Ciberseguridad: Protege tu Marca Antes de que sea Demasiado Tarde
En la era digital, las pequeñas y medianas empresas (PYMES) en Colombia se han convertido en blancos frecuentes de cibercriminales. Muchas organizaciones subestiman el impacto de un ciberataque, sin darse cuenta de que puede arruinar años de esfuerzo y afectar gravemente su reputación. El reciente webinar “Ciberseguridad: Protege tu Marca”, organizado en colaboración con la Cámara de Comercio de Cartagena, resaltó la importancia crucial de la seguridad digital y brindó recomendaciones valiosas para que las PYMES fortalezcan sus defensas. ¿Por qué la Ciberseguridad es Clave para las PYMES? Las decisiones estratégicas en ciberseguridad deben partir desde la alta dirección. Sin liderazgo claro en este ámbito, las consecuencias pueden ser devastadoras: sanciones regulatorias, pérdidas financieras, e irreparables daños a la reputación. Pero, ¿qué pueden hacer las PYMES para protegerse? Buenas prácticas recomendadas incluyen: Integrar la ciberseguridad en las juntas directivas para asegurar un enfoque proactivo. Promover una cultura interna de seguridad digital en toda la organización. Principales Amenazas en el Panorama Actual Durante el webinar, se discutieron las amenazas más comunes que enfrentan las PYMES hoy en día. Entre ellas: Phishing: Suplantación de identidad para robar datos sensibles. Ransomware: Secuestro de información, donde los delincuentes exigen pagos para liberar los sistemas. Malware: Software malicioso que infecta redes y dispositivos. Ataques internos: Los errores humanos y amenazas internas también representan riesgos significativos. Recomendaciones para Fortalecer la Ciberseguridad. Afortunadamente, existen medidas clave que pueden marcar una gran diferencia en la seguridad de una empresa: Capacitar al personal: Todos los empleados deben recibir formación sobre cómo identificar y responder ante amenazas. Implementar MFA: La autenticación multifactorial es crucial para añadir una capa adicional de seguridad. Mantener el software actualizado: Las actualizaciones periódicas evitan que las vulnerabilidades conocidas sean explotadas. Realizar respaldos periódicos: Los backups regulares son esenciales para mitigar el impacto de posibles ataques. Indicadores Clave de una Estrategia Exitosa Una estrategia de ciberseguridad efectiva se refleja en tres indicadores esenciales: Evaluación continua de riesgos: Auditorías periódicas para detectar vulnerabilidades antes de que sean explotadas. Medidas técnicas y organizativas: Implementación de firewalls, antivirus, y políticas claras de gestión de acceso. KPIs clave: Tiempo de respuesta ante incidentes, reducción de ataques exitosos y cumplimiento de normativas. A pesar de todos los esfuerzos, las amenazas cibernéticas siguen evolucionando a gran velocidad. Para mantenerse protegidas, las PYMES deben estar un paso adelante, asegurando que la ciberseguridad sea una prioridad estratégica en la alta dirección. Además, se destacaron algunas recomendaciones cruciales en este ámbito, como el uso de la Inteligencia Artificial generativa para la ciberdefensa, el refuerzo de la seguridad en la nube, y la creación de planes de respuesta ante incidentes claros y efectivos. En definitiva, la ciberseguridad no es solo una cuestión técnica, es una responsabilidad compartida que debe ser asumida por toda la organización, desde la junta directiva hasta el último empleado. Y si las PYMES no toman medidas hoy, el costo podría ser irreparable.
Regulación de la Inteligencia Artificial en los Estados Unidos
La Casa Blanca reveló un conjunto de normas y principios para regular la inteligencia artificial (IA) en Estados Unidos. El presidente Joe Biden emitirá un decreto que exigirá a los desarrolladores de IA presentar al gobierno federal los resultados de pruebas de seguridad cuando sus proyectos representen un grave riesgo para la seguridad nacional, económica o la salud pública. Estas pruebas seguirán criterios establecidos a nivel federal. Además, se prestará especial atención a los riesgos en biotecnología e infraestructuras, y se emitirán recomendaciones sobre la detección de contenidos generados con IA y la discriminación en sistemas de IA. A pesar de los esfuerzos, el margen de maniobra de Biden es limitado, ya que cualquier regulación significativa requerirá la aprobación del Congreso. La regulación de la IA es objeto de competencia internacional, con la Unión Europea buscando establecer un marco regulatorio antes de fin de año para liderar a nivel mundial.
SIC impone sanción a empresa por no documentar la política o documento de seguridad de la información
En resolución del año 2022 la SIC sanciona a la empresa CHARRY TRADING S.A.S, empresa responsable por el incumplimiento de documentar la política de seguridad de la información. De acuerdo con el deber exigido por la Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio, la omisión de la orden impartida por la entidad conlleva a la interposición de una sanción pecuniaria. La investigación inicia por medio de una orden administrativa interpuesta a la sociedad CHARRY TRADING S.A.S de carácter preventivo en donde debía documentar, implementar y monitorear una política de seguridad de la información que debía contener medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales de los titulares. La sociedad CHARRY TRADING S.A.S contaba con un sistema regulado de protección de datos, sin embargo, por omisión a la orden interpuesta no cumplió con los deberes de los Responsables del Tratamiento de acuerdo con el articulo 17 de la Ley 1581 de 2012 que expresa la obligación de cumplir las instrucciones y requerimientos que imparta la SIC. Teniendo en cuenta lo anterior, la SIC procedió a realizar la imposición y graduación de la sanción por la infracción al Régimen de Protección de Datos Personales conforme al principio de proporcionalidad de forma razonable que orienta el derecho administrativo sancionatorio. La SIC aclara varios puntos importantes: -Se debe lograr un equilibrio entre la sanción y la finalidad que la norma vulnerada establezca. -Proporcionalidad entre la gravedad de la infracción y la sanción aplicada. -Para efectos de la dosificación de la sanción, se tienen en cuenta los que establece el artículo 24 de la Ley 1581 de 2012, además se pueden tener en cuenta el tamaño de la empresa, sus ingresos operacionales y patrimonio. En el caso concreto la sociedad investigada se benefició del criterio de atenuación de la sanción establecido en la Ley 1581 de 2012, menciona que “el reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar”. Es así, que por medio de un análisis jurídico realizado por la SIC se llevó a la conclusión de la atenuación de la sanción, reconocimiento importante para las empresas y la legislación al momento de enfrentarse con situaciones de este índole. Proporcionar alternativas para el cumplimiento de la sanción sin desconocer la omisión demuestra la intención de prevalecer los derechos fundamentales y no fomentar la vulneración de estos. Fuente: Resolución 88011 de 2022
CIBERDELITOS: NUEVAS TENDENCIAS DEL CRIMEN ORGANIZADO.
Generalmente, lo primero que hacemos al levantarnos de la cama es ver el teléfono, ya sea para revisar el correo o las distintas plataformas de mensajes que existen hoy en día, más tarde, encendemos el computador para estudiar o trabajar, y si tenemos deudas pendientes usamos una app de nuestro banco para pagar servicios, compras y demás elementos disponibles. Entre estos eventos, la información que proporcionamos para realizar tales tareas es personal, cuya autorización de uso no resulta para el común un asunto de índole proteccionista, sino un proceso normalizado de interacción humana. Con base en lo anterior, la tecnología ha avanzado lo suficiente como para anteponerse a las necesidades humanas, brindando una experiencia altamente personalizada en cuanto a su uso, no obstante, esto no significa que todos aquellos procesos en los cuales las nuevas tecnologías estén involucradas sean seguros, y frente a esos vacíos de seguridad se cometen los Ciberdelitos. Para entender cómo se llevan a cabo los Ciberdelitos, es necesario aclarar que ellos se dirigen a quebrantar el sistema de seguridad en cuanto al almacenamiento de la información, entendiéndose información como “Una agregación de los datos que tiene un significado específico más allá de cada uno de estos” (Borghello, 2001) – entonces los ciberdelitos se definirían como todo aquel hecho no deseado que atente contra la seguridad de la información, aplica a todos los medios en la cual sea almacenada, expresando que el almacenamiento de la información puede ser el bases de datos automatizadas (como en la nube, en un computador, teléfono o cualquier otro dispositivo) o en bases de datos manuales (como papel, expedientes y listas). Por consiguiente, la fundamentación de la premisa anterior se cimienta en la caracterización de lo que es la información y sus pilares fundamentales: Integridad (principio de no alteración), la información sólo podrá ser alterada en el evento en el cual su responsable lo autorice, lo cual debe registrarse en la base de datos; Disponibilidad (estar almacenada y disponible para que aquellos que sean autorizados puedan tratarla); y Confidencialidad (que sea sólo conocida por autorizados); dichos pilares fundamentales de la información determinan de manera específica el tipo de tratamiento que se debe tener con la información, con el fin de mantener los riesgo de manera ínfima y poder controlarlos. Si bien los ciberdelitos son delitos sofisticados puesto que atentan contra seguridad de la información, las empresas que trabajen con bases de datos (ya sea de clientes, empleados, etc) deben implementar mecanismos de respuesta ante los riesgos a los cuales se exponen por ser responsables del manejo de la información de manera tercerizada; el riesgo es tan simple como abrir un correo infectado con malware, reescribir el código fuente del emisario, deterioro de documentos físicos o el hurto de los mismo, por consiguiente los mecanismos de protección deben ofrecer respuestas rápidas ante un ataque cibernético, para ello, para implementar un sistema de seguridad adecuado es importante determinar los riesgos a los cuales está expuesta la información para asumir, mitigar y reducir. Ya esclarecidos los conceptos básicos de información, sus caracterizaciones y lo que es el ciberdelito, nos adentraremos en la aplicación penal del mismo, teniendo como límite espacial la aplicación de la regulación normativa en Colombia. La definición más aceptada de la palabra delito es “toda acción típica, antijurídica y culpable”, conlleva especificar cuál es el sujeto al que se le aplica la acción penal, que en este caso, el sujeto activo (quien realiza la conducta antijurídica) sería quien realiza los ataques cibernéticos con el fin del uso no autorizado de datos personales, cuya persecución resulta bastante difícil puesto que no son personas que plenamente se puedan identificar porque actúan de forma anónima, y, debido a la masividad de la circulación de contenidos en la red, se puede ocasionar fluctuaciones indebidas de información personal, provocando al sujeto pasivo lesiones directas al bien jurídico tutelado (injuria, calumnia, etc.) Ahora, en la doctrina también encontramos acepciones acordes a la definición de delito cibernético: Conducta típica: Las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin y las conductas atípicas como actitudes ilícitas en las que se tienen a las computadoras como instrumento o fin. (Téllez Valdés, 2003) Conducta contraria a la ética: Cualquier conducta no ética, no autorizada, que involucra procesamiento automático de datos y/o la transmisión de datos. (Organización para la Cooperación económica y el Desarrollo) Punto de vista triple: Como fin en sí mismo (tecnología como objeto de defensa que manipula la información), como herramienta del delito (tecnología para facilitar la comisión del delito) y como objeto de prueba (tecnología que guarda pruebas respecto a la comisión del delito). (Alexander Díaz García, 2009) Regresando al sujeto imputable del delito, encontramos que existen agrupaciones dedicadas a hacer cibercrimen y ciberdelincuencia, cuya diferencia es sumamente importante pata la identificación del sujeto activo. Generalmente, la ciberdelincuencia es llevada a cabo de manera intermitente, realizando delitos de ocurrencia común y e independiente, no tiene ningún tipo de organización, un ejemplo claro sería publicar fotos sensibles de alguien más en una plataforma a través de un perfil falso, entre otros; mientras que el cibercrimen es realizado por un grupo de individuos, comisionando delitos de ocurrencia sistematizada, motivados por ganar dinero, que son operados por grupos organizados y profesionales, un ejemplo claro del cibercrimen es el escándalo de WikiLeaks, revelando información sensible de manera desproporcionada, lo que provocó serios problemas de seguridad en Estados Unidos; el phishing, para robar información de cuentas bancarias; implantación de virus, malware o spam, entre otros. Continuando el recorrido de identificación normativa, hallamos los principales lineamientos normativos nacionales en el Código Penal (Ley 599 de 2000, en su artículo 153), Ley 1273 de 2009, e internacionales en el Convenio de Ciberdelincuencia de Budapest (ratificado en la Ley 1928 de 2018), que puntualizan el bien jurídico protegido como una garantía a la protección de datos personales y su autorización de uso, además acoge la confidencialidad, integridad y confidencialidad de la información y de los sistemas informáticos donde
Guia de la Ciberseguridad para el 2019
Inicia con fuerza las predicciones sobre lo que deparará el nuevo año en materia de Ciberseguridad. Las grandes compañias dedicadas a la seguridad insisten en alertar a las organizaciones a que se realicen esfuerzos en concientizar a los empleados de su rol -no aislado- en la ciberseguridad. Desde el Malware y el spam personalizado hasta amenazas sobre los criptoactivos, 2019 será un año muy movido en este importante item para las empresas. La revista Dinero ha publicado la siguiente guia, de la cual reproducimos algunos apartes interesantes: Ojo con la protección de datos Si algo dejó el 2018 fue la preocupación por la privacidad. Esta se volvió la principal preocupación de muchas empresas en el marco de escándalos de filtración masivas de datos que pusieron en el ojo del huracán a compañías como Facebook, Google y Amazon. Entre tanto, entró en vigencia en la Unión Europea el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que deben cumplir no solo las compañías basadas en el antiguo continente, sino todas las que tengan alguna relación con organizaciones o clientes en ese territorio. Maximiliano Cantis, gerente regional de Eset dijo a Dinero que efectivamente la privacidad y la protección de los datos seguirá como una de las principales tendencias de seguridad durante el 2018. Esa compañía elaboró un informe en el que resaltó importancia y responsabilidad que recae en las compañías a la hora de proteger los grandes volúmenes de datos que han recopilado a lo largo de los años. De acuerdo con Eset, siguiendo la regulación de la Unión Europea, otras partes del mundo tomarán ese camino y analizan también la posibilidad de la existencia de una ley global. Conozca toda la guia en el siguiente enlace. Con informacion de Dinero.com
Retos en la consolidación de la seguridad digital, la privacidad y los secretos empresariales.
Casi suena a lugar común expresar que la información (y dentro de ella, los datos personales) son el activo más importante en las empresas. Tal vez, nos mueva la cifra: más de 106.000 millones de euros representarán las transacciones con datos personales solo en Europa. Para Latinoamérica, las cosas son similares y, gradualmente, las empresas reconocen que los datos empiezan a ser el motor que mueve sus negocios. El rápido desplazamiento hacia la informatización, la adopción -en ocasiones descontrolada- de herramientas tecnológicas, la constante inseguridad de la información y la necesidad de protección de los secretos empresariales ponen sobre el tapete la necesidad de balancear el rol de la gerencia en cuanto al manejo de la información. Cuando hablamos de secretos empresariales nos referimos a los mecanismos que, desde la propiedad intelectual, permiten a las empresas proteger sus ventajas competitivas. Si bien esta protección cuenta con un uso menos frecuente frente a las otras formas (como marcas, patentes o diseños), es igual de necesaria en el reinante mundo de los atacantes informáticos. Es muy claro que, con noticias ampliamente comentadas y los -más efectivos- chismes de corrillos empresariales, el “ciberespionaje” empieza a calar en las retinas de los gerentes. Solo para recordar: piénsese en la importancia de Apple en que no se conozca información sobre el próximo iPhone o los infructuosos intentos de los grandes medios por evitar el filtrado de películas en la red previo a sus lanzamientos oficiales. No obstante, y pese a la dificultad práctica de proteger los secretos empresariales vía acuerdos de confidencialidad, es palmaria la capacidad que hoy tienen los amigos de lo ajeno para robar información comercial valiosa y hacerlo con relativa facilidad. Solo por mencionarlo, el spear phishing[1] ha cobrado protagonismo en los informes sobre amenazas cibernéticas, lo cual es bastante preocupante. Complejo panorama Es así como tenemos los ingredientes que hacen bastante complejo el panorama de las organizaciones que, por un lado, sienten la presión de contar con herramientas tecnológicas volcadas sobre el negocio y, por la otra, la presión regulatoria: proteger la información y gestionar los riesgos a todo nivel. De esta forma, en la economía digital, estos tres elementos tienen absoluta relevancia: seguridad digital, protección de datos personales y corporativos y protección de secretos empresariales, así como su correcto balance, lo cual jugará como factor competitivo en las empresas de este siglo. En cuanto a la privacidad de la información personal, Colombia ha tenido avances significativos, a pesar de contar con una de las leyes estatutarias más jóvenes en Latinoamérica (L. 1581/12). Y ya hay índices interesantes en cuanto a un marco general de protección de los datos. Así mismo, en Europa, se centran todas las miradas en el nuevo Reglamento General de Protección de Datos, que próximamente entrará en vigor (mayo del 2018). Tanto allá como acá debemos advertir -contrario a lo expresado por varios empresarios- que las normas sobre privacidad buscan que la explotación comercial de los datos de las personas se realice con altos grados de transparencia, lealtad y licitud. En verdad, estas reglas no deben enfrentarse con temor, porque ni restringen ni prohíben, más bien nos muestran en qué forma usamos los datos de manera apropiada. De acuerdo con estos postulados, reconoceremos que uno de los mayores retos estará en concientizarnos al tiempo que sensibilizamos a todo el personal en la organización. Esta gran relevancia de los secretos empresariales en el mundo moderno no hace otra cosa que mostrarnos lo mal capacitados que están nuestros empleados frente al uso de la información. Es una constante que, lastimosamente, la mayor cantidad de las fugas de información se presenta, sin intención, por parte de los empleados de las empresas y ello, en parte, se debe a problemas sobre cultura organizacional. Así, la gran oportunidad se decanta en hallar las justas proporciones en la expectativa de seguridad, los secretos empresariales y la protección de los datos, que ponen en una balanza los intereses de las organizaciones y que, a su vez, sirven de catalizadores para una correcta visión gerencial en la aceptación de riesgos de tipo operativo y la convivencia con factores externos. Como lo anota el profesor Jeimy Cano: “Un ciberataque no es exitoso por la materialización de la falla en contra de una infraestructura o una empresa, lo es, cuando es capaz de crear un ambiente de volatilidad que compromete la confianza de un colectivo humano, que siente que algo ocurre en un dominio no conocido y que termina afectando o deteriorando sus derechos, deberes, oportunidades y actuaciones”.[2] [1] El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la computadora de la víctima. [2] Portafolio, mar. 8/18.