Seguridad Corporativa - gestión responsable.

Arequita, sábado 6/1/10 (HACER CLIC AQUI)

Hace algún tiempo nos referimos a los delitos informáticos y su afectación para los sindicatos, ya que podrían verse involucrados trabajadores sindicalizados por la imputación de "inconductas virtuales", entendiendo por tales conductas aquellas que surgen de hipótesis sustentadas simplemente en registros informáticos, no demostrables por medio diferente alguno al que los generó.
También expresamos en aquella oportunidad que, lamentablemente, quienes administran y operan los sistemas actuales de gestión empresarial por lo general responden a una cultura diferente a la que forjó el pundonor en los antiguos burócratas y servidores públicos - que ejercían la fe administrativa en forma comparable con los escribanos públicos - muy por el contrario, quienes ahora administran sistemas informáticos muy sofisticados generalmente derivan de una filosofía donde los conceptos que sustentaban la burocracia fueron reemplazados por axiomas conductistas del éxito fácil, es la filosofía del “just do it”, de “el que piensa pierde”, de “si te hace bien, hazlo”, y otras frases por el estilo que adoptamos para estar bien con nosotros mismos sin entreverarnos ni “confundirnos” con cuestiones éticas y morales. Además debemos agregar a estos conceptos que - donde antes intervenía toda una “cadena burocrática” que acumulaba controles que podían detectar errores o desvíos administrativos - hoy esa tarea se ha concentrado en uno o pocos operadores del sistema, cuyas acciones se procesan por sistemas impersonales e irreflexivos.

En este contexto de administración informatizada en que nos encontramos – aún con escasa regulación que permita establecer y categorizar los delitos informáticos que puedan realizar los operarios del sistema - la gestión de una empresa tiene mucho parecido con juegos de computadora. Por lo tanto, sin los controles que pudieran evitar el acceso indebido a datos y registros propios de una corporación empresarial y de sus clientes, no es de extrañar que nos encontremos con realidades que pueden afectar a la empresa en su seguridad corporativa.

Obviamente esta realidad no escapa a la Industria de la Informática, o más abarcativamente a la industria de tecnologías de la información y la comunicación (TIC’s), por lo que en los últimos tiempos se ha desarrollado con mucho empuje y responsabilidad la Informática Forense, y han surgido empresas de testeo y ensayo de Software, que apoyando a las TIC’s certifican las aplicaciones y alcance del software desarrollado; tal es el caso de CES en Uruguay, cuyo sitio WEB es: http://www.ces.com.uy/

¿Qué es la Informática Forense?: Este concepto puede definirse como la actividad desarrollada con el fin de detectar y prevenir delitos informáticos; y la clasificación de esas actividades es tan amplia, diversa y cambiante como lo son los delitos informáticos.
¿Qué es la seguridad corporativa?: Este es un concepto muy amplio, y abarca todas las actividades y controles empresariales que propenden a resguardar los datos relevantes y bienes intangibles de la empresa, incluida la información sobre los clientes y empleados. El resguardo de estos datos implica que no sean accedidos por la competencia, que no sean modificados indebidamente y que no sean utilizados con fines espurios.

Entre los productos de la Informática Forense que utiliza la seguridad corporativa se han desarrollado desde hace mucho tiempo programas y registros que permiten detectar cualquier intervención sobre el sistema que se quiere proteger, e identificar también al operario que intervino en cada caso, es así que si alguien entra al sistema para realizar cualquier consulta o tarea, todo queda registrado; la forma en que se registran esos eventos de gestión permite diferenciar la fortaleza del sistema, ya que si no se prevén mecanismos de ciframiento y otros procedimientos de seguridad corporativa, también podrían violentarse los registros forenses.

Pero la forma de utilización por la empresa de estos registros forenses también es de relevancia para la seguridad corporativa, por lo que muchas empresas instrumentan auditorías e inspecciones rutinarias y aleatorias que se realizan con fines de verificar la correcta operación, administración y gestión del sistema; y cuya aplicación implica un costo irrelevante. El concepto que sustenta esta actividad de la seguridad corporativa responde a que de poco sirve guardar información forense sobre la gestión histórica que se desarrolla en un sistema si no se verifica de vez en cuando que no haya habido acciones que pudieran resultar en delito informático, ya que es difícil y poco eficiente detectar el delito por sus resultados consumados o luego de recibir una denuncia (la que además respondería a la punta del iceberg de la actuación de empleados infieles). El procedimiento es similar al que se utiliza para controlar el contrabando en los aeropuertos o el doping en el deporte, mediante la inspección exhaustiva de actores elegidos por azar.

La idea es que en forma rutinaria (dependiendo la frecuencia de la posibilidad de ocurrencia de actos delictivos y de las consecuencias de los mismos), se verifique mediante una auditoría si todas las actividades de gestión realizadas en determinado plazo por un operario seleccionado por azar, responden a las necesidades del servicio. De esta manera, si se detecta alguna intervención que no tiene sustento en ordenes de servicio o necesidades justificadas del mismo, se adoptan las medidas del caso. Obviamente que para que estas auditorías sean efectivas no debe existir persona alguna exceptuada del sorteo, porque ello sería una debilidad insostenible de la seguridad corporativa.

Esta actividad de la seguridad corporativa es muy importante para los clientes, accionistas y administrados de cualquier organización, actuando como barreras contra la corrupción, porque cuando la ética y la moral han prescripto, funciona más eficazmente la relación Riesgo – Beneficio para delimitar el comportamiento Humano. Veámoslo con dos ejemplos totalmente hipotéticos: A) En una empresa de telefonía móvil un empleado que tenga permisos para consultar los registros de las comunicaciones de los clientes lo pensará más de una vez antes de acceder al pedido de un amigo para que le informe las comunicaciones que realiza o recibe un competidor de su amigo. B) En una Intendencia Municipal un funcionario o jerarca con permiso para operar en los datos sobre deudas en contribuciones, convenios, etc. lo pensará mejor antes de alterar o divulgar registros en forma indebida. Ya que en todos los ejemplos, sin mediar denuncia de damnificado alguno, si el operario infiel saliera sorteado en las auditorías de rutina perdería su puesto y sería denunciado penalmente.

Y con esto termino con este tema; pero antes quiero realizar una última reflexión que algo tiene que ver con todo esto de los delitos informáticos y de la seguridad corporativa:
La sociedad está enferma, no sólo por la pasta base y demás drogas; entre otras pandemias también lo está por la competencia descarnada, por el consumismo de bienes y servicios, por el tráfico de influencias; y mientras nos aprovechemos - con fines ajenos a los que los sustentan – ya sea de nuestro conocimiento, o de nuestras amistades influyentes, o de nuestras posiciones de privilegio, o de las organizaciones a las que pertenezcamos, para consolidarnos en nuestro éxito, perjudicando con ello al prójimo o a la comunidad, nada nos diferencia de quienes desde las calles atentan contra la propiedad privada; porque los derechos de los damnificados por ese aprovechamiento indebido son tan importantes como la propiedad privada que atropellan los que solemos denominar como "amigos de lo ajeno".