Las violaciones de datos están en aumento y ninguna organización está a salvo de ciberataques, fugas o manipulaciones de información. Esto se debe, en parte, a la movilidad de la fuerza laboral y al uso creciente de servicios en la nube, que ponen muchas cargas de trabajo fuera del alcance de las redes corporativas tradicionales.
El Centro Criptológico Nacional de España emitió recientemente un informe que indica que 80% de los ciberataques está dirigido a los empleados. Esta tendencia no se limita a España, sino que también afecta a Chile y al resto del mundo.
Durante su exposición en el Encuentro Nacional de Auditores Exernos que tiene lugar en México, Ricardo Arellano, Senior Manager Application Security de Cybertrust Latam, explicó que “los empleados continúan siendo el eslabón más vulnerable en la cadena de seguridad de la información. Por este motivo, adoptar medidas de control de acceso que limiten estrictamente las funciones a las que los colaboradores pueden acceder es clave. La falta de controles adecuados permite que algunos usuarios se salten procesos internos, lo que pone en riesgo a la organización.”
De acuerdo con diferentes estudios, ocho de cada diez empresas han sufrido fraudes en el último año. Ricardo Arellano destacó que “de la totalidad de esos ataques, 61% fue detectado por controles internos. Sin embargo, solo un 12% de las empresas que sufrieron fraudes implementaron medidas preventivas después del incidente.”
Para reducir la probabilidad de violaciones de datos o fugas de información, las empresas deben implementar acciones concretas para mejorar el control interno. De acuerdo con lo planteado por el experto de Cybertrust Latam, entre éstas se encuentran “limitar el uso de cuentas, asignar accesos solo para las funciones esenciales; otorgar accesos según el cargo, definir roles claros para cada puesto; implementar soluciones de Identity Management, facilitar la gestión de identidades y accesos; detectar incompatibilidades de funciones, prevenir conflictos de acceso entre roles; desarrollar una matriz de riesgos de acceso para sistemas críticos como ERP, CRM y HR; y, finalmente, adoptar software de control de accesos que monitoree y prevenga accesos inadecuados.”
El control de acceso no solo permite determinar si un usuario tiene los permisos adecuados, sino que también facilita la auditoría de accesos, lo cual es clave para la seguridad financiera y operativa.
Ricardo Arellano concluyó que “aunque no existe un método 100% infalible para proteger a una organización, la implementación de controles internos sólidos y revisiones constantes reducen significativamente el riesgo de fraude.”