César Pallavicini Z. Presidente Comunidad de profesionales de riesgo operacional
La pandemia hizo que los directivos de empresas, que estaban preparándose para enfrentar una contingencia similar a la del pasado 18 de octubre, pero en marzo, se vieron impactados por la irrupción del Covid-19. Rápidamente surgieron estrategias improvisadas para resolver la contingencia, aplicando teletrabajo en un alto porcentaje de usuarios. Es decir, se privilegió dar continuidad operacional a los procesos y tareas de la empresa, poniendo en riesgo la seguridad de la información.
En la gestión de la continuidad de negocio es clave tener como base un BIA: Análisis de Impacto en el Negocio. Este, al no estar el riesgo por el efecto de pandemia no se mide su impacto y menos se cuantifican las pérdidas económicas que genera una irrupción no contemplada, como la que experimentamos hoy. Esto, nos lleva a comprender que en la mayoría de las empresas no reguladas no estaba descrito formalmente un plan de continuidad de negocio (PCN o BCP), que incorporara procedimientos de contingencia capaces de mitigar un escenario tan complejo como el de hoy. Tampoco existían políticas de seguridad en teletrabajo.
En general, se han visto graves vulnerabilidades por conexión sin VPN (Red Privada Virtual), software de acceso remoto no licenciado, también por usos de redes wifi inseguras, password débiles y uso de computadores domésticos sin antivirus, sin antispam y sin reglas de acceso a Internet claras y precisas. A ello se suma software de videoconferencias inseguros que ya han sido hackeados.
El cibercrimen, en cambio, sí tiene su estrategia actualizada y empezó sus ataques a los usuarios en modalidad de teletrabajo, entre ellos phishing masivos. El FBI e Interpol ya informaron que se cuadruplicaron los delitos desde el inicio de la pandemia en Europa y EE.UU. Google, por ejemplo, ha bloqueado del orden de 18 millones de correos electrónicos y más de 24 millones de spam por incluir contenido malicioso acerca de Covid-19. De hecho, existe una aplicación maliciosa, con mapa interactiva de propagación de Coronavirus, afectando a los celulares de miles de usuarios, exigiendo el pago de un rescate en Bitcoin.
Con todo, y luego de tener a usuarios en modalidad de teletrabajo, es urgente tener una visión integral de la Gestión de Riesgo Operacional, ya que sus pilares son seguridad de la Información, que incluye ciberseguridad; continuidad de negocio; y calidad.
Esta pandemia durará un tiempo largo y si el teletrabajo será una práctica común en las empresas resulta fundamental que el riesgo operacional se considere parte de estas problemáticas. Es muy importante que exista un equilibrio entre la seguridad de la información y la continuidad operacional, con un tratamiento y gestión que no privilegie la continuidad de los procesos en desmedro de poner en riesgo la información de la compañía, ya que en el largo plazo esto podría ocasionar grandes perdidas financieras en las empresas.
Directores y gerentes de primera línea deben analizar y confiar en los especialistas para la toma de decisiones, no perdiendo de vista que el directorio es responsable de asignar los recursos humanos y financieros, para resguardar ante todo evento la inversión de sus accionistas.
Comments