Ante los riesgos y amenazas que han surgido y evolucionado a la par de los avances tecnológicos, la ciberseguridad en República Dominicana se ha convertido en una prioridad esencial.
En este contexto, se hace necesario que los contadores estén atentos al cuidado de la información que les suministran sus clientes a la vez de aportar algunas sugerencias, prácticas y controles para que sean implementados en las empresas que asesoran.
Atendiendo esto, en este artículo se exponen diferentes recomendaciones para la gestión, documentación y custodia de la información contable, atendiendo diferentes pautas sobre ciberseguridad.
Abrir la conversación sobre la gestión de riesgos informáticos
Generalmente, la gestión de riesgos para algunas empresas pueden ser de los procesos que pasan a un segundo plano, priorizando los esfuerzos e inversiones en la operación diaria o en la estrategia comercial.
Sin embargo, desatender estos temas desde el inicio genera demasiados riesgos y dolores de cabeza a futuro, además, a medida que la empresa va creciendo se vuelve más complejo implementar acciones concretas y generar una cultura interna al respecto.
Por tanto, si es incómodo o complejo poner sobre la mesa la necesidad de realizar una adecuada gestión de riesgo, se podrían implementar algunas de las siguientes recomendaciones para abrir esa conversación, siendo la sensibilización una buena práctica para iniciar.
| Estrategia | Contexto |
| Exponer las posibles consecuencias y su impacto | Para esto es importante mostrar el impacto cualitativo y cuantitativo de materializar un riesgo informático. Se pueden realizar simulaciones en las que a través de indicadores financieros y matrices de riesgo se evidencie el impacto que se podría generar ante un evento. |
| Evidenciar casos que se hayan materializado | Si aún no se han materializado riesgos en la empresa, no quiere decir que los casos no existan. Para sensibilizar al equipo y apoyar el discurso sobre las prácticas de ciberseguridad, se pueden exponer las diferentes cifras y casos publicados por el Gobierno o fuentes de información confiable. En este sentido, un referente de ciberseguridad en República Dominicana es el Centro Nacional de Ciberseguridad —CNCS—, el cual en sus secciones de noticias, boletines e informes, publica datos sobre acontecimientos y avances en el tema. |
| Hacer referencia a requerimientos normativos | Sobre la ciberseguridad en República Dominicana, existe un marco normativo que puede servir de fundamento o apoyo en la gestión de riesgos. De esta manera, en la página web de la CNCS, se puede visualizar el marco normativo discriminado por leyes, normativas y decretos. De la normatividad sobre ciberseguridad en República Dominicana se destaca el Decreto 313-22, mediante el cual se establece la Estrategia Nacional de Ciberseguridad 2030. |
Conocer las amenazas y realizar capacitaciones para mitigar riesgos
Otra estrategia importante para gestionar y mitigar los riesgos informáticos cuando ya se ha introducido una sensibilización al respecto, es evitar tener información local desprotegida, ya sea la información contable o de otro tipo que pueda ser sensible para la entidad.
Adicionalmente, se debe conocer qué tipo de ciberataques existen y emplear capacitaciones al personal para que conozcan cómo operan quienes quieren dañar, alterar o robar datos.
Existen diferentes tipos de ciberataques, los más conocidos son los que se agrupan en las siguientes categorías:
Pishing o suplantación de identidad
Es la amenaza que se presenta cuando quieren robar información confidencial haciéndose pasar por personas o entidades de confianza, generalmente se realiza a través de una interacción por correo electrónico o mensaje.
Una acción para gestionar este tipo de amenazas es capacitar a los empleados sobre qué tipo de mensajes pueden identificarse como falsos, estos pueden ser:
- Los que incluyen lenguaje amenazante.
- Tiene como remitente una fuente distinta a la de la entidad o persona a la que hace referencia el mensaje.
- Solicita información personal o bancaria.
- Incluyen textos con errores gramaticales y de ortografía.
Malware o sistemas maliciosos
Consiste en la instalación de software malicioso que puede provocar daños en la información o en los sistemas como virus, troyanos, descarga automática de información, cifrado de archivos (en los que generalmente se pide un rescate por los datos, ransomware), etc.
Web Attacks o ataques a páginas web
Son ataques en los cuales se infiltran códigos aprovechando una falla, hueco o vulnerabilidad en una aplicación o página web, generalmente se usa la inyección de comandos que generan desde el acceso a información como el control absoluto de un servidor.
En estos dos últimos tipos de amenazas se requiere la implementación de chequeo de contraseñas y antivirus, también se debe realizar una verificación de los vínculos o archivos antes de ejecutarlos y no suministrar información confidencial por diferentes fuentes ajenas a las supervisadas por los equipos de tecnología.
Además, resulta fundamental utilizar un software en la nube que cuente con las últimas actualizaciones en seguridad.
Tip Alegra: explora el poder y la seguridad de la contabilidad inteligente con Alegra Contabilidad tu solución en la nube.
Cultura de cuidado y evaluaciones periódicas
Por último, es necesario realizar seguimiento y control de los riesgos, para esto se pueden realizar evaluaciones periódicas que permitan identificar fallas, vulnerabilidades o zonas grises en la seguridad de la información, para esto se recomienda:
- Realizar restricciones a los usuarios de acuerdo con los roles ocupados en la entidad y para la instalación y configuración de software restringir los derechos solo para administradores.
- Implementar el chequeo de antivirus y evaluar periódicamente que las licencias estén actualizadas.
- Cifrar los datos y hacer copias de seguridad si se tiene información local o mejor, realizar la migración a software y almacenamiento en la nube.
- Destinar un equipo o persona encargada en la empresa que pueda ser ayuda ante la inquietud de algún colaborador sobre algún correo malicioso o alguna inquietud sobre la seguridad de la información.
- Atender las actualizaciones y mejoras que se estén realizando en los software y equipos por parte de los proveedores tecnológicos y estar al tanto de las nuevas funcionalidades.
En este punto es válido mencionar que la CNCS en su página web tiene las secciones de guías y recomendaciones y concientización, en las cuales ha publicado varios recursos que sirven de orientación para la gestión de la seguridad de la información.
Tip Alegra: Para promover la ciberseguridad en República Dominicana, la CNCS ha dispuesto varias herramientas enfocadas a la prevención y detección de riesgos, entre estas se encuentra: verificación de cuenta, contraseña e IP comprometido, verificación de enlace malicioso, reporte de incidentes, análisis de vulnerabilidades y extensión de Chrome.
Algunos datos sobre ciberseguridad en República Dominicana
En la sección de noticias de la CNCS se destacan varios sucesos sobre el tema, a continuación, se enuncian algunos hechos enunciados por la entidad en lo corrido de 2024:
- El Centro de Exportación e Inversión de la República Dominicana —ProDominicana— y CNCS firmaron un acuerdo para promover la cultura de la seguridad de la información.
- El país fue elegido miembro del consejo de directores del Foro Internacional de Respuesta a Incidentes Cibernéticos —First—, por sus siglas en inglés.
- La CNCS anunció el lanzamiento de la plataforma de concientización ciudadana.
- Se llevó a cabo el simulacro de crisis cibernética con impacto en desastre nacional, proceso liderado por el Viceministerio de Agenda Digital y el Centro de Operaciones de Emergencias —COE— con el apoyo de la empresa Amazon Web Services —AWS—.
Sobre la ciberseguridad en República Dominicana, es importante destacar que en 2023 el país se ubicó en la posición 28 en el Índice Nacional de Ciberseguridad —NCSI—, por sus siglas en inglés, mientras que en 2022 había quedado en el puesto 58. Al realizar la consulta, el 04 de julio de 2024, República Dominicana ocupa la posición número 20.
Te invitamos a consultar nuestro portal Siempre Al Día, y explora todo el contenido que impulsará tu conocimiento a otro nivel.
