(ITNOW)-. Como consecuencia de los ataques cibernéticos realizados recientemente en varias instituciones de Costa Rica, EY Law emitió una guía informativa sobre los temas más relevantes a tomar en consideración para garantizar la seguridad de las empresas, a partir de las consultas más recurrentes que están llegando a su práctica legal.
Fernando Vargas, Margarita Guido y Nadia Chaves, Socio y Gerentes de EY Law, respectivamente, instaron a las empresas en la región centroamericana y del Caribe a reforzar sus medidas de seguridad, así como a diseñar e implementar protocolos de seguridad cibernética.
¿Cuáles serían las posibles implicaciones para una empresa en caso de una posible publicación de su información contenida en una Institución Pública, en este caso Hacienda en Costa Rica?
Esta respuesta está asociada a la determinación de cuál es la información que se ha secuestrado producto del Hackeo. En el peor escenario, la consecuencia sería la filtración de información sensible en el aspecto financiero de la empresa.
Por ejemplo, listado de clientes, proveedores, cifras económicas (impuestos y declaraciones, pagos, costo de producto, seguros, contratos naviera,) representantes legales, correos, direcciones, informes de fiscalización, actividad, transacciones sin facturación electrónica, archivos xml., compras mensuales, DUAS, importadores, valores aduanales, compradores, gastos varios(cánones, regalías), descripciones de productos y, en general, el secreto de empresa que salvaguarda el interés económico que encierra para el negocio.
¿Consecuencias directas?
Entre las consecuencias directas de una exposición de este tipo de información, encontramos disminución de la capacidad de la compañía, exposición a la competencia, riesgo reputacional, posible extorsión por parte de terceros.
¿Debería la empresa informar a sus proveedores o socios comerciales sobre la posibilidad de haber sido víctima durante el Hackeo?
La respuesta es sí. Es recomendable que todas aquellas partes que se encuentran presentes en la cadena de servicio estén enteradas sobre el tema y sus riesgos. No obstante, debe considerarse que mientras no exista una confirmación real arrojada en los resultados del análisis forense que esté realizando la Institución sobre la información secuestrada, solamente se podrán realizar estrategias para evitar una fuga adicional y conocer el impacto y alcance del ataque, el cual es fundamental para la toma de decisiones.
Debido a ello, lo recomendable es que las relaciones continúen, pero siempre en alerta sobre cualquier movimiento atípico en cuentas, sistemas, bases de datos, etc. Debe hacerse la salvedad de que no se conoce la información afectada.
La comunicación es clave para evitar complicaciones para todas las empresas, estos son los momentos en que cada compañía de manera individual debe protegerse para salvaguardar a las demás y sus relaciones con terceros. De esta forma, se evitan males mayores y se minimiza el riesgo de alguna afectación interna y a los consumidores de sus productos o servicios.
No se pierda: Reviví el primer día de Tech Day Costa Rica 2022
¿Recomiendan acercarse a los ejecutivos de los bancos donde la empresa tenga sus cuentas para asegurar que las contraseñas estén a salvo?
Sí, lo más recomendable es hablar con los personeros de los bancos y conocer los mecanismos de ciberseguridad (protocolos, seguros internacionales, alarmas de movimientos atípicos) que se están implementando para garantizar la no exposición de las cuentas.
En caso de que se considere no ser suficiente, el cambio de contraseñas es posible. Sin embargo, ese cambio en este momento podría entrabar aún más los procesos aduanales ya afectados (en el caso de Costa Rica). Es por lo anterior, que resulta esencial diseñar un plan de buenas prácticas empresariales y de Ciberseguridad que complemente las relaciones con las entidades financieras.
¿Qué medidas de ciberseguridad recomiendan?
Software y Bases de datos
Mantener todo el software actualizado. Realizar análisis de vulnerabilidades.
Implementar segmentación de red y filtrado de tráfico de data.
Remover aplicaciones no necesarias u obsoletas.
Limitar el acceso a los recursos de red.
Cifrar bases de datos. Podrían seudonimizarse o anonimizarse también.
Implementar soluciones y protocolos de detección y respuesta a amenazas.
Utilizar sistemas de prevención de pérdida de información.
Implementar procedimientos para identificar cambios no autorizados en los sistemas de redes.
Implementar Firewalls y proteger los Routers.
Actualizar los sistemas de red.
Revisar los accesos del dominio. Limitarlos.
Capacitar sobre los usos de la Intranet.
Autenticar los ingresos a cuentas empresariales.
Cambiar las contraseñas periódicamente, pero de manera controlada y a solicitud de la empresa. El cambio masivo de contraseñas y de manera desorganizada podría generar desconfianza y levantar sospechas sobre todo si se ha realizado en el plazo del último mes del acto.
Personal y Hardware
Capacitar al personal en temas sobre ciberataques- Temas de Virus (Malware en general), Ransomware y Phishing.
Mantener un inventario actualizado de activos tecnológicos esenciales para el adecuado funcionamiento de la organización.
Realizar respaldos de forma periódica.
Asegurar los respaldos de la organización. Se recomienda implementar medidas físicas para proteger los servidores.
Comments