viernes, 29 de marzo de 2024

Tips de Ciberseguridad para una Empresa en Venezuela




La importancia de la Ciberseguridad para una empresa en Venezuela, radica en muchos aspectos, entre ellos, proteger la información confidencial, los datos personales y los sistemas informáticos de la empresa, entre otros.-

Desde el punto de vista contractual en pretendidos temas de Ciberseguridad, para las empresas relacionadas en el circuito económico que desarrollan, se necesita una actividad en específico que sea aprobada por escrito por las partes involucradas, tanto para clientes como proveedores. Sería recomendable firmar un contrato en forma separada o mediante un anexo a la documentación que ya utilizan y hacerlo parte del denominado uso o la costumbre mercantil, para evitar sorpresas o asuntos desagradables que puedan presentarse y a tales fines, es principalmente para lograr la adaptación a un mundo electrónico y digital frente a ciberataques que avanzan a pasos agigantados. Hay que especificar los servicios de Ciberseguridad que estarán en juego, cuando exista una remota posibilidad de comisión de hechos punibles civiles y/o penales, por eso es fundamental tener en cuenta, actividades como:


  • Análisis de riesgos y vulnerabilidades.
  • Implementación de medidas de seguridad técnicas y organizativas.
  • Monitorización y respuesta a incidentes de seguridad.
  • Formación y concienciación a todo el personal relevante desde la denominada junta directiva hasta mandos medios como son los puestos de gerencia, así como personal administrativo y obrero en materia de ciberseguridad.

                


Así que las obligaciones de implementar las medidas de seguridad, mantener la confidencialidad de la información de la empresa y notificar a la empresa de cualquier incidente de seguridad que pueda afectar a sus sistemas informáticos, es la biblia elemental para prestar asistencia a la empresa en la gestión de incidentes de seguridad informática.


Obligaciones de la empresa en su gerencia de seguridad o de sistemas:


Facilitar al proveedor o cliente, el acceso a la información precisa y con los sistemas informáticos necesarios para la prestación del servicio con estricta diferenciación mediante password en las entradas remotas.

Notificar al proveedor de cualquier cambio en su entorno informático que pueda afectar a la seguridad.

Cumplir con las recomendaciones de seguridad mediante organigramas.


Responsabilidades:


Definir la responsabilidad en caso de que se produzca un incidente de seguridad.

Establecer la responsabilidad de la empresa por los daños y perjuicios causados por un incidente de seguridad.

El proveedor deberá demostrar su cumplimiento, lo cual sería prudente hacerlo con los estándares internacionales de Ciberseguridad, mediante:


El Respeto de la Privacidad:


Incluir una cláusula que regule el tratamiento de datos personales por parte del proveedor o cliente.

Asegurar que el proveedor cumple con la normativa constitucional y legal venezolana en materia de protección de datos.


Software y Hardware:


Definir los derechos de propiedad intelectual sobre el software y las aplicaciones utilizadas por la empresa.

Establecer las condiciones de uso del software y las aplicaciones.

Hacer un inventario completo donde se incluya:


  • Hardware, software, redes y datos.
  • Sistemas de información, aplicaciones y bases de datos.
  • Cualquier otro componente del sistema informático de la empresa.


Establecer las medidas para proteger los sistemas informáticos, como:


  • Implementación de medidas de seguridad técnicas y organizativas.
  • Monitorización de los sistemas informáticos.
  • Realización de copias de seguridad.
  • Implementación de un plan de respuesta a incidentes de seguridad.


Un Plan de Respuesta a Incidentes de Seguridad debe incluir:


  • Definición de roles y responsabilidades: Identificar a las personas responsables de cada paso del plan.
  • Comunicación: Definir cómo se comunicará la empresa con los empleados, clientes y otras partes interesadas en caso de un incidente de seguridad.
  • Contención: Detallar las medidas que se tomarán para contener el incidente de seguridad y evitar que se extienda.
  • Investigación: Definir cómo se investigará el incidente de seguridad para determinar la causa y el impacto.
  • Recuperación: Detallar las medidas que se tomarán para restaurar los sistemas informáticos y los datos de la empresa.
  • Prevención: Definir las medidas que se tomarán para evitar que se repita un incidente de seguridad similar.


En relación con los sistemas informáticos:


  • Implementar las medidas de seguridad técnicas y organizativas necesarias para proteger los sistemas informáticos de la empresa.
  • Monitorizar los sistemas informáticos de la empresa para detectar cualquier actividad anómala.
  • Realizar copias de seguridad de los sistemas informáticos de la empresa.
  • Implementar un plan de respuesta a incidentes de seguridad.


Control de Acceso:


Definir los criterios para el acceso a las diferentes áreas de trabajo de la empresa.

Establecer las medidas de seguridad para el control de acceso físico y virtual.




Dos Estándares Internacionales de Ciberseguridad:


Incluir una cláusula que obligue al proveedor a cumplir con los últimos estándares internacionales de Ciberseguridad, como ejemplos, podemos citar políticas de otros países que podemos adaptar al territorio venezolano y que son, estas dos, las más comúnmente usadas actualmente:


NIST Cybersecurity Framework: Un marco de trabajo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos que proporciona una guía para la gestión de riesgos de seguridad cibernética. El NIST Cybersecurity Framework se compone de cinco funciones:


  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar


Cada función se divide en categorías y subcategorías que contienen prácticas específicas de seguridad cibernética.


ISO/IEC 27001: Un estándar internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). La ISO/IEC 27001 se basa en un ciclo de mejora continua que incluye:


  • Planificación
  • Implementación
  • Verificación
  • Actuación
  • Mejora


Es bastante conveniente hacer al principio, las denominadas auditorías. Efectivamente habría que someterse a auditorías independientes para verificar su cumplimiento en una simple analogía con los estándares.


Beneficios:


El cumplimiento de parámetros en donde esté relacionada la Ciberseguridad por parte del proveedor o el cliente, proporcionará a la empresa los siguientes beneficios:


  • Mejora de la seguridad de la información: Reducción del riesgo de sufrir un incidente de seguridad.
  • Mayor confianza: Mayor confianza de los clientes, socios y otras partes interesadas en la seguridad de la información de la empresa.
  • Cumplimiento legal: Cumplimiento de las leyes y regulaciones aplicables en materia de ciberseguridad.


Un Asunto Trascendental es el Tratamiento de la Confidencialidad:


En todas las operaciones delicadas, es clave incluir una cláusula de confidencialidad que obligue a las partes a mantener la confidencialidad de la información intercambiada.


Se debe definir qué se entiende por información confidencial, incluyendo:


  • Información comercial, financiera, técnica o de cualquier otra naturaleza.
  • Datos personales de empleados, clientes, proveedores o cualquier otra persona.
  • Cualquier otra información que la empresa considere confidencial como por ejemplo, una fórmula secreta.


Establecer las medidas para proteger la información confidencial, como:


  • Almacenamiento seguro de la información.
  • Control de acceso a la información.
  • Uso de mecanismos de cifrado.
  • Prohibición de la divulgación de la información a terceros.


Sobre los Datos Personales:


Como les indiqué anteriormente sería conveniente incluir una cláusula que regule el tratamiento de datos personales, de acuerdo a la Constitución de la República Bolivariana de Venezuela, en su artículo 60, el cual establece el derecho a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. Esa Protección de Datos Personales de la República Bolivariana de Venezuela, parte de la base de aseguramiento que los proveedores de una empresa cumplen con los principios de licitud, consentimiento, calidad, finalidad, proporcionalidad, responsabilidad, seguridad y confidencialidad en el tratamiento de los datos personales. Del mismo modo, la Ley Especial Contra los Delitos Informáticos y la Ley Sobre Protección a la Privacidad de las Comunicaciones son piezas fundamentales que debemos tener siempre muy presente. 




Recomendaciones adicionales:


Se recomienda que la empresa consulte con un abogado especializado en derecho informático para obtener asesoramiento legal específico para su caso.

Se recomienda que la empresa implemente las mejores prácticas en materia de ciberseguridad para proteger sus sistemas informáticos y los datos de sus empleados, clientes y otras partes interesadas.

No hay comentarios.: