Andrés Meza Scarpetta
Hoy en día, la mayoría de las empresas a nivel global parten del análisis de datos como actividad principal para vender sus productos o servicios, o, al menos, como mecanismo para optimizar su rendimiento en el mercado. En esta medida, las bases de datos (así incluyan información personal o no) se han convertido en el punto de interés principal para terceros que buscan desestabilizar la operación de una compañía.
Adicional a esto, la pandemia ocasionada por el Covid-19 ha generado la adopción de esquemas de trabajo remoto, presentando nuevos retos en materia de ciberseguridad, ya que los hogares particulares cuentan con menos herramientas de protección que las oficinas, las cuales cuentan con cortafuegos, mecanismos de almacenamiento seguro, entre otras medidas supervisadas por un equipo de TI especializado.
Cada vez más las organizaciones criminales se encuentran avanzando en sus técnicas para vulnerar sistemas de información al punto que los ataques de ransomware (secuestro de bases de datos) y phishing se han triplicado en los últimos años, siendo estas las causas más comunes de incidentes de seguridad.
“Cuando se está en medio de las adversidades, ya es tarde para ser cauto”.
La ciberseguridad es, y debería ser, el pilar de la estrategia corporativa moderna con fundamento en dos razones principales: (i) previene riesgos de exposición ante las autoridades y los medios de comunicación; y (ii) protege los activos clave de las compañías, garantizando su continuidad y operación en el mercado.
Tomemos como ejemplo a la empresa Colonial Pipeline (quien ostenta la red de oleoductos más grande de la costa este de Estados Unidos). Esta organización fue objeto de un ataque de ransomware que paralizó su operación a mediados del 2021. ¿Cómo puede un incidente de seguridad de la información comprometer la operación de un oleoducto? Pues bien, en este caso, la infraestructura de seguridad de la empresa era demasiado anticuada y la filtración de una contraseña, generó el ataque que la obligó a apagar todos sus sistemas e interrumpir el flujo de gas y petróleo a través de sus líneas, como quiera que no tenían como monitorear su adecuada operación.
No obstante, a pesar de situaciones como la descrita, las empresas aún no han adoptado esquemas de ciberseguridad y prefieren destinar la mayoría de sus recursos a nuevos negocios, estrategias de mercadeo digital, entre otros, ignorando que todas estas inversiones pueden verse completamente detenidas ante un posible un incidente de seguridad de la información.
Incluso, para el caso de Colombia, las empresas que sufran incidentes de seguridad que comprometan la disponibilidad, integridad y/o confidencialidad de datos personales bajo su administración, están obligadas a reportar dicho incidente ante la Superintendencia de Industria y Comercio, so pena de incurrir en una infracción a la normativa de protección de datos y en posibles multas, las cuales pueden ascender hasta los 2000 salarios mínimos.
¿Qué medidas de seguridad se pueden implementar?
Las organizaciones deberían propender por alcanzar los más altos estándares en materia de seguridad de la información. Por ejemplo, a través de la certificación ISO 27001, un estándar internacional que permite el aseguramiento, confidencialidad e integridad de la información, así como de los sistemas que la procesan. Alternativamente, existen certificaciones de hackeo ético como la ofrecida por el EC-Council, diseñada para indicar que una empresa entiende cómo buscar debilidades y vulnerabilidades en los sistemas informáticos. También existen medidas de seguridad específicas como la implementación de procedimientos de gestión de activos, clasificación de la criticidad de la información, anonimización y cifrado de datos personales, capacitaciones al personal, controles de vulnerabilidades técnicas y controles criptográficos, entre varias otras.
Si bien no existe una carta de medidas específicas que la ley colombiana obligatoriamente establezca para las empresas, lo cierto es que cada organización debe implementar un esquema de ciberseguridad hecho a la medida, que aborde todos los riesgos que la particularidad de su operación conlleva.
