Las lecciones Aprendidas de los “Panamá Papers”

Resumen: El escándalo de “Papeles de Panamá” reveló un problema latente que existe en la mayoría de las empresas hoy en día: el robo de información comercial, vital y la imposibilidad de contenerlo o evitarlo. Esto tiene un efecto adverso en las organizaciones desde el daño financiero hasta el de reputación, las implicaciones, los errores típicos y como evitar que esto suceda en una empresa. Lo que sucedió en la firma legal panameña es un ejemplo de lo que no se debe hacer a nivel organizacional, algo a lo que todos los empresarios, gerentes y miembros de la junta deben prestar atención, los errores cometidos no se limitaron a los sistemas específicos involucrados o los datos confidenciales particulares que se filtraron; más bien, el incidente surgió de errores estratégicos y organizacionales.

Palabras Claves: Confidencialidad, reputación, organización, riesgo, ciberseguridad.

Abstract: The “Panama Papers” scandal revealed a latent problem that exists in most companies today: the theft of commercial, vital information and the impossibility of containing or avoiding it. This has an adverse effect on organizations from financial damage to reputational damage, implications, typical mistakes and how to prevent this from happening in a company. What happened in the Panamanian law firm is an example of what not to do at the organizational level, something to which all businessmen, managers and board members must pay attention, the mistakes made were not limited to specific systems involved or the particular confidential data that was leaked; rather, the incident arose from strategic and organizational errors.

Desarrollo:

Tradicionalmente la responsabilidad total de administrar la seguridad de la información a recaído en el Departamento de TI, pero las políticas de seguridad de la información o ciberseguridad deben estar estratégicamente alineadas con las metas y objetivos corporativos; no es únicamente una preocupación de TI. El segundo error común es no reconocer la importancia estratégica de la ciberseguridad, al no considerarla crítica para la propia empresa porque “no somos una institución financiera” o “eso es un problema en otros países” o “los objetivos son todas las grandes corporaciones, no empresas de nuestro tamaño”. Esta idea errónea lleva a que las empresas presten muy poca atención a la ciberseguridad y subestimen los riesgos que los perpetradores tomarán por sus ganancias ilícitas.

El siguiente factor para considerar es la ausencia de un análisis de riesgo en los activos de información, tanto para inventarios de activos tangibles como los activos de información, el comprender el valor de esos activos y, por lo tanto, evaluar y sopesar los riesgos a los que se encuentran expuestos. La información que posee una empresa es uno de los activos más valiosos; en este caso cada empresa debe saber cuáles son sus activos de información, cómo clasificarlos, cómo calcular sus riesgos y, por último, cómo protegerlos. Una vez establecida esta evaluación de seguridad de datos debe revisarse periódicamente y ajustarse según lo justifique. La aplicación de una metodología sobre la gestión de riesgos es esencial para garantizar que se identifiquen los activos de información y se midan, evalúen y aborden los riesgos.

Las pequeñas y medianas empresas sufren porque las soluciones de ciberseguridad no están orientadas a su segmento o el hecho de que este segmento suele manifestar poco o ningún interés en la ciberseguridad. Si bien la implementación de una infraestructura segura puede ser costosa, existen varias soluciones tercerizadas que son seguras y económicas y que apoyan a las necesidades de estas empresas. También hay soluciones de computación en la nube que proporcionan seguridad adecuada a un precio asequible. Estas empresas deben buscar el asesoramiento de un consultor con conocimientos no solo en materia de funcionalidad, sino también en seguridad.

Finalmente, también existe una idea errónea muy común en la comunidad de que con la compra de dispositivos se produce un aumento en la seguridad de la información de una empresa, pero este es un gran error. La seguridad de la información en entornos corporativos debe evaluarse desde un punto de vista holístico, comenzando por el eslabón más débil: las personas, para luego realizar una evaluación, que debe analizar las políticas, procesos, procedimientos, arquitectura, hardware, software e infraestructura que conforman el negocio y especificar los niveles de seguridad correspondientes.

Otro detalle relevante es el rompimiento del paradigma de la protección, tradicionalmente se han usado hasta ahora sensores de programas malignos basados en firmas. Los perpetradores, como contramedida, los han modificado para que este pueda “colarse” dentro del flujo “normal” de tráfico con el fin de mimetizarse. Esto ha derivado en un nuevo enfoque del monitoreo y detección, que ahora basa sus sensores en TTP (Técnicas, Tácticas y Procedimientos). El nuevo enfoque se centra en las conductas y actividades, determinando si estamos o no ante actividad maliciosa.

Es tiempo que se analicen las consecuencias económicas, políticas, legales, de reputación e incluso sociales del uso no autorizado o la divulgación de los datos de una empresa y que se reconsidere la estrategia de seguridad de la información y la ciberseguridad corporativa en la toma de decisiones comerciales y/o estratégicas o cuando se desarrollen nuevos procesos para el aseguramiento de toda la información dentro de la empresa.

Referencias bibliográficas

“Panama Papers: Vladimir Putin associates, Jackie Chan identified in unprecedented leak of offshore financial records”. ABC News online. April 4, 2016. Archived from the original on April 17, 2016. Retrieved April 18, 2016. Clark, Nicola (April 5, 2016). “How a Cryptic Message, ‘Interested in Data?,’ Led to the Panama Papers”. The New York Times. ISSN 0362-4331. Archived from the original on August 15, 2016. Retrieved August 12, 2016.

Bilton, Richard (April 4, 2016). “Panama Papers: How a British man, 90, covered for a US millionaire”. BBC News. Archived from the original on April 4, 2016. Retrieved April 4, 2016.

“A torrential leak” Archived August 31, 2017, at the Wayback Machine. The Economist. April 9, 2016.

“The Panama Papers: 7 things to know”. CNN. April 5, 2016. Archived from the original on April 6, 2016. Retrieved April 5, 2016.

Cyril Bensimon; Christophe Châtelot; Joan Tilouine; Simon Piel (September 15, 2015). “L’encombrant bras droit d’Ali Bongo”. LE MONDE (in French).