COMPLIANCE Y CIBERSEGURIDAD INFORMATICA

ENTREVISTA CON JUAN PABLO PEÑARRUBIA, PRESIDENTE DEL COLEGIO DE INGENIEROS INFORMATICOS DE LA COMUNIDAD VALENCIANA

Decálogo de seguridad informática para la empresa valenciana

Hace unos días, coincidiendo con el Día  Mundial de Internet, el presidente del Colegio Oficial de Ingenieros en Informática de la Comunidad Valenciana, Don Juan Pablo Peñarrubia Carrión, presentaba en la sede de la Confederación de Organizaciones Empresariales de la Comunidad Valenciana (CIERVAL), el Decálogo de Seguridad Informática para la empresa Valenciana.
La necesaria implementación en las empresas del modelo de prevención penal o Compliance, pretende eximirlas ante un posible delito en su sede y entorno. Curiosamente el 30% de los delitos que se cometen, están relacionados directa o indirectamente con las tecnologías de la información.
Hablamos con Juan Pablo Peñarrubia sobre el Decálogo.

 

1.-¿En que consiste el Decálogo?

“El Decálogo de Seguridad Informática para la Empresa Valenciana. Consejos prácticos para la seguridad de la empresa en la era de Internet y la trasformación digital”, ha sido un trabajo realizado en colaboración con la Confederación de Organizaciones Empresariales de la C.V. (CIERVAL), Telefónica, Auren y la Asociación Empresarial del Sector de las Tecnologías de la Información y las Comunicaciones de la C.V. (ESTIC).

El Decálogo contiene las 10 recomendaciones básicas de uso de Internet que los expertos aconsejan a las empresas y que se concretan en: conocer el entorno, proteger sus dispositivos, salvaguardar sus datos y su información; vigilar y evaluar el estado de su seguridad, proteger su reputación y su negocio en Internet, salvaguardar sus comunicaciones; cumplir la normativa, monitorizar sus aplicaciones móviles, protegerse ante las vulnerabilidades de sus proveedores y proteger el espacio físico de su empresa.

 

2.- ¿Cuál es el objetivo de éste Decálogo y por qué precisamente ahora?

La presentación se realizó el Día mundial de Internet, en el marco de la Jornada Internet y la transformación digital como motor de negocio en la empresa valenciana, coorganizada por el COIICV y CIERVAL.

Esta guía es de libre consulta en Internet a través de la página: www.informaticacv.es, y busca facilitar a la empresa una “caja de herramientas” prácticas, sencillas y actualizadas por los expertos para protegerse de los ciberdelincuentes en su uso cotidiano de Internet, ya sea cuando paga a un proveedor, cobra a un cliente, comparte una información sensible, o instala un programa.

La prioridad de este decálogo es facilitar una serie de herramientas básicas para que todas las empresas, independientemente de su tamaño y recursos, puedan disfrutar de esta gran herramienta que es Internet con toda confianza, pues desde nuestro punto de vista, la seguridad es el pilar fundamental sobre el que se sustenta la sociedad de la información, pues sin usuarios no existiría. Además, los estudios señalan que en momentos de crisis como los actuales el comercio electrónico, una de las actividades principales de las empresas en Internet, depende en gran medida de la existencia de controles efectivos sobre los ciberataques y de la percepción de seguridad de los usuarios y empresas. Por lo tanto, dado que en seguridad informática el eslabón más débil de la cadena es el usuario, nuestra labor más importante es asesorar, formar y concienciar. En este sentido, desde el Consejo de Colegios, se ofrece un servicio de análisis y asesoramiento muy interesante.

 

3.- El decálogo contiene una serie de recomendaciones de buenas prácticas para la seguridad de la empresa en la era internet. ¿Nos podría decir cuáles son los 3 delitos más habituales cometidos en la sede de nuestras empresas?

La cibercriminalidad, se categoriza, empleando el estándar de tipologías penales descritas en el Convenio sobre Cibercriminalidad de Budapest, en los siguientes tipos de delitos:

Hombre tunel  – Acceso e interceptación ilícita de información

– Interferencia en los datos y en el sistema

– Falsificación informática

– Fraude informático

– Delitos sexuales

– Contra la propiedad industrial/intelectual

– Contra el honor

– Amenazas y coacciones

– Delitos contra la salud pública

De todos ellos, el tipo de delitos más importante según el Anuario estadístico del Ministerio del Interior 2014 es el denominado “fraude informático”, que concentra más del 65% del cibercrimen. Existen infinidad de fraudes cometidos por Internet, pero su causa y características difieren poco de las del fraude tradicional. La finalidad es engañar al usuario para lucrarse del mismo. Existen infinidad de formas y medios de fraude online, pero según el Estudio sobre la Ciberseguridad y Confianza en los hogares españoles de Red.es, el 26,9% son páginas fraudulentas que suplantan un comercio electrónico y el 26,8% suplantan páginas Web de loterías, casinos y juegos online.

Por lo que respecta a las empresas, según algunas fuentes de los peritos informáticos privados, el 46,71% de las peticiones que reciben se refieren a delitos relacionados con la falsificación o fraude informático. Un 43.11% son delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Dentro de esta categoría las conductas que más se repiten son con un 63.89% los delitos relacionados con el acceso ilícito a sistemas informáticos, y con un 36.11% todas aquellas conductas delictivas relativas a la interferencia en el funcionamiento de un sistema informático.

 

4.- ¿Qué porcentaje de los delitos provienen de fallos de seguridad relacionados con algún empleado?

Ciberdelito informatico

No tenemos datos tan específicos, pero sí sabemos que los usuarios son el eslabón más débil de la cadena en seguridad informática, por eso podemos aventurar que la falta de formación y concienciación de los usuarios de sistemas informáticos de la empresa provoca la gran mayoría de los incidentes de seguridad, no sólo en la empresa, sino en todas las organizaciones. En este sentido, cabe destacar que le baja percepción de riesgo de muchos directivos, no ayuda a revertir esta situación.

 

5.- ¿Existe alguna estimación de cuanto está costando a la empresa valenciana el fraude en seguridad informática?

Según los especialistas en cibercrimen de la Guardia Civil, en 2014 el riesgo y las amenazas a las que estuvieron sometidas las empresas españolas se tradujo en pérdidas de 14 mil millones de euros, por delitos y faltas cometidas en Internet.

Si estimamos que la Comunidad Valenciana suele estar en torno al 10% del total nacional tanto en población, como en Producto Interior Bruto (PIB), estaríamos hablando de que el cibercrimen provoca unas pérdidas de 1,4 mil millones de euros al año en las empresas de nuestra Comunidad.

 

6.- ¿Se atreve a aventurar algo sobre cómo será el futuro próximo de la seguridad informática en las empresas?

La situación actual como he apuntado no es buena debido principalmente a la falta de percepción de riesgo de los directivos y por tanto la falta de inversión en esta área, sin embargo las autoridades están dando pasos decididos para revertir esta situación, como el nuevo reglamento europeo de protección de datos, y que pasemos de preocuparnos, a ocuparnos de un tema en el que los profesionales informáticos sabemos muy bien que es el futuro de nuestras organizaciones.

 

7.- Ya para terminar, el Compliance es sin lugar a dudas una forma de proteger a la empresa ante la comisión de delitos informáticos en su seno, pero para Vd. ¿cuál sería la recomendación más importante para aumentar la Seguridad en la empresa?

El primer movimiento es pasar de la actitud pasiva actual de muchas empresas a la proactiva. Después vendrán la planificación, la modificación de políticas corporativas, la formación y concienciación y las soluciones técnicas; pero lo primero y fundamental es cambiar la actitud de muchos empresarios que piensan “eso no me pasará a mí” y, seguramente sin su conocimiento, ya le está pasando.

 

Carlos Rodriguez

Economista – Consultor Compliance

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *