Available Languages:

Si nadie es demasiado grande para fallar, también es cierto que nunca es demasiado pequeño para ser hackeado. En 2017, un corredor de seguros australiano, Fenton Green, atendió 17 reclamaciones de firmas contables pequeñas y medianas (SMP) por violaciones de seguridad cibernética. Green no asegura a todos los contadores en el país y aun así, es un número considerable de reclamaciones para un país con una población tan pequeña (casi 25 millones). El año pasado, una encuesta a 183 pequeñas firmas australianas realizada por el asesor contable Smithink reveló que una de cada seis firmas había sido hackeada o había sufrido incidentes maliciosos.

Riesgos tecnológicos:

“En cuanto a los perfiles de riesgo, los contadores, con su acceso a los datos del cliente, incluidas las cuentas bancarias y los estados financieros, encabezan la lista en lo que respecta a los piratas informáticos. Su simple huella financiera significa que su perfil de riesgo es alto”, señala el director Drew Fenton. Según Fenton, solo entre el 25 % y el 30 % de las SMP de Australia utilizan la nube para almacenar datos confidenciales y sigue existiendo una preocupación cada vez mayor por la seguridad de los datos en la nube, con un 66 % de las firmas preocupadas por el riesgo de seguridad, lo cual implica un aumento del seis por ciento respecto al año anterior. La titular de una SMP, Tanya Titman, que es una ávida entusiasta de la nube, reflexiona sobre los días en que se guardaban los archivos de los clientes en memorias USB. “¿Alguien hizo un seguimiento de esas memorias USB? Con la nube hay mucha más seguridad y mucho más seguimiento”. Drew Fenton está de acuerdo: “Al final, si no está en la nube, no está protegido”.

Entonces, ¿cuáles son los riesgos de este llamado almacenamiento de datos digitales más seguro? Se reducen al mismo problema antiguo: realizar un seguimiento de sus datos. El experto en seguridad de TI, el Dr. Michael Axelsen, dice: “La pérdida de memorias USB solía ser el mayor riesgo, pero hoy en día el riesgo se produce cuando pasa de un proveedor de servicios en la nube a otro”. El uso de numerosos proveedores de servicios en la nube puede aumentar su riesgo de seguridad. ¿Por qué? Porque los proveedores de nube tienen el derecho de editar y modificar la información ingresada. Los proveedores de nube no están de coordinados o mantienen los mismos acuerdos de seguridad y, debido a la dura competencia, los posibles problemas de costes y la externalización de actividades en el extranjero, sus datos confidenciales pueden verse comprometidos. 

“Los profesionales  deben asegurarse, cuando cambian los proveedores de servicios en la nube, que sus datos se eliminen de los sistemas de respaldo; de lo contrario, podrían terminar con un conjunto de retazos de diferentes proveedores de servicios”, señala Axelsen, quien sostiene que la nube sigue siendo mucho mejor que sus alternativas.

Pero, ¿cuál es la forma más fácil de ser hackeado? “No es la nube”, dice Fenton, “la forma más fácil de ser hackeado es abrir el correo electrónico incorrecto. Los 'correos electrónicos inocentes' que le piden que haga clic en los archivos adjuntos son una puerta abierta para que los hackers accedan a su sistema”. 

Axelsen sostiene que las firmas pueden contrarrestar estas situaciones con una “cultura de respeto a los datos” que implica que los empleados sean sumamente conscientes de la seguridad de los datos. “Esa es probablemente la mejor línea de defensa. Sus datos pueden estar cifrados y relativamente seguros, pero los piratas informáticos pueden obtener algo de su firma mediante métodos de ingeniería social o fraude electrónico”. Él recomienda seguir una política de riesgo estricta e implementar protocolos de uso del correo electrónico. Las empresas están probando cada vez más a sus empleados a través de “pruebas de fraude electrónico”, que son correos electrónicos de prueba que se envían a los correos electrónicos de los empleados y les piden que hagan clic en relación con una variedad de solicitudes. Las personas necesitan cambiar su mentalidad para estar constantemente alertas y desconfiar de todos los correos electrónicos que solicitan una acción o información personal.                        

Estos son factores que debe considerar para mantener seguros sus datos y sus clientes.

Consejos para mantener la seguridad de los datos:

  • Marco de gestión de riesgos tecnológicos
    El primer paso que deben tomar las firmas es desarrollar y mantener un marco de gestión de riesgos tecnológicos. Esto incluye políticas y procedimientos sobre cómo una firma valora e identifica los riesgos asociados con el uso, la propiedad, la operación y la incorporación de TI. 
  • La nube
    La nube de hoy es más segura que los servidores internos, pero la gestión de datos es clave. Sepa quiénes son sus proveedores y dónde están almacenando sus datos. Considere soluciones de seguridad como la autenticación de dos factores.
  • Planes de recuperación ante desastres y continuidad del negocio
    Es demasiado tarde para preparar un plan de recuperación ante desastres después de un ataque. La incapacidad para preparar y mantener un sistema de gestión de recuperación ante desastres efectivo, puede ser catastrófico. Las firmas necesitan un plan proactivo de gestión de riesgos que cubra los respaldos del sistema y del software, almacenamiento fuera del lugar y restauraciones de prueba.  
  • La seguridad cibernética
    Es importante contar con utilidades del sistema para proteger a la firma de ataques maliciosos. Los sistemas que pueden combatir de forma proactiva los ataques de seguridad cibernética incluyen firewalls, protección contra virus, programas de malware/spyware y software antispam y de fraude electrónico.
  • Políticas y procedimientos
    Instalar buenos procedimientos de gobierno de TI en de una firma es fundamental. Las políticas deben incluir pautas que garanticen que los sistemas no se utilicen indebidamente, con prácticas para garantizar que las políticas aplicables se revisen y actualicen continuamente para reflejar los riesgos actuales. La educación continua para todos los empleados de la firma sobre riesgos tecnológicos debe formar parte del marco de gestón de riesgos de las firmas.
  • Hardware
    Mantenga un registro de hardware (que incluya computadoras portátiles y teléfonos). Los contratos de mantenimiento deben mantenerse con los proveedores de hardware para que los fallos de hardware se puedan corregir rápidamente. Prohibir a los empleados el uso de Wi-Fi gratuito (en la empresa o hardware personal) para acceder a datos confidenciales.
  • Software
    Mantenga un sistema de seguimiento actualizado de suscripciones de software actuales, pasadas y potencialmente futuras. Actualice regularmente el software a la situación actuales y deje tiempo para parchear el sistema antes de apagar sus dispositivos.
  • Seguro
    Se debe mantener un seguro adecuado para la firma y para cubrir el coste de reemplazo de la infraestructura y los costes de mano de obra para reconstruir los sistemas y restaurar los datos. Además, considere tener un seguro para la pérdida de productividad debido a un fallo importante del sistema o un evento catastrófico.

IFAC ha lanzado recientemente la actualización de la Guía sobre la dirección de firmas para firmas pequeñas y medianas, que incluye un nuevo capítulo sobre el aprovechamiento de la tecnología y cubre el desarrollo de una estrategia tecnológica, las opciones de hardware y software, los riesgos tecnológicos y las tecnologías nuevas y emergentes.

Peter Docherty

General Manager, Public Practice, CPA Australia

Peter Docherty is the General Manager of Public Practice at CPA Australia, responsible for strategic oversight of issues impacting public practice members globally, developing member services and advocacy. Peter is a regular speaker in Australia and overseas on regulatory oversight and practice management. He facilitated the development of the IFAC Guide to Practice Management for Small to Medium Practices, CPA Australia’s Firm of the Future Report and Practice Management Portal.