¿Estás preparado para un delito informático?

Los autores del trabajo de investigación sobre prevención del delito informático, han indagado el nivel de involucramiento y conocimiento de la alta gerencia sobre la capacidad de respuesta de sus organizaciones ante un ataque informático. Puede observarse que las compañías aún tienen un largo camino que recorrer para estar totalmente preparadas.

La importancia de la defensa

Las amenazas a los sistemas informáticos y sus respectivos controles mitigantes son responsabilidad de toda la compañía, cada integrante cumple un rol clave. Si bien se observa una gran evolución en la gestión de los sistemas de información, la mayoría de las empresas aún no conoce los riesgos que enfrentan, ni saben cómo anticiparse o responder frente a un potencial incidente.

Son muchas las organizaciones que sufren daños informáticos debido a debilidades básicas como, falta de involucramiento por parte de los directivos, configuraciones de sistema deficientes y carencia de control sobre aquellos terceros con acceso a la red y/o a los datos de la organización.

Es vital que los directivos incorporen el delito informáticos en sus evaluaciones de riesgo, comuniquen los pasos a seguir a todos los sectores de la organización y planifiquen con el sector de TI en qué medida quieren ser alertados en caso de existir un incumplimiento o un fraude.

Las amenazas informáticas deben ser consideradas y planificadas de igual manera que cualquier otra amenaza de negocio: con un plan de respuestas ante incidentes, con roles y responsabilidades establecidos, con un plan de monitoreo y con la planificación de distintos escenarios. Es por eso que las compañías líderes están incorporando ejercicios de gestión de crisis, como elemento central de su estrategia de respuesta ante potenciales incidentes en materia de seguridad informática. Realizan ejercicios que consisten en reunirse y analizar posibles escenarios, evaluando distintos planes de respuesta e identificando los respectivos errores y debilidades.

Figura 1 – Frecuencia con la que los miembros de la Junta Directiva solicita información respecto a la preparación de la Compañía para afrontar incidentes informáticos

Las amenazas y mitigaciones son responsabilidad de toda la organización

Ejecutivos

  • Garantizar que la calidad de la información sea recibida y asimilada.
  • Implementar programas de concientización respecto a la seguridad del usuario.
  • Desarrollar una estrategia basada en seguridad.

Figura 2 – ¿Dispone su organización de un plan de respuesta ante incidentes relacionados con el delito informáticos?

Figura 3 -¿Su organización dispone de personal especializado que pueda intervenir frente a un potencial delito informático?

Auditoría y Riesgo

  • Asegurar el completo entendimiento de los riesgos y amenazas informáticas.
  • Llevar a cabo procedimientos de due diligence para mitigar riesgos asociados a terceros.
  • Analizar riesgos asociados a los sistemas operativos (no financieros).
  • Abordar cuestiones básicas de auditoría informática.

Legal

  • Conocer la evolución del marco regulatorio respecto a seguridad informática y la privacidad de los datos.
  • Monitorear las decisiones tomadas por los supervisores en respuesta ante incidentes de seguridad informática.
  • Estar atentos a factores que podrían afectar la seguridad informática.

Tecnología de Información

  • Llevar a cabo evaluaciones forenses.
  • Ser consciente de las transformaciones constantes del panorama de amenazas y ataques.
  • Analizar los planes de respuesta anti incidentes.
  • Implementar procesos de monitoreo efectivos.
  • Emplear nuevas estrategias como simuladores de ataques informáticos, entre otros.

Una crisis cibernética es uno de los desafíos más complejos que una organización puede enfrentar. Para detectar y responder a ataques informáticos, se requieren herramientas y estrategias sofisticadas (capacidades analíticas y forenses, entre otras) que deben ser aplicadas con precisión, inteligencia y agilidad.

Teniendo en cuenta el panorama de riesgo que el mundo está atravesando, para una compañía que cuenta con una buena capacidad de gestión ante una crisis informática puede resultar, además de ser una ventaja competitiva, un arma de supervivencia.

Fuente: PWC, Encuesta Global sobre Delitos Económicos 2016. Capítulo Argentina

Adaptado por la división consultoría EvaluandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario