Agregue a sus temas de interés

Agregue a sus temas de interés Cerrar

Lunes, 16 de mayo de 2016

Con respecto a la reputación, las compañías deben ejercer fuertes labores preventivas que fortalezcan procedimientos, mitiguen riesgos y generen cultura de la seguridad de la información al interior de éstas. Siendo esta última -la cultura de la seguridad-, el principal problema de las empresas que generalmente se centran en adoptar medidas de control a través de herramientas físicas, lógicas o procedimentales que previenen las amenazas en la gestión de la información, pero no desarrollan modelos blandos en los empleados enfocados a la responsabilidad y el valor del intangible que maneja cada uno de ellos en sus labores.

Si bien no existen sistemas completamente seguros, los controles que se deben implementar en ellos tienen que ser lo suficientemente robustos para que quién logre penetrarlos sea porque “merezca” o se “gane” la información protegida. Por esta razón los controles implementados deben asociarse a la criticidad de la de información.

Por otra parte, la obtención de pruebas resulta ser un valor agregado relevante para la elaboración de modelos de ciberseguridad. El artículo 16 del Convenio de Ciberseguridad de Budapest (CCB) establece las pautas para proteger la información, el cual se aplica a las evidencias digitales que se puedan hallar y ser útiles en litigios posteriores. Es por esta razón  que toda estrategia de ciberseguridad debe tener un acápite relacionado con el manejo o preservación de evidencias digitales.

Adicionalmente, existen normas internacionales que indican las formas en que se deben preservar las pruebas digitales. Para ello, se puede tomar como referencia lo contenido en la Ley Modelo de Comercio Electrónico (Lmce) que en su artículo 9 indica los elementos que debe revisar la autoridad una vez se presenten pruebas digitales o lo que en esta ley define como mensaje de datos.

Tanto el CCB como la Lmce son aplicadas por varias legislaciones, algunos toman textualmente los apartados referidos  y otros introducen los conceptos generales adecuando ciertos elementos propios de cada país, un ejemplo de ello es el concepto de “acceso abusivo a sistema de informático” que es introducido por el CCB y gran número de los países latinoamericanos (incluyendo a Panamá) adoptan este concepto en su regulación correspondiente a Delitos Informáticos. A estas legislaciones se aúna los regímenes de protección de datos personales que se puedan adoptar en cada país, en donde se comprometen a los responsables de los datos personales y a los encargados de su tratamiento.

Más allá de la información robada en los mal llamados Papeles de Panamá, este suceso es una alerta a las compañías que gestionan información de terceros a la necesidad de fortalecer las medidas de seguridad en el manejo de la información física y digital, entendiendo que más que un gasto es una inversión en donde  se obtienen retornos en los beneficios organizacionales, legales y reputacionales.