Inicio Tecnología. Integridad en los controles informáticos

Integridad en los controles informáticos

La adquisición de nuevas tecnologías en la empresa trae consigo diversos peligros. No sólo en cuanto a los ataques y sabotajes informáticos que provienen del exterior, sino también respecto a los ataques internos cometidos por los propios empleados, y ante los que las organizaciones son, al parecer, más vulnerables. Los daños informáticos se producen por lo común como respuesta a un conflicto laboral o a un despido que el trabajador considera injusto. Consisten en la destrucción, alteración o inutilización de los datos, programas o cualquier otro activo inmaterial albergado en redes, soportes o sistemas computacionales de la empresa.

Los casos más comunes son los virus informáticos, el sabotaje y las bombas lógicas programadas con efectos unos meses después de la baja del trabajador. En el caso de injurias y calumnias, se busca desacreditar a la empresa o alguno de sus directivos. También se ha dado el caso de insultos a clientes potenciales de la empresa con quienes el trabajador tenía algún conflicto. Lo anterior no es nuevo, puede ocurrir sobre todo si estamos frente a un ambiente informático en el que las cosas no se hacen porque «no se debe, pero se puede».

Las empresas son altamente vulnerables a los ataques internos, cometidos por sus propios empleados. Realizar revisiones con cierta frecuencia asegura la integridad de los controles en el entorno informático. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de software y la adquisición de nuevo hardware, hacen necesario que los sistemas se verifiquen de forma continua mediante «una auditoría». Por lo regular la administración está inmersa en sus actividades diarias, dando por hecho que las cosas transcurren de manera adecuada en sus sistemas, confiando plenamente en los valores, principios y capacidades de la gente que labora en la compañía. Ya sea que se trate de un cliente con el site más sofisticado o con el más sencillo, en muchas ocasiones existen indicios de peligro que se pretende minimizar. Por ejemplo, el inevitable riesgo que conlleva la falta de segregación de funciones en empresas con poco personal. Esto resulta desgastante para la empresa, más aún cuando se dan cuenta que, a pesar de que se realizan auditorías periódicas, el problema continúa presentándose. Todo esto podría mitigarse mediante una adecuada supervisión y tomando las medidas pertinentes para atacar los problemas que se señalan en la auditoría.

Sugerencias para la seguridad

Las deficiencias antes mencionadas se relacionan de manera directa, ya que algunas son consecuencia de las otras; sin embargo, algunos controles básicos sirven para mitigar los riesgos asociados a ellas, a saber:

Establecer y aplicar de forma clara las políticas y procedimientos relacionados con el área de TI.Asignar a un responsable de su cumplimiento mediante revisiones periódicas o implantación de índices de cumplimiento.Las políticas y procedimientos deben ser difundidos al personal y garantizar que se dé entrenamiento y capacitación adecuada.Implantar controles de monitoreo en los casos de una inadecuada segregación de funciones. También muchos incidentes de seguridad se crean de forma accidental debido a que el personal de TI no ha seguido o no ha comprendido los procedimientos de administración, o bien no se han configurado correctamente los dispositivos de seguridad, por ejemplo: servidores de seguridad y sistemas de autentificación. Una buena práctica es establecer entrenamiento y capacitación de seguridad para el personal de TI y los usuarios finales, así como publicar anuncios de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con una advertencia de las medidas que se puede tomar contra los infractores.

El tema de seguridad en TI es muy amplio y nuestra principal sugerencia es que se analice la importancia de recurrir a un especialista que pueda analizar y contribuir en la seguridad de la información de su empresa.

Fuente: El Financiero, Bárbara Zúñiga, Wendy Lemus y Alejandro González Benítez, Gerentes de la práctica de Administración de Riesgos Operacionales y de Sistemas de PricewaterhouseCoopers México