Por el Ing. Pablo Rodríguez Romeo (MP 49452 – MN 5117) – Perito Informático Forense, especialista en Seguridad, socio del Estudio CySI de Informática Forense – www.cysi.com.ar
Ya nadie duda que los datos que manejan las empresas son uno de sus principales activos, y protegerlos de empleados infieles, hackers o fugas de información se ha vuelto imprescindible. Una organización que mantiene a salvo su información sensible cuenta con una reputación por sobre sus competidoras.
Entonces, a la hora de evaluar la seriedad de una empresa, ya sea como cliente, proveedor, o para mantener un contrato comercial, es fundamental que dé cuenta de cómo maneja sus datos. Contar con una guía para el uso de su información sensible o bien con una política consistente de privacidad y seguridad de la información que contemple la figura de un “protector de los datos”, son algunas de las medidas que hoy en día se deben implementar para lograr el éxito del negocio.
En esta línea, recientemente la Oficina Anticorrupción Argentina publicó en el Boletín Oficial los “Lineamientos de Integridad” para el mejor cumplimiento de la Ley 27.401 de Responsabilidad Penal de Personas Jurídicas, puntualmente en lo establecido en los artículos 22 y 23. Esta “guía técnica”, tal como la llaman, dirigida a empresas, organizaciones de la sociedad civil, personas jurídicas, agencias estatales y operadores del sistema de justicia, busca implementar Programas de Integridad que permitan prevenir, detectar y remediar hechos de corrupción; a partir de generar incentivos para que las personas jurídicas prevengan la comisión de delitos contra la Administración Pública.
Con penas que van desde multas hasta la quita de la actividad por un plazo máximo de diez años y la suspensión de participar en las licitaciones convocadas con el Estado Nacional a aquellas empresas involucradas en delitos contra la administración pública, esta Ley establece que se podrá realizar una investigación por los delitos de cohecho (pago de coimas), tráfico de influencias nacional o transnacional, negociaciones incompatibles con el ejercicio de funciones públicas; concusión (exacciones ilegales); enriquecimiento ilícito de funcionarios y empleados, y falsificación de balances.
En este sentido, esta Ley, entre otras cosas, no hace más que exigir a las empresas que le brindan servicios al Estado que puedan proveer “información íntegra”, garantizando que sus datos sensibles no se encuentran expuestos a riesgos de hackeos, robos o filtraciones. Pero, para que esto suceda cada una de ellas debe contar con una eficaz estrategia de protección de la información bajo el asesoramiento de profesionales informáticos o de seguridad de la información especializados en la materia.
Desde el punto de vista informático digital, las empresas deben implementar todas las medidas necesarias para asegurar la integridad de la información que resguardan, en backups, correos electrónicos, equipos, etc. Esto hace indispensable cumplir con los conceptos fundamentales de la seguridad de la información: confidencialidad, integridad, disponibilidad y el no repudio.
La información que se encuentre resguardada deberá tener un responsable de la misma por la cual responderá en el futuro. Por eso, se recomienda la implementación de un plan integral de seguridad de la información, que integra los conceptos particulares como así también los generales.
En síntesis, capacitar al personal para el buen manejo de los datos; implementar un plan de claves seguras, de backup, de asignación de información (quién es el dueño del dato y quién es el custodio); son algunas de las medidas a tener en cuenta. Un plan de protección de la información permite contener incidentes, prevenir potenciales ataques, resguardar la información, controlar la información (que no llegue a manos equivocadas) y contar en la empresa con equipos y recursos operativos necesarios para dar respuesta a estos eventos.
Sabemos que esto no es algo que se hace de un día para otro, lleva su tiempo, pero le aporta numerosos beneficios a las empresas. El primer gran paso que tienen que dar es no ver a estas implementaciones como un gasto, sino como una inversión. Hasta que este concepto no cambie, difícilmente las empresas van a poder ordenarse informáticamente para enfrentar un futuro digital que es cada vez más fuerte. Cuando se den cuenta de que lo necesitan, ya va a ser tarde y van a tener que incurrir en costos mucho mayores.
La Seguridad Informática es una inversión. Y es nuestra responsabilidad educar y crear conciencia sobre el uso de la información y la tecnología para prevenir inconvenientes que puedan poner en riesgo la información de una empresa.