Las inversiones en tecnología igual que las negociaciones de otras áreas pueden contener riesgos que deben ser gestionados, en algunos casos no se expone estas posibilidades y no se analizan. Solo cuando las empresas se ven expuestas a lo inevitable, entonces se cae en la cuenta de las posibles oportunidades de fuga de información o robo de datos.
Cómo se da esto?
Si ha tenido contacto con proyectos de instalación de funcionalidades, actualización de softwares o la adquisición de uno sabrá que los suplidores de estos proyectos parten de todo lo que su negocio realiza, teniendo acceso completo a sus datos de clientes, proveedores, ventas, gastos y todo lo registrado hasta un corte que usted de manera consiente les da total visibilidad. Una buena práctica ante estas necesidades es la firma de un acuerdo de confidencialidad con sus proveedores, de modo que ante un evento, si tiene como demostrarlo puede ejecutar legalmente acciones que recompensen el daño.
Lo primero que exige estos procesos es acceso a sus servidores, entregando permiso de administrador en el caso de que ya tenga alguna funcionalidad corriendo, al inicio se suele entregar a un selecto grupo permisos ilimitados (Súper) para que no se detenga la operación en el negocio. Lo que no está mal del todo, si se hace programado, haciendo un compromiso de trabajar los roles por funciones asignadas a cada persona o usuario que tiene acceso en el sistema. De lo contrario, en el mejor de los casos, se enterará de que alguien ha ejecutado una tarea a la que no estaba autorizado o se enfrentará a escenarios que no desea sobre el manejo de sus informaciones. Este proceso puede no ser aceptado totalmente, genera resistencia cuando se busca delimitar funciones, a veces la resistencia inicia en el mismo departamento de Tecnología de la Información (TI).
Los roles de los usuarios deben ser delimitados y cada persona autorizada nombrada de manera que ante un evento se pueda determinar quien realizó la acción que afectó su sistema. Suele pasar en el tren de la operación que todos pueden ver, editar y eliminar en cualquier tabla o campo del sistema, todo porque no se dedica el tiempo y los recursos para realizar esta depuración o delimitación de las tareas. NO ES UNA INVERSION SECUNDARIA, es un complemento a su decisión de adquirir o mejorar su sistema de información.
El uso del rol de administrador de manera frecuente puede provocar que ante un ataque de hackers su sistema quede expuesto y tenga que acceder a realizar pagos para obtener el control de sus informaciones. Desde mi experiencia los peligros no necesariamente vienen detrás de un extorsionador de la web, pueden potencialmente dañarle sin intención desde adentro un usuario con permisos más grandes que los que necesita para hacer su trabajo, el elemento gente puede modificar los resultados de su negocio para bien y para las peores. Se recomienda dedique ante cada empleado contratado un tiempo prudente para escribir claramente sus funciones para que TI tenga a la mano como proteger su información y en el mejor escenario esta delimitación de permisos descansa en su departamento de Control Interno que es independiente de TI y de la Operación. Evite caer en la práctica de que un colaborador inicie su proceso operativo para luego delimitar sus accesos, eso termina comúnmente en problemas. Debajo del brazo al entregar una posición debe su empleado tener usuario delimitado, horario definido de acceso, tipo de acceso (remoto, físico), ubicación definida de tareas, fechas de trabajo definidas, etc.
Procure al entregar acceso en su negocio a sus usuarios formarles claramente, si no existen manuales, busque asesoría y guarde por posición los pasos y las pantallas de las actividades, esto sirve para que quien delimita los permisos sepa a que tablas, vistas y campos puede editar, ver, eliminar cada persona. Puede que sus usuarios solo necesiten visualizar, otros editar por sus tareas y a las informaciones sensibles solo los que se sirven de ella para producirle resultados.
Procure evitar que sus empleados de línea puedan descargar data en una USB o disco duro externo, si por sus funciones se requiere descarga de datos procure crear una carpeta común dentro de su red, la misma debe contar con los elementos de seguridad que protegerán sus datos.
En este momento la información es un elemento de mucho valor para usted, para sus empleados, pero sobre todo para poder competir en su mercado. Como muestra de esto revise el interés de las empresas que dominan los softwares de redes sociales, estos persiguen probablemente conocer el comportamiento de sus usuarios y gestionar la venta de datos que sirven para la creación de campañas publicitarias, responden a necesidades de grupos puntuales, en el mejor de los casos. El uso de estas informaciones es ilimitado.
No todo está perdido, aproveche que ha tenido acceso a entender que debe hacer. Busque en su experto de Control Interno la forma de delimitar quienes, como, cuándo, desde dónde, para qué se trabaja su información. Al responder tendrá claro quien debe tener o no acceso a sus datos y escriba en blanco y negro para que se garantice la continuidad de sus procesos con claridad.
No tienes acceso a un experto de Control Interno?
Sí, felicidades, está en su cancha los próximos pasos, exprese su deseo de mejorar la seguridad de su empresa.
No, haga una cita con AudeaRd y obtendrá:
- Documentar sus procesos.
- Delimitar los roles de sus usuarios.
- Mejorar su seguridad de información
- Evitar ser víctima de fuga de información (tanto por internos como externos).
Si te gustó el contenido, comparte para que otros empresarios, profesionales, emprendedores y dueños de negocios tengan la oportunidad de proteger su activo de alto valor, su información.