I.
INTRODUCCI�N
Sabemos que las
tecnolog�as atraviesan de manera disruptiva todos los �mbitos de trabajo en las
organizaciones y la empresa familiar no resulta ajena a ello.
�Muchas empresas, incluso las familiares, se
ven desbordadas por el fen�meno tecnol�gico que est� imponiendo un cambio
cultural y paradigm�tico en sus econom�as, procesos productivos y
comercializaci�n.
�El uso cotidiano de herramientas digitales nos
advierte la existencia de importantes contingencias, algunas de ellas
vinculadas al uso descuidado e irresponsable de las tecnolog�as que pueden dar
lugar a severas falencias en el resguardo de la informaci�n de una
organizaci�n, como as� tambi�n respecto de la privacidad de los datos
personales tanto de los clientes, proveedores como de los mismos miembros de la
empresa familiar.
�Estos y otros temas generan una constante
tensi�n que no puede pasar inadvertida para los profesionales que asisten a la
empresa familiar, quienes deben encontrarse capacitados para resolver
conflictos frente a los cambios tecnol�gicos que siempre llevan la delantera
respecto de las normas que regulan la materia.
�La aparici�n de tecnolog�as disruptivas dentro
de lo que llamamos Web 2 -y el surgimiento de la Web 3- vienen a abstraer del
mundo f�sico el patrimonio de las personas, organizaciones y empresas para
migrarlo al �mbito del e-commerce, los pagos en l�nea, el uso de billeteras
digitales, los algoritmos y sistemas de comercializaci�n que corren bajo la
tecnolog�a blockchain o cadenas de bloques.�
A esto debemos agregar la aparici�n de un sinf�n de herramientas
dise�adas con Inteligencia Artificial Generativa, la implementaci�n de espacios
inmersivos, la realidad aumentada y la realidad virtual como protometaversos y metaversos que ya se est�n aplicando en
diversas �reas como es el caso de las tiendas on line. [3]
�Frente a este mundo en constante cambio
necesitamos recurrir a la concientizaci�n, la educaci�n e inclusi�n digital
para articular una adecuada protecci�n de este patrimonio digital de las
empresas familiares como de sus dem�s activos digitales mediante la adopci�n de
estas habilidades t�cnicas con una mirada human�stica donde la tecnolog�a sea
una herramienta m�s al servicio de las personas y no se convierta en un factor
de riesgo al que se lo conoce por sus efectos, que en muchos casos pueden ser
da�inos y hasta devastadores para las personas, empresas y organizaciones.
�El cibercrimen y el ciberdelito constituyen la
tercera econom�a mundial y seg�n datos publicados del a�o 2023, han causado
unos ocho billones de d�lares de p�rdida en el mundo. En la Rep�blica Argentina
los ciberdelitos en el mismo per�odo han aumentado casi un cuarenta por ciento.
Los incidentes reportados ascienden a dos mil doscientos eventos por mes y
�stos son s�lo los denunciados.[4] Esto nos invita a reflexionar
que los grupos criminales no detendr�n sus actividades delictivas. Los Estados
buscan reforzar sus sistemas y los de los ciudadanos con los llamados CSIRT
(Equipos de Respuesta a Incidentes de Seguridad o su traducci�n del ingl�s: Computer Security Incident
Response Team) cuyos objetivos principales son
prevenir, detectar y responder a un incidente de seguridad.
�No obstante, toda implementaci�n de pol�ticas
p�blicas en la materia requiere del inter�s de los usuarios y de la toma de
raz�n sobre la necesidad de implementar medidas de seguridad no s�lo desde los
aspectos t�cnicos, sino tambi�n desde las conductas de las personas y los
procesos organizacionales.�� Es por ello
por lo que entendimos pertinente introducir en esta obra un aspecto diferente,
como la ciberseguridad, respecto del dinero y el poder, de manera que pueda ser
entendido como toda potencialidad de perder el poder que ostentamos sobre
nuestro dinero ante la falta de medidas preventivas, como la concientizaci�n y
el generar inter�s dentro de la empresa familiar por las tem�ticas que hacen a
la Seguridad Jur�dica de la Informaci�n. Este cap�tulo busca aportar
estrategias y soluciones como as� tambi�n ilustrar el panorama normativo en la
materia para fortalecer y empoderar a las empresas familiares. Quienes
integramos el ecosistema de la Empresa Familiar necesitamos desarrollar
�cultura de ciberseguridad�. [5]
�Nada m�s real que las estad�sticas para
entender que la seguridad de la informaci�n es una urgencia por atender por
parte las empresas familiares, antes de que pasen a protagonizar los titulares
de noticias donde se reportan los ciberataques, la p�rdida de informaci�n y la
vulneraci�n a la protecci�n de datos personales, lo que claramente podr�a
repercutir sobre la reputaci�n y el buen nombre de la empresa frente a los
consumidores.
�A continuaci�n, compartimos algunas de estas
estad�sticas para ofrecer de manera gr�fica la incidencia de la falta de
seguridad de la informaci�n:�
Fuente:
BA-CSIRT. Jornadas de concientizaci�n. Fuerza A�rea Argentina
II. �A
QU� LLAMAMOS SEGURIDAD DE LA INFORMACI�N?
La informaci�n es uno de
los activos m�s valiosos de las empresas. Con la incursi�n de las Tecnolog�as
de la Informaci�n y la Comunicaci�n gran parte de la informaci�n de las
empresas familiares se encuentra en formato digital. Dependiendo de la cantidad
de informaci�n que la empresa vincule con el �mbito digital podremos distinguir
si tienen una dependencia baja, media o alta a los �mbitos digitales y de
acuerdo con la exposici�n que hagan de sus datos en dicho ecosistema ser� la
calidad de medidas que deber�n tomar en consecuencia. Debemos tener en cuenta
que los Activos de Informaci�n son aquellos bienes o recursos destinados a
generar, procesar, almacenar o divulgar informaci�n. Forman parte de estos
sistemas la informaci�n de los empleados, clientes y proveedores, los registros
de pedidos, informes, proyectos, n�minas o p�ginas web, la propiedad
intelectual, los sistemas y aplicaciones, los procesos de negocios, las
patentes industriales, y en el plano material las oficinas donde las empresas
llevan a cabo sus tareas. Por ello resulta fundamental estructurar y
jerarquizar la informaci�n de cada empresa para determinar cu�l es el valor que
aquella le aporta y qu� medidas deben llevarse a cabo para protegerla.
�Ahora bien, definimos a la Seguridad de la
Informaci�n como el conjunto de medidas destinadas a impedir la ejecuci�n de
operaciones no autorizadas sobre un sistema o red inform�tica, cuyos efectos
puedan conllevar da�os sobre la informaci�n, comprometer su confidencialidad,
autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear
el acceso de usuarios no autorizados al sistema.��
�Advertimos a trav�s de esta definici�n estos
tres elementos esenciales que configuran a la seguridad de la informaci�n:
Estos tres elementos
tambi�n aparecen en la definici�n de seguridad de la informaci�n que nos aporta
el est�ndar normativo ISO/IEC 27.001:2022 cuando dice: �La seguridad de la
informaci�n es la preservaci�n de su confidencialidad, integridad y
disponibilidad�.
�Hablamos de confidencialidad como la propiedad
que posee la informaci�n de encontrarse accesible solo a entidades autorizadas,
s�lo a aquellas personas u organizaciones que puedan acreditar un inter�s
leg�timo para tener acceso y conocer el contenido de dicha informaci�n. A
t�tulo de ejemplo las historias cl�nicas de los pacientes son confidenciales y
s�lo pueden ser accedidas por aquellos m�dicos o instituciones m�dicas a los
que el paciente haya autorizado con su consentimiento.
Respecto de la Integridad
hace a la propiedad que posee la informaci�n en cuanto a su precisi�n y
completitud, de manera tal que la misma no pueda ser alterada y/o manipulada de
forma alguna. En la pr�ctica cuando se adulteran programas o documentos
digitales, agregando, quitando o sustituyendo el contenido de estos se est�
vulnerando la integridad de la informaci�n.
�Finalmente, la disponibilidad remite a la
propiedad de que la informaci�n se encuentre en estado accesible y usable cada
vez que sea requerido su uso. El ciberataque conocido como �Ransomware�
efectivamente vulnera esta propiedad de la informaci�n ya que encripta todo su
contenido y no permite que los usuarios puedan acceder a la misma, todo ello
adem�s caracterizado con el pedido de pago de un rescate que normalmente se
expresa en criptoactivos.
A su vez, la seguridad de
la informaci�n presenta las siguientes caracter�sticas:
� TRAZABILIDAD
� PROTECCION A LA DUPLICACI�N
� NO REPUDIO
� LEGALIDAD
�Los elementos que conforman el Sistema de
Seguridad de la Informaci�n -SGSI- son las personas, los procesos y las
tecnolog�as. Es por ello que abordamos tanto factores objetivos -como las
herramientas tecnol�gicas de monitoreo y de ciber defensa o de seguridad
ofensiva de los sistemas de informaci�n- as� como otros de car�cter m�s
subjetivo como el entrenamiento en la concientizaci�n de los equipos de trabajo
y las conductas de los miembros de la empresa, y finalmente los de car�cter
organizacional en donde se delimitan las pol�ticas y procesos a ser
implementados y cumplidos dentro de la organizaci�n, quien ser� la que defina y
estructure la misma, la jerarquice determinando su valor y, en consecuencia
determine, las pautas y medios de protecci�n m�s adecuados.�
�Los sistemas de Seguridad de la Informaci�n
tienen un sinf�n de aplicaciones en la vida cotidiana de la empresa. Elementos
como smartphones, notebooks, memorias USB, discos r�gidos, routers,
servidores, software y aplicaciones comerciales o desarrolladas a medida, datos
en aplicaciones empresariales, p�gina web, bases de datos de clientes,
controles de acceso, productos, informes, documentos, etc. conforman el
universo de tem�ticas en los cuales ejerce injerencia el cuidado de la
informaci�n y la preservaci�n de su confidencialidad, integridad y
disponibilidad.
�Veamos a continuaci�n la relaci�n que existe
entre la informaci�n, los riesgos, su impacto en la organizaci�n y c�mo debemos
analizar los conceptos de vulnerabilidad, amenaza e incidente.
Sabemos que el riesgo implica
la probabilidad de que una amenaza se concrete, en combinaci�n con el impacto
que ello podr�a producir.�
Representan riesgos para
la informaci�n de la empresa familiar los siguientes presupuestos:�
- Robo de informaci�n
privilegiada o esencial
- Intrusiones al sistema
- informaci�n sensible desprotegida
- Falta de resiliencia -
back up - copias seguridad
- Ciberataques -
Ingenier�a Social � Cat�strofes naturales
- Ataques de denegaci�n
de servicio.
A su vez estos riesgos
pueden producir determinados impactos en la informaci�n de la empresa
familiar:�
- P�rdida de la
informaci�n
- Exposici�n de datos
personales /sensibles
- P�rdida de operatividad
/ productividad - Interrupci�n de actividades.
- P�rdidas econ�micas
(datos bancarios /billeteras digitales)
- Incumplimiento
normativo y/o contractual. Contingencias legales y
p�rdida de reputaci�n.
Veamos ahora c�mo se
vinculan estos riesgos con los conceptos de Vulnerabilidad, Amenaza e
Incidente.�
Vulnerabilidad: es una
debilidad o ausencia de los mecanismos de seguridad que puede poner en peligro
la informaci�n. El empleado que no ha asistido a la capacitaci�n y que luego
acepta que en su computadora de la empresa otra persona introduzca un
dispositivo USB. La no implementaci�n de antivirus con licencia o la
utilizaci�n de programas inform�ticos sin licencia -crackeados- constituyen
tambi�n otros factores de vulnerabilidad de los sistemas de informaci�n.
Amenaza: Es un evento
cuya ocurrencia podr�a impactar en forma negativa en una entidad. Aprovecha la
existencia de una vulnerabilidad.
Incidente: Cuando una
amenaza ha conseguido su objetivo, comprometiendo la seguridad de la
informaci�n. Representa una debilidad o ausencia de los mecanismos de seguridad
que puede poner en peligro a la informaci�n.
Estos conceptos
representan los contenidos m�nimos que deben ser internalizados por las
empresas familiares y los profesionales que la circundan.
III.
�QU� NOS HACE VULNERABLES? - MEDIDAS PROTECTORIAS Y CONTROLES.
Sistemas
operativos sin licencia
Antivirus
gratuitos
Factores
Humanos
Falta de
implementaci�n de Permisos / Privilegios y Controles de Acceso.
No
actualizar las aplicaciones.
Celulares
y tablets sin adecuada protecci�n.
Uso de
redes gratuitas sin VPN
No
poseer cortafuegos.
�C�mo podemos robustecer
la seguridad de la informaci�n en las empresas familiares?
Podemos sugerir las
siguientes medidas protectorias y controles:
- Utilizar Antivirus para todos los dispositivos extendiendo el uso de
estos tanto a celulares como a tablets o similares.
- Actualizar el sistema operativo y las aplicaciones de internet.
- Formar a los empleados. Aumentar el nivel de concientizaci�n en
seguridad de la informaci�n.
- Prestar atenci�n a mensajes de dudosa procedencia. Verificar las
direcciones de mail de los remitentes.
- Utilizar contrase�as seguras que contengan caracteres alfanum�ricos
y signos de puntuaci�n combinados. Evitar la repetici�n de contrase�as en las
diferentes aplicaciones. Tambi�n podr� utilizar un llavero de contrase�as que
puede ser provisto por el mismo sistema operativo del tel�fono o del programa
de antivirus. Utilizar doble o triple factor de autenticaci�n. Crear una cuenta
de mail espec�fico para la recuperaci�n de contrase�as y solo abrirla en un
dispositivo que sea seguro, nunca en nuestro celular, pues los ciberatacantes tienen como pr�ctica pedir con nuestro
usuario una nueva contrase�a -como si el usuario la hubiera olvidado- con el
fin de recuperarla en el correo electr�nico disponible en el celular y as�
lograr iniciar sesi�n en nuestras aplicaciones.
- Realizar copias de seguridad de aquellos archivos sin los cuales no
podr�a realizarse la actividad de la empresa.
- Descargar aplicaciones de confianza. Analizar previamente a su
descarga la reputaci�n y comentarios realizados al desarrollador por los
usuarios. Verificar qu� datos personales nos requieren y su pertinencia, al
igual de con cu�les aplicaciones de nuestro celular requerir� actuar y si las
mismas comprometen o no nuestra privacidad, nuestros datos biom�tricos o alg�n
otro dato personal de car�cter sensible.
- Velar por el buen uso de la informaci�n personal y de la
organizaci�n.
- Conectarse a redes seguras. Evitar en lo posible el uso de redes
p�blicas. Habilitar la implementaci�n de una VPN (Virtual Private
Network).
- Evitar contactos en redes sociales de origen dudoso. Bloquear
comentarios. Verificar previamente la cuenta de la red social antes de comenzar
cualquier interacci�n. Ser cautos con los servicios de venta on line que
ofrecen en las redes sociales sus productos y servicios.
- Implementar controles de acceso a la informaci�n de car�cter
sensible. Estructurar previamente la informaci�n de la organizaci�n y
jerarquizarla. Proteger bajo el esquema de �Joyas de la Corona� aquella
informaci�n imprescindible para la operatividad de la empresa familiar.
- Utilizar herramientas t�cnicas de monitoreo de amenazas, trackeo de navegaci�n e instaladores de cookies. Instalar
un sistema de cortafuegos.
IV.
AMENAZAS EXTERNAS E INTERNAS DE LA INFORMACI�N.
Aqu� podemos apuntar un
listado de potenciales amenazas que pueden presentarse en la actividad
cotidiana de la empresa familiar.
Software malicioso: Es un
programa dise�ado para tener acceso a sistemas inform�ticos espec�ficos, robar
informaci�n o interrumpir las operaciones de nuestra computadora.
Exploit:
Secuencia de comandos que se aprovecha de una falla o de una vulnerabilidad del
sistema provocando un comportamiento no deseado o imprevisto. Existen los
denominados Zero Day Exploits que son aquellas fallas
introducidas por primera vez en un sistema y que no ha podido ser advertida o
prevista por el desarrollador que inutiliza o causa un da�o importante en el
uso del programa.
Phishing: Entra dentro de
los mecanismos conocidos como �Ingenier�a Social�, en donde se intenta
convencer al usuario para que conf�e en el contenido de un mail o mensaje de
texto o por mensajer�a instant�nea recibido con la intenci�n de obtener
informaci�n -contrase�as o claves de acceso- pero que es libremente aportada
por la v�ctima a ra�z de la confusi�n en el que la coloca el ciberatacante. Normalmente requiere de una acci�n positiva
de la v�ctima ya sea aportando verbalmente un c�digo -WhatsApp- o haciendo clic
en un enlace que la lleva a una p�gina web similar a la web oficial que cree
estar usando, home banking.
Denegaci�n de servicios:
Es el conjunto de m�todos t�cnicos que se utilizan con el fin de inhabilitar un
servidor y que a ra�z de ello no se pueda acceder a la informaci�n del sitio.
Afecta a la disponibilidad de la informaci�n. Cuando esta denegaci�n de
servicios se realiza entre varios equipos a la vez decimos que estamos en
presencia de una denegaci�n de servicios distribuido (DDoS).
En este caso el ataque consiste en que varios equipos -computadoras- env�an
solicitudes simult�neas a un mismo servidor para inhabilitarlo. Normalmente
utilizan herramientas denominadas botnets.
Amenaza persistente
avanzada: Son un conjunto de amenazas complejas ejecutadas a trav�s de ataques
t�cnicos coordinados y dirigidos espec�ficamente a una determinada entidad u
organizaci�n espec�fica.
Ransomware. Es una
especie dentro de los malware o c�digo malicioso, mediante el cual se secuestra
la informaci�n del dispositivo de la v�ctima, solicit�ndole simult�neamente un
pedido de rescate, normalmente criptoactivos, para poder recuperar la
informaci�n. En nuestro pa�s la administraci�n p�blica ha recibido varios de
estos ataques pudiendo citarse a la Direcci�n Nacional de Migraciones y a la
Comisi�n Nacional de Valores entre algunos de los organismos afectados.
Fuga de informaci�n: Se
produce cuando la informaci�n almacenada en una red interna o en dispositivos
es publicada en Internet por un atacante malintencionado para consulta libre de
esa informaci�n por un tercero sin autorizaci�n alguna. En estos casos vemos
vulnerado el principio de confidencialidad de la informaci�n. En algunas
ocasiones esta es la pr�ctica utilizada por hacktivistas
quienes unidos por una causa ideol�gica proceden a llevar adelante este tipo de
ataques. Cabe recordar las publicaciones efectuadas en la red por el grupo
activista Anonymous para representar este tema.
Botnets: Los botnets son una serie de dispositivos inform�ticos que
realizan tareas programadas en forma conjunta, algunas con fines l�citos y
otras il�citos, es decir, que son maliciosas. Las de fines l�citos se pueden
utilizar por ejemplo para tareas de seguridad inform�tica, como la realizaci�n
de pentests, que son manejadas desde el comando y
control por un especialista o profesional del sector. Las botnets
usadas para fines il�citos se arman sin el conocimiento de que varios
dispositivos (computadoras, celulares, tablets, etc) son parte de estas. Entonces, una botnet
es una red de dispositivos capaces de conectarse a Internet, que es controlada
de manera remota y funciona de forma aut�noma y autom�tica. En las de uso
malicioso, funcionan sin la autorizaci�n ni el conocimiento de las personas
usuarias de esos dispositivos. Las botnets tambi�n
son conocidas como redes de computadoras zombis que se utilizan para realizar
tareas rutinarias, pesadas y autom�ticas que le son asignadas por quien las
controla. En la actualidad, las botnets tienen entre
sus blancos a dispositivos de Internet de las Cosas (IoT).
Un claro ejemplo es la botnet Mirai,
que genera un inter�s cada vez mayor por parte de aquellos atacantes que
apuntan a vulnerabilidades m�s antiguas en productos de IoT
para el mercado consumidor dado que los ciberdelincuentes saben que los
dispositivos de IoT est�n menos protegidos y buscan
aprovechar esa vulnerabilidad. Adem�s, existen otras botnets
que siguen activas en la regi�n como lo son los casos de Gh0st y Andr�meda,
tambi�n conocidas como Gamaru y Wauchos.
El funcionamiento de una botnet consiste en utilizar
parte de la capacidad de procesamiento de los dispositivos que la componen para
realizar diversas tareas que van desde el env�o de correo masivo, la denegaci�n
de servicio (DDoS), minar Bitcoins o cualquier otra
actividad que genere un beneficio para el �Bot herder�.
Amenazas
internas:
�Adem�s de las amenazas externas debemos
prestar especial atenci�n a las amenazas que pueden plantearse en el �mbito
interno de una organizaci�n. Las personas que trabajan en una organizaci�n
representan uno de los principales recursos que poseen las organizaciones. Sin
embargo, la seguridad de la informaci�n puede verse comprometida en algunos
casos como veremos a continuaci�n.
�
Usuarios
internos malintencionados:
�Tienen el potencial de ocasionar da�os
considerables por su capacidad de acceso interno. Pueden ser empleados descontentos
o despedidos, cuyas credenciales no se han eliminado, y si ten�an permisos como
administradores con privilegios, pueden provocar situaciones de riesgo m�s
elevadas.�
Usuarios
internos enga�ados:
Pueden ser enga�ados por
terceros (ciberdelincuentes) a trav�s de t�cnicas de ingenier�a social para
proporcionarse de datos y/o contrase�as que no deber�an compartir. Pueden caer
bajo el ardid o el enga�o de personas que se hacen pasar por personal del
departamento de sistemas de la empresa y otorgar claves de acceso a programas
de acceso remoto de la computadora del empleado desde donde acceden a la
informaci�n de la empresa.�
Usuarios
internos descuidados.
Pueden simplemente tener
un fallo no intencionado, como seleccionar una opci�n err�nea y manipular o
eliminar informaci�n esencial de forma equivocada.
V. LOS
10 MANDAMIENTOS PARA LA CIBERSEGURIDAD DE LA EMPRESA FAMILIAR.
1.- Formaci�n y
Concientizaci�n.
2.- Pol�ticas de
Seguridad y Normativas de uso.
3.- Convenios de
Confidencialidad.
4.- Administraci�n
adecuada de roles y perfiles con privilegios.
5.- Gesti�n y permisos de
exempleados.
6.- Establecer un sistema
de clasificaci�n de la informaci�n.
7.- Soluciones
tecnol�gicas antimalware y antifraude.
8.- Actualizaci�n
constante de los equipos y de las credenciales de acceso.
9.- No ejecutar programas
o ficheros de origen dudoso.
10. No conectar a los
dispositivos una memoria USB desconocidos.
�Hasta aqu� hemos visto que las personas, los
procesos y las tecnolog�as son los elementos m�s importantes de los Sistemas de
Seguridad de la Informaci�n (SGSI). En el plano de las personas hemos tambi�n
entendido la importancia de los procesos de concientizaci�n del personal y la
necesidad de atribuir roles y funciones para sectorizar el acceso a la informaci�n.
Adem�s, resulta imprescindible la necesidad de ejercer controles y supervisi�n
de las conductas de las personas en los equipos de trabajo asegurando el
entrenamiento efectivo con pruebas especialmente dise�adas para comprobar la
internalizaci�n de las medidas de protecci�n. Por �ltimo, el personal externo a
la empresa deber� tambi�n contar con diferentes privilegios de acceso y
restricciones dise�adas por defecto a los sistemas de informaci�n.
�En el plano t�cnico resulta conveniente la
incorporaci�n, instalaci�n, configuraci�n y actualizaci�n de hardware y
software licenciado pues las empresas trabajan constantemente en la provisi�n
de parches del sistema que protegen de las amenazas m�s recientes,
circunstancia de la que se carece cuando el software no responde a una licencia
oficial, sin perjuicio de las contingencias legales por el uso de software
crackeado y las infracciones a la Ley 11.723 de Derecho de Autor y de Propiedad
Intelectual. La implementaci�n de herramientas criptogr�ficas que permitan el
cifrado de informaci�n que deba ser circulada ya sea en mails o en la intranet
de las organizaciones aporta una barrera m�s a diversos ataques. Existen
herramientas de cifrado gratuitas como�� VeraCrypt que consiste en un software de c�digo abierto
para cifrar archivos, carpetas, unidades USB extra�bles, discos duros
completos, e incluso el disco duro donde se encuentra el propio sistema
operativo instalado. (�Veracrypt: Cifra y oculta tus
archivos gratis - Redes Zone�) VeraCrypt
es multiplataforma, actualmente es compatible con sistemas operativos Microsoft
Windows, cualquier sistema basado en Linux, y tambi�n es compatible con macOS.
Otra herramienta de cifrado es BitLocker. Esta es una herramienta de Microsoft
para Windows completamente gratuita y no necesita de ning�n tipo de licencia
para ser utilizado. Posee buen nivel de seguridad. Si el disco o unidad USB son
robados no podr�n acceder a la informaci�n que contiene sin la contrase�a de
recuperaci�n. Otra de sus principales ventajas a nivel de seguridad, es que es
muy complicado de desencriptar y tampoco se puede acceder desde otros sistemas
operativos como Linux, Mac o Ubuntu entre otros. Brinda protecci�n total contra
ataques fuera de l�nea. (�BitLocker: Tutorial completo para cifrar discos en
Windows - Redes Zone�)
�En el plano organizacional veremos de redactar
las pol�ticas, normativa interna y procedimientos para resguardar la
informaci�n de la empresa familiar. Resulta de inter�s la implementaci�n de
�c�digos de conducta digital� en donde se redacten los derechos y obligaciones
que ostentan los miembros de la organizaci�n permitiendo aportar un marco
operativo en donde las reglas del trabajo son claras y facilitan el esquema de
cumplimiento y/o sanciones dentro de la empresa. Tambi�n resultar� de suma
importancia la elaboraci�n de los planes de contingencia ante eventuales
ataques por parte de ciberdelincuentes en donde se designar�n las personas
autorizadas a cargo del procedimiento de contingencias y respuestas a
incidentes, como as� tambi�n, los pasos de contenci�n y mitigaci�n de los
eventuales ataques. Asimismo, luego de superadas las etapas del incidente se
abordar�n las tareas de aprendizaje y reorganizaci�n para afrontar eventuales
nuevos ataques en funci�n de la experiencia adquirida. El dato de color lo
aportan los datos personales que se pudieran haber encontrado comprometidos en
el incidente de seguridad. Las tendencias en el marco del compliance
indican la necesidad de reportar el incidente a los usuarios comprometidos con
el fin de advertirles que sus datos personales han sido pasibles de un
ciberataque. Estas conductas resultan esenciales si la empresa familiar se
encuentra interactuando con clientes o proveedores que se encuentren bajo la
jurisdicci�n de la Uni�n Europea, ya que en dicha demarcaci�n se encuentra
vigente el Reglamento General de Protecci�n de Datos Personales, lo que hace
obligatoria la denuncia de filtraciones de datos personales.���
�Para acompa�ar la interacci�n de estos
elementos -personas, procesos y tecnolog�as- aparece en escena el marco
regulatorio que nos permite encuadrar jur�dicamente las acciones relativas a la
seguridad de la informaci�n llevadas a cabo dentro del �mbito de la empresa
familiar. En este �mbito ser� fundamental asegurar el cumplimiento tanto de la
normativa interna -generada por las pol�ticas organizacionales- como del cuadro
normativo imperante en la legislaci�n de la jurisdicci�n donde opere la empresa
familiar y de la legislaci�n aplicable de los contratos celebrados.
VI.
MARCO NORMATIVO DE LA SEGURIDAD DE LA INFORMACI�N.
Dentro del �mbito de la
Rep�blica Argentina la empresa familiar deber� tener en cuenta el cumplimiento
respecto a la legislaci�n vigente en materia de Protecci�n de Datos Personales
-Ley 25.326- y a las resoluciones emitidas por la Autoridad de Aplicaci�n, la
Agencia de Acceso a la Informaci�n P�blica (AAIP)- en donde deber� prestar
especial atenci�n en materia de datos biom�tricos, datos gen�ticos y el
tratamiento de datos automatizados por la intervenci�n de herramientas que
contengan Inteligencia Artificial. Siguiendo esta l�nea normativa la citada ley
prescribe en su art�culo 9�: � �El responsable o usuario del archivo de datos
debe adoptar las medidas t�cnicas y organizativas que resulten necesarias para
garantizar la seguridad y confidencialidad de los datos personales, de modo de
evitar su adulteraci�n, p�rdida, consulta o tratamiento no autorizado y que
permitan detectar desviaciones, intencionales o no, de informaci�n, ya sea que
los riesgos provengan de la acci�n humana o del medio t�cnico utilizado��.
�Dentro del �mbito del Derecho Penal la Ley
26.388 del 4 de junio de 1988 de Delitos Inform�ticos modific� el texto del
C�digo Penal Argentino receptando en su articulado diversas figuras como el
acceso indebido, el da�o inform�tico, el da�o inform�tico agravado y la
violaci�n de la privacidad entre otros. En tal sentido dej� tipificadas las
siguientes conductas:��
� ACCESO INDEBIDO (Art�culos 153 y 153 bis CP).
La norma sanciona las
conductas t�picas de abrir o acceder indebidamente a una comunicaci�n
electr�nica, carta, pliego cerrado, despacho telegr�fico, telef�nico o de otra
naturaleza que no le est� dirigido a esa persona.
Abrir o acceder
indebidamente a una comunicaci�n electr�nica, carta, pliego cerrado, despacho
telegr�fico, telef�nico de otra naturaleza que no le est� dirigido esa persona.
(�C�digo Penal Nacional - Legislaci�n Argentina 2021�) Apoderamiento indebido
de informaci�n o de otro papel privado, aunque no est� cerrado.� Borrar / suprimir indebidamente o desviar el
contenido de correspondencia comunicaci�n electr�nica que no le est�
dirigida.�� Interceptar / captar
comunicaciones electr�nicas o telecomunicaciones provenientes de sistemas de
car�cter privado o de accesos restringidos.�
El art�culo 153 bis agrega los casos en que el autor del delito a
sabiendas accediere por cualquier medio sin la debida autorizaci�n o excediendo
la que posea a un sistema o dato inform�tico de acceso restringido.�
� DA�O INFORM�TICO (Art�culo 183 CP).
La tipificaci�n general
apunta a la acci�n de destruir, inutilizar, hacer desaparecer, da�ar de
cualquier modo. La tipificaci�n espec�fica del da�o inform�tico hace referencia
a la alteraci�n, destrucci�n, inutilizaci�n de datos, documentos, programas, o
sistemas inform�ticos. Hace punible la venta, distribuci�n, circulaci�n o
introducci�n de un sistema inform�tico a cualquier programa destinado a causar
da�os. Actividad de Ransomware, introducci�n de
�bugs� (gusanos) en programas inform�ticos.
� REVELACI�N DE DATOS (Art�culo 157 y 157 bis del CP)
El funcionario p�blico
que revelare hechos, actuaciones, documentos o datos, que por ley deben ser
secretos. Acceso y violaci�n de sistemas de confidencialidad y seguridad de
datos o bancos de datos personales. Proporcionar o revelar a otro
informaci�n registrada en un archivo o en un banco de datos personales
cuyo secreto estuviere obligado a preservar por disposici�n de la ley.
Inserci�n de datos en un archivo de datos personales.
� TRATADOS INTERNACIONALES. EL CONVENIO 108 y 108 +
�En tanto el Derecho Internacional tambi�n ha
sancionado normas atinentes a la protecci�n de los datos personales resulta
primordial destacar que en virtud de la aplicaci�n del art�culo 75 inciso 22 de
la Constituci�n Nacional Argentina, los Tratados Internacionales de los que el
Estado Argentino forme parte en virtud de la adhesi�n a dicha normativa
internacional tiene como efecto la adjudicaci�n de rango constitucional a estas
normativas del Derecho Internacional. En tal sentido es necesario destacar que
nuestro pa�s ha ratificado la implementaci�n en el territorio de la Rep�blica
Argentina del Convenio 108 que versa sobre el tratamiento automatizado de datos
personales a trav�s de herramientas de inteligencia artificial. La Rep�blica
Argentina en el a�o 2019 mediante la Ley 27.483 aprob� el Convenio para la
Protecci�n de las Personas con respecto al Tratamiento Automatizado de Datos de
Car�cter Personal suscripto en la ciudad de Estrasburgo, Francia, el 28 de
enero de 1981, as� como tambi�n el protocolo adicional al Convenio.
� El Convenio 108 posteriormente fue modificado
en el mes de mayo de 2018 resultando en su continuador, el Convenio 108 +,
aguardando a que nuestro pa�s hiciera nuevamente adhesi�n a esta modificaci�n.����
�Finalmente, la Rep�blica Argentina adhiri� al
Convenio 108 + a trav�s de la Ley 27.699 sancionada con fecha 10 de noviembre
de 2022. Si bien como ya dijimos nuestro pa�s ya era un Estado - Parte de este
convenio a�n quedaba pendiente ratificar su modificaci�n que respond�a, seg�n
as� surge del mismo convenio, a razones de �diversificaci�n, intensificaci�n,
globalizaci�n del tratamiento de datos y el flujo de los datos
personales�.�
�En su articulado el Convenio 108 + establece
que �El tratamiento de datos gen�ticos, datos personales relativos a delitos,
procesos y condenas penales y medidas de seguridad relacionadas, datos
biom�tricos que identifiquen de manera exclusiva a una persona, datos
personales para la informaci�n que se divulgue relativa a origen racial o �tnico,
opini�n pol�tica, afiliaci�n a gremios, creencias religiosas o de otra �ndole,
salud o vida sexual, s�lo se permitir� cuando la ley establezca salvaguardas
adecuadas que complementen las previstas en el presente Convenio. Dichas
salvaguardas brindar�n protecci�n contra los riesgos que el tratamiento de
datos sensibles pueda generar para los intereses, derechos y libertades
fundamentales del titular de los datos, especialmente el riesgo de
discriminaci�n.���
� UNESCO. RECOMENDACI�N SOBRE LA �TICA DE LA IA.
�Por su parte dentro del seno de la UNESCO
surgi� una Recomendaci�n sobre la �tica de la Inteligencia Artificial. Esta
recomendaci�n fue aprobada por la Conferencia General de la Organizaci�n de las
Naciones Unidas para la Educaci�n, la Ciencia y la Cultura (UNESCO) con fecha
23 de noviembre de 2021 y con respecto a la tem�tica que nos ocupa establece
respecto a los datos sensibles lo siguiente:
��mbito de Actuaci�n 3:
Pol�tica de Datos. Ac�pite 74: Los Estados Miembros deber�an establecer sus
pol�ticas de datos o marcos equivalentes, o reforzar las pol�ticas y marcos
existentes, para garantizar la seguridad total de los datos personales y los
datos sensibles que, de ser divulgados, puedan causar da�os, lesiones o
dificultades excepcionales a las personas. Cabe citar como ejemplos los datos
relativos a infracciones, procesos penales y condenas, as� como a las medidas
de seguridad conexas; los datos biom�tricos, gen�ticos y de salud; y los datos
personales como los relativos a la raza, el color, la ascendencia, el g�nero,
la edad, el idioma, la religi�n, las opiniones pol�ticas, el origen nacional,
�tnico o social, la condici�n econ�mica o social de nacimiento, la discapacidad
o cualquier otra caracter�stica�.
�Se hace especial menci�n de la consideraci�n
de cuestiones �ticas y lo concerniente al impacto de la Inteligencia Artificial
en el �mbito de los Derechos Humanos, en tal sentido establece que se presta
especial atenci�n a:
��La identidad y la
diversidad culturales, ya que las tecnolog�as de la IA pueden enriquecer las
industrias culturales y creativas, pero tambi�n pueden dar lugar a una mayor
concentraci�n de la oferta de contenidos, los datos, los mercados y los
ingresos de la cultura en manos de unos pocos actores, lo que puede tener
consecuencias negativas para la diversidad y el pluralismo de las lenguas, los
medios de comunicaci�n, las expresiones culturales, la participaci�n y la
igualdad��
� NORMAS DE CALIDAD INTERNACIONAL.
Tal como ya mencionamos
en materia de seguridad de la informaci�n encontramos las normas de la Familia
ISO / IEC 27.000 comenzando por la ya citada 27.001:2022 de Certificaci�n de la
Seguridad de Informaci�n y la 27002:2022 de mejores pr�cticas y est�ndares en
la Gesti�n de la Seguridad de la Informaci�n y la ISO/IEC 27005:2022 sobre
Gesti�n de Riesgos de Seguridad de la Informaci�n que implica la evaluaci�n de
la probabilidad de que un riesgo particular se materialice y la medici�n del
impacto que tendr�a en la organizaci�n si ese riesgo se realiza. Tambi�n
resulta de especial aplicaci�n la norma ISO/IEC 27701:2019 e ISO/IEC 27018:2014
en materia de procesamiento de datos personales y la ISO/IEC 29100:2011 de
referencia de Alto Nivel para la Protecci�n de Datos Personales. Por su parte
en materia de Gesti�n de Riesgos contamos con la normativa ISO /IEC 31000:2018
que delinea las directrices en la materia incluyendo el dise�o, la
implementaci�n, valoraci�n, mejora, proceso y evaluaci�n de los riesgos, entre
otros par�metros.
�
� MARCO NIST 2 (Cybersecurity Framework 2.0)
El Marco de
Ciberseguridad (CSF) 2.0 del NIST proporciona orientaci�n a la industria y a
las agencias de gobierno y otras organizaciones para gestionar los riesgos de
ciberseguridad. Ofrece una alta taxonom�a de resultados de ciberseguridad de
nivel que pueden ser utilizados por cualquier organizaci�n, independientemente
de su tama�o, sector o madurez, para comprender, evaluar, priorizar y comunicar
mejor sus esfuerzos de ciberseguridad. Provee de enlaces a recursos en l�nea
que brindan orientaci�n adicional sobre pr�cticas y controles que podr�an
utilizarse para lograr esos resultados.�
� NORMATIVA ADMINISTRATIVA REP�BLICA ARGENTINA��
A continuaci�n, se
enumeran las normativas de car�cter administrativo que rigen las tem�ticas de
ciberseguridad en nuestro pa�s.
Decisi�n Administrativa
641/2021. Establece los requisitos m�nimos de seguridad de la informaci�n para
organismos p�blicos.
Disposici�n 6/2021.
Creaci�n del Comit� Asesor para el Desarrollo e Implementaci�n de aplicaciones
seguras.
Disposici�n 1/2021.
Centro Nacional de Respuestas a Incidentes Inform�ticos (CERT.ar) en el �mbito
de la Direcci�n Nacional de Ciberseguridad.
Resoluci�n 580/2011.
Creaci�n del Programa Nacional de Protecci�n de Infraestructuras Cr�ticas de
Informaci�n y Ciberseguridad.
Disposici�n ONTI 3/2013.
Aprobaci�n de la Pol�tica Modelo de Seguridad de la Informaci�n.
Resoluci�n 1523/2019.
Definici�n de Infraestructuras Cr�ticas.
Decreto 577/2017.
Creaci�n del Comit� de Ciberseguridad.
Decreto 480/2019.
Modificaci�n del Decreto 577/2017.
Resoluci�n 829/2019.
Aprobaci�n de la Estrategia Nacional de Ciberseguridad.
Resoluci�n 141/2019.
Presidencia del Comit� de Ciberseguridad.
VII.
CIBERSEGURIDAD Y CIBERINCIDENTES REGISTRADOS CONTRA LA ADMINISTRACI�N P�BLICA.
- Direcci�n Nacional de
Migraciones, ocasionado por el Ransomware Netwalker, que afect� al Sistema Integral de Captura
Migratoria (SICaM) que opera en los pasos
internacionales, d�nde se exfiltraron 22 carpetas con diverso material.
(27/08/2020).
- El presunto y dudoso
hackeo a la base de datos completa del Renaper, donde
a trav�s de consultas de su propio sistema el atacante logr� te�ricamente hacer
un dump (vuelco) de la base de datos �ntegra,
compuesta por los datos de 45 millones de argentinos. El atacante hizo una
primera publicaci�n mostrando los datos de 44 figuras p�blicas y prosigui�
dando algunas otras muestras y entrevista al respecto, en la que se jactaba de
sus acciones. (12/01/2021).
- El incidente que afect�
a Gendarmer�a, Ejercito, Prefectura Naval, Armada, Fuerza A�rea, Ministerio de
defensa, donde se exfiltraron 1.193.316 registros de la base de datos de la
obra social de las Fuerzas Armadas (IOSFA), Gendarmer�a, Prefectura y el
Ministerio de Defensa. (25/09/2021).
- La presunta y dudosa
venta de datos del gobierno argentino, que fueron ofrecidos por u$s 200.000.- doscientos mil d�lares por el Grupo
Cibercriminal Everest Ransomware Team,
quien tuviera antecedentes similares en Per�, Brasil y los EEUU. (23/11/2021)
�- Los incidentes y data leaks
de la Polic�a Federal Argentina conocido como el esc�ndalo de �La Gorra Leaks� y �La Gorra Leaks 2.0�,
que se extendieron de 2017/2019, el que fue el mayor incidente sufrido por esta
fuerza, en la que se llevaron 700 gigabytes de archivos de la Polic�a Federal y
de la Polic�a de la Ciudad de Buenos Aires, al mismo tiempo que tambi�n se
vulner� la cuenta de la red social Twitter de la Prefectura Naval Argentina.
- El ataque de Ransomware al Poder Ejecutivo de la Provincia de San Luis,
d�nde se vieron comprometidos 350 gigabytes de informaci�n en noviembre de
2019.
-� El ataque al Ministerio de Salud de San Juan
de agosto de 2020.
-� El ataque de Ransomware
a la Agencia Nacional de Seguridad Vial en noviembre de 2020, en el que se
vieron comprometidos 50 gigabytes de informaci�n.
- El ataque a la p�gina
web de la empresa estatal de agua de la Provincia de Buenos Aires ABSA en el
mes de enero de 2021.
- El ataque de Ransomware al sistema inform�tico del Ministerio P�blico
Fiscal de la Ciudad Aut�noma de Buenos Aires en el mes de noviembre de 2021,
por el que se vulner� informaci�n administrativa confidencial y por el que,
mientras se extendi�, ninguna fiscal�a federal de la Argentina ten�a internet
ni pod�a entrar a ver sus causas.
- El ataque al Senado de
la Naci�n en las primeras semanas de enero 2022, por el grupo Vice Society, en
el que se exfiltraron datos como n�meros de DNI, CUIL, n�meros de tr�mite de
documentos, fotocopias de DNI de frente y dorso, domicilios, firmas a mano
alzada, licencias de conducir, entre otros datos sensibles.
- El ataque de Ransomware al sistema del Poder Judicial de Chaco a
principios de enero de 2022 por el grupo Hive, por el
que debieron declarar la suspensi�n de t�rminos y audiencias y extender la
feria judicial.
- El ataque al sistema de
historias cl�nicas del Hospital Perrando, de Chaco en
junio de 2022.
- El Data breach del Hospital Garrahan de Julio 2022, con compromiso
de informaci�n y datos de pacientes y m�dicos, por 5.5 gigabytes de datos, que
se vend�an por u$s 1500.-, que conten�an 12 M de registros.
- El Data breach de la Corte Suprema de Justicia de la Provincia de
Buenos Aires en el mes de Julio de 2022 donde se comprometieron 15.000
registros de car�cter sensible entre los que se encontraban nombres de
usuarios, direcciones de correo electr�nico, nombre completo, DNI (u otros
documentos m�s antiguos como Libreta de Enrolamiento), claves, e incluso
direcciones IP y navegador utilizado por el usuario.
- El Data breach del Hospital Municipal Lucero de Bah�a Blanca en
Julio 2022, con compromiso de acceso a historias cl�nicas, estudios y
documentos de 346 474 pacientes.
- El ataque de Ransomware al Poder Judicial de C�rdoba en el mes de agosto
de 2022, por el que quedaron comprometidos sus servicios, debiendo establecer
un sistema de emergencia y declarando inh�biles a los fines procesales y
administrativos por cuatro d�as consecutivos.
- El ataque al Poder
Judicial de Neuqu�n en el mes de agosto de 2022, d�nde se vulner� informaci�n
de m�s de 3000 funcionarios.
- El ataque al Poder
Judicial de la Provincia de Santa Cruz en septiembre de 2022, en el que se
exfiltraron presuntamente y pusieron a la venta los archivos y usuarios de cada
sector del poder judicial, hasta el acceso a cada m�quina remota de cada
sector.
- El ataque a la
Legislatura de la Ciudad Aut�noma de Buenos Aires, que afect� la p�gina oficial
de la misma y sus sistemas en el mes de septiembre de 2022.
- El ataque al Ministerio
de Econom�a en el mes de septiembre de 2022, donde presuntamente se exfiltraron
y pusieron a la venta por el grupo Everest claves de accesos.
- El ataque a la base de
datos de la Autoridad del Agua de la Provincia de Buenos Aires ADA, en el mes
de septiembre de 2022, en el que se sufri� adem�s una p�rdida relevante de
datos ya que no se efectuaba backup diario y el
�ltimo con el que se contaba databa aproximadamente de 15 d�as antes de la
ocurrencia del incidente.
- El ataque al Estado
Mayor Conjunto de las Fuerzas Armadas en el mes de octubre de 2022, donde se
detect� la presencia de malware y se inform� que presuntamente no hubo
exfiltraci�n de informaci�n sensible de dicha instituci�n.
- El ataque a la empresa
estatal Aerol�neas Argentinas en el mes de octubre de 2022, d�nde se exfiltr� y
puso a la venta presuntamente entre otras cosas informaci�n t�cnica, contrase�as,
emails, casi 65 mil direcciones de correos de clientes de Aerol�neas, aunque la
empresa sostuvo que no se filtr� informaci�n confidencial de la misma.
- El ataque al Ministerio
de Salud de octubre de 2022, donde se envi� informaci�n falsa, mails en cadena
y se exfiltraron presuntamente datos de car�cter sensible, a ra�z de lo cual el
Ministerio sali� a informar que se desestimaran por el momento todas las
comunicaciones provenientes de sus correos electr�nicos).
- La p�rdida de millones
de datos del Censo conocida en octubre de 2022.
- Incidente en la
Legislatura de la Ciudad de Buenos Aires. Ransomware.
10/09/22.
Por su parte durante el
transcurso del a�o 2023 se registraron, entre otros, los siguientes incidentes:
- Incidente en el Poder Judicial de San Juan. Filtraci�n de datos en
la Suprema Corte. Se filtraron 1983 registros vinculados al concurso interno de
ascensos del a�o 2019. (2/1/23)
- Incidente en la Superintendencia de Seguro de la Naci�n. El ataque
afect� a las aplicaciones Mi Argentina y Mi Seguro. No aparec�a ning�n
certificado. Debieron suspender el uso del Sistema �nico de Notificaciones
(SUN). (4/4/23).
- Incidente en la Administraci�n Nacional de Medicamentos, Alimentos y
Tecnolog�a M�dica. Hackeo de los servidores del organismo. (ANMAT)
21/04/23���
- Incidente en el Instituto Nacional de Tecnolog�a Agropecuaria (INTA)
con fecha 2/5/23. Quedaron varios d�as sin poder funcionar tres radares
producto del hackeo que aportan informaci�n al Servicio Meteorol�gico Nacional.
- El incidente a la Comisi�n Nacional de Valores ocurrido a mediados
del mes de junio de 2023 y que se le adjudicara al ransomware
�Medusa� y la cantidad de 1,5 TB de datos e informaci�n sensible.
- Incidente en el Hospital Castro Rend�n, el m�s grande de la Provincia
de Neuqu�n. Exfiltraron las bases de datos del Hospital produciendo una fuga de
m�s de 100.000 pacientes con sus datos sensibles causado por factores humanos a
trav�s de los cuales se comprometieron credenciales de acceso al sistema.
(7/6/23).
- Incidente en el
Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (PAMI).
El grupo ciberatacante Rhysida
ostent� poseer un terabyte (1TB) de datos que incluyen presupuestos, gastos,
documentos personales extra�dos del Sistema de Gesti�n Administrativa del
Sector P�blico Nacional. El precio del rescate solicitado por los ciberatacantes fue de veinticinco Bitcoins equivalentes en
dicha fecha a la suma de U$S. 735.000. (2/8/23)
- Incidente en la
Universidad de Buenos Aires. Se trat� en este caso de un ransomware
en sus sistemas que impidi� a los docentes y alumnos gestionar notas,
inscribirse a cursos de verano y proceder a la realizaci�n de pagos de t�tulos
y otros tr�mites arancelados. (19/12/23)
En lo que va del a�o 2024
se registraron los siguientes incidentes:
- Fuga de informaci�n de
Licencias de conducir. Se exfiltraron datos como firma de las personas, tipo de
sangre, restricciones del conductor, direcciones, etc. Salieron a la venta 6
millones de licencias de conducir en la internet profunda. (16/04/24).
- Incidente de
exfiltraci�n de datos de RENAPER. Se accedi� indebidamente a c�digo fuente,
API, contrase�as, fotos y huellas digitales. (17/4/24)
�� En estos aspectos se han trabajado pol�ticas
p�blicas al efecto. Tal es as� que El Banco Interamericano de Desarrollo (BID)
aprob� un pr�stamo para Argentina de US$30 millones para la implementaci�n del
Programa de Ciberseguridad para Infraestructuras Cr�ticas de Informaci�n (ICI),
iniciativa que mediante la detecci�n temprana de incidentes en este terreno
contribuir�a a la reducci�n de los costos que generan los ciberataques en el
pa�s.
El programa aumentar� la
seguridad cibern�tica de Argentina reforzando la protecci�n de la
infraestructura tecnol�gica de sus instituciones p�blicas, lo que beneficiar�
tanto a los ciudadanos como al sector privado y a la administraci�n p�blica.
Para ello fortalecer� las
capacidades institucionales y tecnol�gicas de la Secretar�a de Innovaci�n
P�blica (SIP), consolidar� el talento humano en ciberseguridad y mejorar� la
protecci�n del ecosistema de Gesti�n Documental Electr�nica (GDE).
��� Durante el a�o 2023 el Estado Argentino
proyect� el Segundo plan estrat�gico sobre CIBERSEGURIDAD: El 6 de enero de
2023, por medio de la Resoluci�n N� 1 del 2 de enero de 2023 de la SECRETAR�A
DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS, se declar� la apertura del
procedimiento de consulta p�blica respecto de la SEGUNDA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD incluida como Anexo IF-2022- 133944871- APN- SSTI#JGM. En la
misma norma, se encomend� a la SECRETAR�A DE INNOVACI�N P�BLICA de la JEFATURA
DE GABINETE DE MINISTROS, impulsar los actos administrativos y dem�s acciones
necesarias para la implementaci�n de la SEGUNDA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. El documento puesto a consideraci�n de la ciudadan�a mediante
el proceso de elaboraci�n participativa de normas fue confeccionado por el
Grupo de Trabajo del Comit� de Ciberseguridad creado a tal fin. Este grupo
estaba conformado por representantes de los Ministerios de Defensa; Seguridad;
Relaciones Exteriores, Comercio Internacional y Culto y Justicia y Derechos
Humanos y las Secretar�as de Innovaci�n P�blica y Asuntos Estrat�gicos.
Participaron tambi�n, en calidad de invitados, funcionarios de la Sindicatura
General de la Naci�n, el Banco Central de la Rep�blica Argentina, ARSAT, la
Administraci�n Federal de Ingresos P�blicos, la Agencia de Acceso a la
Informaci�n P�blica, la Secretar�a Legal y T�cnica y la Agencia Federal de
Informaci�n.
VIII. LA
RESOLUCI�N 87/2024 DE LA SECRETAR�A DE COMERCIO.
Esta resoluci�n�� estableci� que todos los comercios que
operen con tarjetas de compra, cr�dito o d�bito deber�n poner a disposici�n de
los usuarios una terminal de pago inal�mbrica a la vista del cliente. Esto
implica que los clientes puedan mantener bajo su estricto control y en
permanente contacto sus tarjetas de d�bito o cr�dito al momento de efectuar un
pago, lo que redundar� en reducir la posibilidad de maniobras de vulneraci�n de
datos y estafas, como tomar fotograf�as de n�meros de tarjetas, c�digo de
seguridad de �stas y DNI del usuario, circunstancia que habilitaba a la
sustituci�n de la identidad digital.
Ya en el mes de Julio de
2023 la Provincia de R�o Negro sancion� en igual sentido la Ley 5648. Neuqu�n y
Santa Fe tambi�n implementaron estas medidas en sus legislaciones exigiendo a
los comercios proveer a los usuarios de medidas de seguridad al momento de
realizar los pagos de productos y/o servicios.
�Para permitir una correcta adecuaci�n la
Secretar�a de Comercio previ� que los comercios tengan a partir de la sanci�n
de la norma el plazo de 180 d�as para implementar la normativa y, en caso de
incumplimiento, podr�n ser sancionados de acuerdo con las penas que prev� la
Ley de Defensa del Consumidor. De acuerdo con estad�sticas de la Secretar�a de
Comercio, en 2023 hubo casi 7 mil denuncias ante la Direcci�n Nacional de
Defensa del Consumidor por fraudes y estafas en servicios financieros. Seg�n
fuentes del sector de Tarjetas de Cr�dito, en los mercados en los cuales el
comerciante no manipula las tarjetas, y por lo tanto no tiene acceso a la
informaci�n que estas contienen, el fraude es cuatro veces menor que en el
resto de los mercados. Esta medida mejora la experiencia de pago del usuario,
d�ndole celeridad para pagar y, por sobre todas las cosas, mejora la seguridad
ya que el usuario nunca pierde control sobre sus tarjetas.
�Al mismo tiempo, la Secretar�a de Comercio ha
informado que realizar� una campa�a de educaci�n en consumo para concientizar a
los ciudadanos sobre la importancia de pedir el POS a la hora de pagar.
Promover la transparencia de las transacciones es un objetivo compartido por
asociaciones de consumidores, autoridades provinciales y especialistas en la
materia.��
IX. EL
FUTURO DE LAS EMPRESAS FAMILIARES Y LA SEGURIDAD DE LA INFORMACI�N.
Las
Empresas Familiares para poder crecer y ofrecer sus productos y servicios a
nuevos mercados deber�n ajustarse paulatinamente a las normativas y est�ndares
internacionales en materia de gesti�n de sistemas de seguridad de la
informaci�n. No s�lo para conquistar nuevos mercados sino tambi�n para poder
interactuar con otras empresas de mayor envergadura que la propia, las que
tienen como par�metro que sus clientes y/o proveedores lleven delineadas
pol�ticas claras en materia de seguridad de la informaci�n. Esto se debe a que
podr�a resultar riesgoso contratar con una empresa que no disponga de medidas
diligentes en la seguridad de la informaci�n, pues los datos de la empresa y de
las transacciones efectuadas entre ellas podr�an quedar comprometidos por un ciberataque
que producir� mayor da�o a la empresa que no se encuentre preparada para
defenderse del mismo y en consecuencia queden comprometidos datos de empleados,
clientes o proveedores de ambas empresas.����
�La capacitaci�n para fortalecer el eslab�n m�s
d�bil que son las personas definir� la diferencia entre una empresa familiar
robusta en materia de cumplimento de protecci�n de datos personales y gesti�n
del riesgo en materia de seguridad de la informaci�n de aquellas que no
apliquen recursos a fortalecerse en la materia.
�Siguiendo las experiencias europeas con el
Reglamento General de Protecci�n de Datos (RGPD), la Ley de Mercados Digitales
y la Ley de Servicios Digitales, se puede vislumbrar que la exfiltraci�n de
datos personales ser� en un futuro no muy lejano el nuevo derecho de da�os en
la pr�ctica profesional. Es por ello por lo que las Empresas Familiares deber�n
ir adecuando paulatinamente sus procesos para evitar futuras contingencias
legales, lo que adem�s redundar� en beneficios a la hora de efectuar
contrataciones con empresas internacionales o en el caso en que la misma
empresa familiar inicie su proceso de internacionalizaci�n desplegando sus
actividades en nuevas jurisdicciones.�
REFERENCIAS
BIBLIOGR�FICAS.
Instituto
Nacional de Ciberseguridad de Espa�a (INCIBE). (n.d.).
Gu�a de Ciberataques.
https://www.incibe.es/ciudadania/formacion/guias/guia-de-ciberataques
(Recuperado el 20 de abril de 2024).
Burgue�o,
M. R. (Dir.). (2023). Ciberseguridad. Nociones b�sicas de Seguridad de la Informaci�n.
En Innovaci�n e Inclusi�n Digital (Cap�tulo VI). Editorial Di Lalla.
Faliero, J.
C. (2023). Infosecurity, Seguridad Inform�tica,
Ciberseguridad & Hacking. �To hack
and not to jail�. Editorial AdHoc.
Hern�ndez
Ramos, J. L., Karopoulos, G., Nai Fovino,
I., Spigolon, R., Sportiello,
L., Steri, G., Gorniak, S.,
Magnabosco, P., Atoui, R.,
& Crippa Martinez, C.
(2024). Cyber Resilience Act Requirements Standards Mapping. Publicaci�n de
la Oficina de la Uni�n Europea. https://data.europa.eu/doi/10.2760/905934
(Recuperado el 29 de abril de 2024).
Instituto
Nacional de Ciberseguridad de Espa�a (INCIBE). (n.d.).
Cumpliendo con la NIS2: recursos y servicios para la pyme.
https://www.incibe.es/empresas/blog/cumpliendo-con-la-nis2-recursos-y-servicios-para-la-pyme
(Recuperado el 17 de abril de 2024).
Escudo Digital. (2024,
marzo 23). �Qu� pueden hacer las pymes para reducir las ciberamenazas?
https://www.escudodigital.com/ciberseguridad/que-pueden-hacer-pymes-reducir-ciberamenazas_57906_102.html
(Recuperado el 23 de marzo de 2024).
