Servicio de CiberseguridadServicios de auditoria
nelson.camargo@nextayc.com -
10:39 pm
Risk IT

Día a día observamos grandes cambios tecnológicos a nivel mundial los cuales conllevan a las Compañías a estar a la vanguardia para mantenerse en un mercado competitivo, convirtiéndose la tecnología en un habilitador esencial para cumplir con estrategia de la Compañía, al mismo tiempo observamos cómo cada día es más común ver procesos de negocios globalizados, y cómo las tecnologías de información influyen en un cambio obligado de los procesos, generando un alto valor agregado para las operaciones, la Compañía y los clientes. A su vez, todos estos cambios pueden incrementar los riesgos actuales identificados o generar nuevos riesgos, que en algunos casos pueden llegar a ser catastróficos desde varios puntos de vista, entre ellos la  disponibilidad, integridad y confidencialidad de la información.

En el 2017 se materializaron algunos de riesgos tecnológicos a nivel mundial a través de virus como (Ransomware WannaCry y PETYA) los cuales fueron creados para atacar Compañías mediante el secuestro de información, solicitando rescate con pagos en moneda virtual (Bitcoin), o simplemente como fue el caso del virus PEYTA el cual solo tenían intención de hacer daño y llamar la atención de mundo.

Es aquí donde nos peguntamos, ¿nuestro negocio está protegido antes posibles riesgos de TI? O cuando vemos a los CEOs(Chief Executive Officer). y CIO (Chief Information Officer) preocupados y con incertidumbre buscando soluciones a la carrera con sus equipos de trabajo para evitar una catástrofe operacional en sus compañías.

Hoy día es muy normal ver a tantas Compañías volcando sus negocios a la innovación tecnológica sin tener en cuenta los cambios en los riesgos que traen consigo los nuevos procesos.

¿Que hay de las regulaciones?

En Colombia existen muchas regulaciones enfocadas a disminuir los riesgos que provoca el uso de las tecnologías de información, algunas de estas son:

  • Circular externa 052 de 2007, 022 de 2010, 042 de 2012 y Circular 029 de 2014, (Superintendencia Financiera de Colombia), estándares de seguridad y calidad para el manejo de la información a través de medios y canales de distribución.
  • Ley 1341 del 2009 (Ministerio de las Tecnologías de información y comunicación) Estrategia de gobierno en línea.
  • Ley1581 de la SIC (Superintendencia de Industria y Comercio), protección de datos personales.
  • Acuerdo 788 de la CNO (Consejo nacional de operación) Ciberseguridad y ciberdefensa en el sector eléctrico de país.
  • Sarbanes-Oxley.(Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista), aplica para compañías Colombianas que coticen en bolsa en estados unidos.

Actualmente, numerosas compañías han adoptado la regulación colombiana, demostrando un compromiso proactivo con las normativas. Sin embargo, muchas otras aún están pendientes de hacerlo o, de manera reticente, planean esperar hasta el último momento para cumplir con estas obligaciones, motivadas únicamente por la necesidad de cumplimiento formal. Esta postergación desatiende la relevancia y el impacto positivo que tales regulaciones pueden tener en sus entornos de negocio. Es crucial reconocer que, más allá del mero acatamiento, la implementación consciente de estas normativas puede significar una mejora sustancial en la seguridad, la transparencia y el rendimiento general de las empresas. Por lo tanto, es imperativo que todas las compañías comprendan y valoren la importancia de adherirse a las regulaciones, no solo como un requisito legal, sino como una oportunidad para fortalecer sus operaciones y su reputación en el mercado

 ¿Qué es lo que debería controlar?

Desde nuestra óptica, relacionamos los mayores focos de atención que deben evaluar las Compañías para la gestión de sus riesgos de TI y evitar un posible impacto en sus operaciones.

  • Concientizar al personal: El principal foco de atención esta indudablemente en las personas, quienes son la mayor causa de riesgo al efectuar de forma voluntaria o involuntaria acciones que atentan contra la integridad, disponibilidad y confidencialidad de la información. Es por esto por lo que las compañías deben enfocarse en la sensibilización del personal acompañado de controles a nivel contractual.
  • Nuevas tecnologías: Es común ver que muchas nuevas tecnologías se involucran en los procesos de negocio, como servicios en la nubeBig DataInternet de las cosas y blockchain, entre otras. Estas tecnologías se adaptan para generar valor en las empresas. Sin embargo, a menudo carecen de un uso controlado o de parametrizaciones personalizadas según la realidad de la compañía. Por lo tanto, cada vez que se incorpora una nueva tecnología al negocio, es necesario realizar un análisis minucioso que permita identificar cambios en los riesgos actuales o la identificación de nuevos riesgos, con el objetivo de poder controlarlos de manera efectiva.
  • Seguridad: Es común ver cómo estamos en constantes amenazas tanto internas como externas, y cada vez se torna más complejo la seguridad lógica ocasionados por ataques cibernéticos, fuga de datos, fraude en sistemas informáticos, ataques contra la disponibilidad de los servicios, entro otros, los cuales deben ser asegurados implementando medidas concretas de control que involucre entre otros hardware, software y concientización del personal para su protección. Una identificación clara de los activos de información y sus controles es clave para la gestión optima del riesgo.
  • Regulaciones: Es fundamental que las regulaciones emitidas sean adoptadas, ya que, en su esencia, reflejan un fuerte compromiso por minimizar los riesgos, tanto para los clientes como para la compañía. Al acoger e implementar estas regulaciones de manera consciente, se observa que su aplicación puede ser significativamente menos costosa y traumática. Es vital señalar que, en muchos casos, estas regulaciones impactan de manera directa en la situación financiera de la empresa, ya sea a través de sanciones económicas o incluso el cierre total o parcial de las operaciones. Por consiguiente, la adopción y ejecución consciente de dichas regulaciones se erige como una estrategia preventiva, que no solo evita consecuencias financieras adversas, sino que también afianza la seguridad y la confianza entre la empresa y sus clientes.
  • Terceros: Actualmente, las compañías son más conscientes de centrarse en sus fortalezas y, por lo tanto, optan por externalizar algunas actividades del negocio a especialistas, quienes probablemente las realizarán con mayor eficiencia. Sin embargo, la falta de controles específicos podría implicar que estemos confiando todo nuestro patrimonio a un tercero. Por esta razón, es fundamental implementar cláusulas contractuales, acuerdos de niveles de servicio, mecanismos de contingencia y evaluaciones del control interno del tercero. Así, estos elementos se convierten en aspectos clave para el éxito del negocio o la actividad tercerizada, asegurando que la delegación de responsabilidades no comprometa la seguridad ni la integridad de nuestros activos.

Todos estos puntos deben ser evaluados igualmente desde el punto de vista de fraude ya que en gran medida estas situaciones permiten que se atente contra la integridad de los datos almacenados en los sistemas de información mediante la manipulación no autorizada.

Por último, recomiendo que en la actualidad involucremos la gestión de riesgos de forma integral en la compañía, donde el riesgo de TI juegue un papel trascendental para el cumplimiento de los objetivos

estratégicos.

¿Deseas cotizar un servicio?

Si deseas ser contactado por algunos de nuestros consultores, déjanos tus datos en el siguiente formulario y te contactaremos en el menor tiempo posible, o utiliza nuestros canales directos a través del Chat, llamada telefónica o WhatsApp.





    Auditoría
    Riesgos
    Control interno
    Tecnología

    Servicios de auditoría de TI de alto valor
    Llámanos