que se dedique a inspeccionar y preguntar constantemente sobre fallas en las aplicaciones en toda la organización, investigarlas y encontrar su causa y actuar en consecuencia. Su principal función será el análisis de las amenazas y su mitigación.

El hardware también es vulnerable. Tener una política de respaldo más agresiva, desde los dispositivos locales hasta los servidores de información. Además de las políticas de respaldo, se debe tener una política para desastres naturales (inundaciones, terremotos, cortos circuitos, entre otros) ya que también impactan al riesgo tecnológico.

Por: Ing. Martha Reyes Villa, coordinadora de la maestría en Riesgo, Facultad de Ciencias Actuariales Universidad Anáhuac México, Campus Sur.

Te recomendamos:

La dosis de liderazgo e inspiración para conseguir lo que queremos

 

 

 

Siguientes artículos

Aprovechar el poder de los datos: objetivo de toda organización exitosa
Por

Encontrar las herramientas analíticas adecuadas para obtener información a partir de datos sobre la que se puede actuar...