¿Innovar o permanecer en el molde?    

En Deloitte apostamos a la tecnología emergente, acompañamos a nuestros clientes en la implementación y somos propulsores de la tan sonada “innovación tecnológica”, buscando soluciones prácticas y a medida de los procesos y objetivos de nuestros clientes, siendo espectadores de los resultados y festejando con ellos sus logros, que son también nuestros logros.

Por otro lado, además de sobrevivir a la gran ola, dejándonos llevar por ella, es muy importante levantar la cabeza y cuestionarse ¿Cuáles son los riesgos asociados? ¿Puedo innovar y a la vez controlar los riesgos asociados?
La realidad es que la implementación de la tecnología en las organizaciones trae consigo riesgos inherentes, riesgos que, de no atenderse, podrían repercutir de forma negativa en los objetivos del negocio y antes de convertirse en una herramienta poderosa de eficiencia, precisión y calidad, entre otras cosas, se puede convertir en un verdadero dolor de cabeza. Por ello, que nuestra primera recomendación al respecto es muy clara: “Innovemos, pero sin descuidar los riesgos”.

Ahora bien, para hacer frente a los riesgos debemos conocerlos, y si bien cada tecnología puede tener una asociación de riesgos específica, existen algunos riesgos inherentes que se encuentran presentes en prácticamente todas las tecnologías informáticas. Hablemos un poco más sobre uno de esos riesgos.

El riesgo inherente que normalmente cobra mayor protagonismo en cualquier tecnología, es el riesgo de “Acceso indebido”, donde el impacto del riesgo es variable y depende de la plataforma y el nivel de acceso del usuario. De forma más práctica podríamos decir, no es lo mismo que se acceda a una herramienta de “Gestión de tickets” que a un “ERP”, cuando hablamos de plataforma y que no es lo mismo acceder con permisos de administrador que con permisos de solo consulta, cuando hablamos de nivel de acceso del usuario.

Por lo tanto, para prevenir el riesgo de “Acceso indebido” debería implementarse alguna o una combinación de las siguientes medidas:

• Establecer el acceso mediante usuario y contraseña.
• Establecer políticas de contraseña robustas.
• Habilitar usuarios y permisos al mínimo posible.
• Desactivar de forma oportuna los usuarios que ya no son requeridos.
• Realizar verificaciones periódicas de los usuarios y permisos, corroborando que sean los requeridos a la fecha.

Sumando a lo antes mencionado, el “Acceso indebido” se puede dar por una persona conocida o totalmente desconocida. Para el primer caso, por ejemplo, una persona conocida, con un usuario autorizado y con privilegios mayores a los necesarios, podría hacer uso de dichos permisos para su beneficio o de terceros. Para el segundo caso, por ejemplo, una persona desconocida podría forzar la contraseña de usuarios conocidos, siendo los principales candidatos para dicha acción los usuarios que se crean por defecto al instalar las diferentes plataformas, por ejemplo: Administrador para Windows, SA para SQL Server, etc. Por lo que sería importante analizar los siguientes temas:

• Medidas para proteger cuentas con altos privilegios.
• Registro de actividades que realizan los usuarios, dando mayor atención a las modificaciones y eliminaciones.
• Monitoreo de cuentas de usuario, especialmente con altos privilegios.
• Establecer segregación de funciones.

Si bien analizamos un solo riesgo, lo que queremos significar es la importancia de evaluar los riesgos asociados a la tecnología informática, identificando e implementando controles que nos permita contar con un ambiente razonablemente adecuado para implementar y explotar de forma más tranquila las bondades y grandes beneficios que significa incorporar la tecnología informática en las organizaciones.