En una sociedad y en un ámbito empresario cada vez más inmerso en la era digital, el “cybercrime” o crimen cibernético es una amenaza cada vez más concreta y que afecta a cada vez más personas y empresas. Es un tipo de riesgo que debe ser considerado por los directorios ya que puede afectar la realidad tanto operativa como económica y financiera de la compañía.
Las consecuencias de un ciberataque pueden ir desde el robo de dinero o de información sensitiva, la pérdida o imposibilidad de acceder a dicha información, la disrupción de las comunicaciones o procesos habituales de la empresa (por ejemplo, no se puede facturar o directamente se apagan los equipos) o el “eloquecimiento” de algunas funciones. Las pérdidas monetarias se pueden dar por la sustracción o desvío directo de dinero desde las cuentas de la empresa, por la percepción de chantajes o rescates para la recuperación de la información o capacidad operativa (ransomnware) o directamente por el impacto financiero de no poder operar. El efecto de todo esto puede ser muy oneroso y traumático para cualquier compañía, sobre todo si no está preparada para un incidente de este tipo.
Las puertas de entrada a estos ataques suelen ser de dos tipos: vulnerabilidad tecnológica o fallas humanas (culposas o dolosas). En un porcentaje importante de los casos ambos factores se combinan para invitar al desastre.
Desde los más básicos antivirus hasta poderosos firewalls, existen múltiples elementos de ciberseguridad que se combinan en una estructura de capas para ir acotando y dificultando el avance de un ataque. Hay estándares internacionales para diseñar protecciones adecuadas para las distintas realidades empresarias. También existen procedimientos como el “ethical hacking” para testear las fortalezas y debilidades de un sistema de seguridad.
Pero muchas veces estas sofisticaciones tecnológicas no son suficientes cuando la debilidad se da por el accionar de las personas. Por acción (complicidad o comportamiento descuidado) o por omisión (falta de apego a los procedimientos y controles) las personas suelen ser las que abren la puerta a los delincuentes. Más allá de que un empleado pueda ser cómplice de una maniobra, es común ver en muchas empresas como muchos empleados caen en las prácticas de “phishing” o simplemente comparten o divulgan las claves de acceso a los sistemas.
Tan importante como las medidas de seguridad ex ante, como el control y capacitación humana y las barreras tecnológicas, resultan los planes y procedimientos para actuar una vez que un ataque se produjo. Los procedimientos básicos de resguardo y almacenaje de información y los procedimientos de continuidad de negocios son indispensables para mitigar y acotar las consecuencias de una crisis producto de un ciberataque exitoso.
Obviamente hay empresas que por su magnitud o ámbito de acción resultan objetivos muy apetecibles para el cibercrimen. Sin embargo se está viendo en forma creciente que estos ataques se orientan a pymes con sistemas de seguridad menos robustos.
Dada la complejidad del tema y las implicancias de corto y mediano plazo para la empresa, la ciberseguridad es una materia que debe ser abordada por el Directorio para definir umbrales de riesgo aceptables y medidas de seguridad adecuadas a la realidad de cada compañía.