Previous Page  81 / 100 Next Page
Information
Show Menu
Previous Page 81 / 100 Next Page
Page Background

En esta tesitura y ante la alarmante proliferación de los ciberataques a

nivel global que afectan a todo tipo de organizaciones, la valoración y el

control de la ciberseguridad se han convertido en una necesidad prioritaria

en el campo de la gestión empresarial. Los ciberataques adoptan infinidad

de formas e irán mutando de una forma rápida e inmisericorde para

afinar más y así comprometer de manera eficaz los activos tangibles e

intangibles de empresas y de todo tipo de instituciones.

El fraude del CEO

Como consecuencia del hecho de que el CEO es por definición la

persona que en la mayoría de los casos tiene a su cargo la tutela de los

activos más valiosos de la compañía , ha proliferado de forma notable

el conocido como ”fraude del CEO”. Este puede adoptar diferentes

formas, si bien básicamente se trata de una suplantación del CEO para

apropiarse de forma indebida de activos de valor (activos financieros,

planos, diseños, contratos u otra documentación estratégica).

La suplantación se puede realizar por diferentes vías: teléfono, correo

electrónico ficticio, whatsapp o bien utilizando un software malicioso

(malware) a través del cual los delincuentes pueden recabar información

de las actividades de la compañía y/o incluso actuar desde el correo

electrónico del propio CEOmediante la técnica phising. Habitualmente

estas actuaciones llevan aparejado un conocimiento previo y exhaustivo

de la empresa, de sus directivos y del propio CEO a través de las redes

sociales u otra información de internet. Es común que el falso CEO

presente una persona “de confianza “que es la que gestionará la

rapiña de los activos en cuestión generalmente con uno solo de los di-

rectivos de la empresa.

Posibles medidas contra los ciberataques

Estos procesos, están diseñados ad hoc y coinciden con períodos en

los que se puede conocer la ausencia por diferentes motivos (viaje

profesional, asistencia a ferias, vacaciones, baja laboral) del auténtico

CEO. Si bien todas las organizaciones son vulnerables desde el punto

de vista de la seguridad, existen determinadas medidas que pueden

reducir considerablemente los indeseados efectos de un ciberataque:

1) Existencia de una

adecuada segregación

de funciones con controles

eficaces para la gestión de los activos clave de la organización.

2) Las actuaciones del CEO deben estar sometidas a

rigurosos controles

en aras de una mayor transparencia y seguridad.

3) Los datos de operaciones relevantes que afecten o puedan afectar a

activos fundamentales de la compañía deben estar

encriptados y

limitados

a un número prefijado de usuarios de nivel.

4) La compañía debe realizar

revisiones periódicas

de su nivel de

cumplimiento de las medidas de ciberseguridad y de protección de

datos.

5) En los puestos de responsabilidad, es necesario evaluar la

moralidad

profesional de los candidatos

.

6) Resulta fundamental la

formación continua

a todos los niveles de

las políticas de seguridad de la información.

Hasta aquí una sucinta relación de las diferentes medidas que se

pueden adoptar para evitar o mitigar los daños de un ciberataque

desde el punto de vista operativo. Resulta imprescindible sin embargo

concluir, que la adopción de medidas de protección de la información

no es una opción, es una obligación legal desde el punto de vista de

los administradores en tanto que deben actuar con la debida diligencia

y promover políticas internas que favorezcan el control de las

operaciones y eviten la comisión de delitos. La ciberseguridad se

constituye así en un elemento estratégico fundamental en las agendas

de los órganos de administración de las sociedades mercantiles.

Max Gosch, abogado y auditor de cuentas

Uhy Fay & Co Madrid

81

economía

HISPANO-ALEMANA

Nº 3/2017

1 76 77 78 79 80 81 82 83 84 85 86 87 100  FlippingBook