Descubre las Mejores Estrategias para Garantizar la Seguridad de la Información Contablepost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Seguridad de la Información Contable: Definición y Estrategias

Sin importar el tamaño o giro económico de las entidades, estas requieren información para la toma de decisiones. De acuerdo con las Normas de Información Financiera (NIF), dicha información debe ser verídica, confiable, comparable y oportuna. En el presente artículo definiremos puntos clave sobre los sistemas e información contable haciendo referencia a las NIF 2024.

¿Qué es un Sistema de Información Contable?

Para entender qué es un sistema de información contable, iniciaremos por definir un “sistema”.

Según Bertalanffy (1968), un sistema es: “un conjunto de elementos interrelacionados e interdependientes que actúan entre sí para lograr un objetivo común”. Es decir, un sistema es un grupo de elementos conectados y que dependen entre sí, colaborando para alcanzar un objetivo en común, siendo uno de los objetivos principales de un sistema de información contable la producción de información financiera.

Definición de Contabilidad según las NIF

Las NIF en su Marco Conceptual (MC) definen la contabilidad como: “La técnica que se utiliza para compilar los registros de las transacciones y otros eventos que afectan económicamente a una entidad y que produce sistemática y estructuradamente información financiera que se incorpora en los estados financieros.” Lo anterior quiere decir que contabilidad es el proceso que se usa para registrar todas las operaciones y eventos que impactan los recursos de una empresa.

La Evolución de las Amenazas a la Información Contable

Es probable que, en algún momento, al comienzo de la historia de la humanidad, los seres primitivos sintieran la necesidad de comunicar de forma escrita las situaciones que vivían. Al estar en constante desarrollo, la búsqueda diaria de satisfacer necesidades, ha empleado los medios informáticos para lograrlo, “al ser humano actual le ha sucedido lo mismo que a nuestros antepasados prehistóricos cuando fabricaron el primer cuchillo. Tuvo un gran alivio en sus labores diarias, se sintió cómodo, porque ya contaba con una herramienta que le ayudaría en sus tareas cotidianas de supervivencia.

Lea también: Definición de Seguridad en Sistemas de Información Contable

Pero no faltó quien usara esta herramienta con otras intenciones en contra de sus congéneres y terminara cometiendo delitos que, seguramente, en su momento no se llamaron así, aunque sí se entendían como actos en contra de la supervivencia de los demás. Para los años 50, las líneas de teléfono empezaron a extenderse a principios del siglo XX. Estos sistemas albergaban fallos que eran explotados por los intrusos que accedían a los sistemas pudiendo desviar llamadas a su antojo, escuchar conversaciones, etc. (Álvarez Marañón & Pérez García, 2004), y es en este momento donde se comienza a observar las vulnerabilidades que tenían estas herramientas de comunicación; las cuales amenazaban, ya sea a una sola persona o a un conjunto de estas (organizaciones), y donde aquellos intrusos se aprovechaban para manipular la información a la cual estaban accediendo, por el simple hecho de escuchar una conversación.

En 1987, en la universidad de Delaware, se produce el primer incidente conocido, si bien al año siguiente se extiende por ARPANET, red precursora de Internet, un gusano creado por Robert Morris, que colapsó multitud de sistemas y está considerado como el primer incidente serio de seguridad de la red Internet (Álvarez Marañón & Pérez García, 2004).

Por lo anterior, puede iniciarse un cambio en esta manipulación de la información y se logra la creencia de que el proceso de nuevos modelos y de innovación tecnológica debe comenzar de forma obligada por la investigación básica. Cuando desde la experiencia empírica existen numerosas innovaciones que pueden nacer, a través del aprovechamiento de los resultados de investigaciones aplicadas existentes. Sin embargo, la gestión de riesgos no es un tema nuevo; existen diversas definiciones al respecto que se han modificado con el paso de los años y se han utilizado tanto en la academia como en la práctica profesional. Vinculando ambas perspectivas, se propone la gestión de riesgos como una forma de gestión que va más allá de los enfoques ya conocidos.

Además las plataformas de Redeban y Credibanco, con las cuales se hace efectivo el pago de cualquier compra o transacción que se haga, también se han visto afectadas por parte de estos delincuentes, al igual que los cajeros electrónicos, utilizando códigos maliciosos y logrando hacer copias de las tarjetas que puedan ser ingresadas a estos cajeros. La administración de las copias de seguridad de los sistemas contables juega un papel fundamental en la seguridad de la información y en todo el proceso que garantice la continuidad del servicio.

Estrategias para la Seguridad de la Información Contable

Es por ello la importancia de generar conciencia en seguridad informática, garantizando así que se tomen los controles necesarios para la prevención de los riesgos informáticos a los que se expone la organización.

Lea también: DATA STAGE y la Seguridad en el Comercio

La formación del personal por medio de la capacitación, es también otra medida que incorpora España, esto se logra por medio de expertos en el área con el propósito de preparar al personal para cualquier eventualidad, partiendo del que tiene un alto cargo hasta el más bajo cargo según el organigrama empresarial. Incorpora un sistema de visualización en tiempo real, .Ciberincidentes”, de los casos que se han presentado, dando la oportunidad de ver el tiempo en el que se evidenciaron, el tipo de robo de información o modalidad, el lugar y si fue a una persona o a una empresa, en este las personas se pueden dar cuenta que en años anteriores y actualmente en el país se evidenciaron muchos casos de vulnerabilidad y amenaza de la información.

Al igual que INCIBE, el Centro Cibernético Policial de la Dijín en Colombia ofrece un mural de cibercrimen, el cual brinda información acerca de modalidades que se vienen presentando como el Phishing, Malware, La carta Nigeriana, La Estafa y Smishing, dentro de las cuales muestran ejemplos con imágenes de las estrategias que utilizan los delincuentes para obtener información de otras personas.

Normativas y Estándares de Seguridad

Además de “Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones; Formar al personal de la Administración; Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia, entre otras. También se enfatiza en la Ley Orgánica 10 del 23 de Noviembre de 1995, del Código Penal, con el propósito de describir aquellas personas catalogadas como criminales responsables de delitos, las responsabilidades que tienen estos una vez que se sometan a cometer actos ilícitos: la reparación de daños e indemnizaciones, habla acerca de aquellas personas que no hayan actuado directamente, es decir que hayan sido cómplices, también los convierten en criminales, las estafas, y otros aspectos relevantes.

Por ello, el Código penal sanciona a esas personas que cometen actos delictivos informáticos en contra de otros (entidades y personas), para así poder tener control y disminución de estos tipos de casos. Sin embargo existe otra normativa que trata acerca de estos temas y que son una guía para las empresas que están en el proceso de instauración de algún sistema o para la prevención de algún litigio futuro, y este es el caso de las ISO 27000, 27001 y 27002.

La ISO 27000, “esta norma proporciona una visión general de los sistemas de gestión de la seguridad de la información, así como los términos y definiciones de uso común en la familia de normas de SGSI. También se menciona “con el uso de las normas de la familia SGSI, las organizaciones pueden desarrollar e implementar un marco para gestionar la seguridad de sus activos de información, incluyendo información financiera, propiedad intelectual, información confiada a una organización por clientes de terceros” (Normalización-ISO, 2017). La norma expone los requisitos de seguridad de información estableciendo que “existen tres fuentes principales de requisitos de seguridad: a) La valoración de los riesgos para la organización, teniendo en cuenta la estrategia y los objetivos de negocio globales de la organización.

Lea también: Análisis del papel de los ISP en la ciberseguridad

El puntaje fue de 4 sobre 10, aunque ningún país pasó de 7, ni China ni Francia, los mejor posicionados en ese ítem.” (Semana, 2019), Consecuentemente este estudio arroja que “entre 60 países estudiados, donde Argelia, el que ocupó el primer puesto, tiene los peores índices de ciberseguridad, y Japón, en el último puesto, tiene los mejores, Colombia quedó en el renglón 39. Es decir, el país está en el rango medio de la seguridad en la red.” (Ingenieria, 2019) Y además “en Colombia se producen el 0,5% de los ataques al software financiero con el que se pretende robar a los usuarios. Estas cifras aún son preocupantes aunque algunos lo tomen de manera normal, debido a que da soporte a lo expuesto anteriormente, en donde deja evidencia que no se está desarrollando más allá de lo que debería, sistemas especializados y no se ha invertido lo necesario para mitigar estos hechos, por ello muchas de las empresas de este país han presentado ataques cibernéticos puesto que no cuentan con el apoyo necesario por parte del gobierno, en términos de la profundización de estos temas y también que estas empresas al presentarse este tipo de situaciones, no tengan lo suficiente para implementar otros sistemas que sean más profesionales, debido a su alto costo.

Los sistemas contables que poseen cada empresa de este país, suelen ser un blanco directo para aquellos ladrones de información financiera, por ello utilizan diferentes técnicas para obtener acceso a los servicios y redes que posee una empresa o persona, para así poder tomar control y extraer toda la información necesaria.

Tomando como referencia los dos países estudiados, ambos brindan aspectos que son muy importantes a la hora de contrarrestar, prevenir y disminuir situaciones de ataques cibernéticos, no solo exponen las ayudas que podemos adquirir para proteger nuestra información sino también los procesos, la información y la cultura que debemos tener a la hora de manipular datos que sean importantes en las organizaciones.

No se trata de que tan seguros sean los softwares contables, ni los sistemas técnicos que tenga la empresa para la prevención de amenazas, sino de que tan capacitados están los empleados para no dejar visiblemente datos que pueden ser utilizados por los hackers, o aquellos sitios utilizados para la suplantación de páginas y robar las credenciales de acceso a los sistemas de una organización o simplemente el robo de la información al abrir un correo con un archivo adjunto; las buenas prácticas de generación de conciencia en seguridad informática es una buena y excelente alternativa de seguridad comercial de información, debido a que se incorporan elementos de fácil entendimiento y acceso, como lo son folletos, videos, informes de casos, etc.

El Impacto de la Seguridad en el Desempeño Organizacional

Este trabajo analiza el grado de influencia que tiene la seguridad en la administración y calidad de los datos de un sistema de información contable (SIC) en el desempeño organizacional de las pequeñas y medianas empresas (Pyme). El estudio se lleva a cabo en la región centro del estado de Tamaulipas (México) por medio del análisis correlacional con el software SPSS. Los resultados muestran el gran impacto que tiene la seguridad en la administración y calidad de la información para obtener una mayor productividad en las empresas. De la misma manera, sobresale el hecho de que la innovación no es abordada de la forma más adecuada por las instituciones analizadas.

La administración eficiente de los datos y la calidad en la información se considera un tema pendiente para todos los involucrados en los procesos de gestión, ya sean directivos, gerentes, personal de informática y cualquier usuario que hace uso día con día de la información generada por los sistemas contables computarizados.

En este sentido, un SIC es un software que registra las operaciones económicas de una organización que incluye, por ejemplo, transacciones en las áreas de compras, ventas y otros procesos de negocios, y cuyo principal objetivo es proveer información oportuna para la toma de decisiones.

Sin embargo, los empresarios tienen dudas acerca del retorno de la inversión que hacen en TI, específicamente en los SIC, aunque es un hecho que existe un impacto positivo en la productividad y desempeño organizacional al incrementar las ventas, el acceso a más clientes y mejorar la relación con ellos así como mayor eficiencia en los procesos de negocios y en la reducción de costos, entre otros.

Por lo anterior, se observa que el principal producto de una aplicación de software es la información; para los negocios específicamente su información financiera (Davis, 1997). Pese a los beneficios que pueden percibirse del uso de los SIC, los avances tecnológicos también han incrementado la vulnerabilidad de estos sistemas.

Para Beard y Wen (2007), las amenazas a los sistemas de información en general ocurren durante el procesamiento u operación de los mismos; por ejemplo, creando programas ilegales, accediendo o eliminando archivos, destruyendo o corrompiendo la lógica de un programa con virus, entre otros aspectos de riesgo.

El problema de la inseguridad de la información existe a pesar de que se han hecho cosas importantes, aunque no de manera sistemática, para atender esta debilidad como el adecuar los procesos del manejo de los SIC. De hecho, en últimas fechas los directivos, comités de auditoría, profesionales de la contabilidad y auditores están trabajando juntos para mejorar el control interno y consolidar la seguridad de la información financiera (Beard y Wen, 2007).

Es preciso indicar que normalmente los empleados son honestos, bien intencionados; sin embargo, por la fatiga, capacitación inadecuada o negligencia cometen errores con la información en perjuicio de la organización (Abu-Musa, 2006). Por ello, en los sistemas informáticos (hardware y software) como en cualquier SIC se requieren controles para prevenir y detectar errores y evitar pérdida accidental o intencional de activos de información (Henry, 1997).

Herramientas y Tecnologías para la Seguridad de Datos

Las herramientas de seguridad de datos y tecnologías deben abordar los crecientes retos inherentes a la dirección de los entornos informáticos complejos, distribuidos, híbridos o multicloud de hoy en día. Las herramientas integrales de protección de datos que permiten a las compañías adoptar un enfoque centralizado para el monitoreo y la aplicación de políticas pueden simplificar la tarea.

Herramientas de descubrimiento de datos localizan activamente información sensible dentro de repositorios de datos estructurados y no estructurados, incluidas bases de datos, almacenes de datos, plataformas de big data y entornos en la nube. Herramientas de monitoreo de actividad de archivos analizan los patrones de uso de datos, lo que permite a los equipos de seguridad ver quién accede a los datos, detectar anomalías e identificar riesgos.

Las herramientas DSPM van más allá para descubrir datos ocultos, descubrir vulnerabilidades, priorizar riesgos y reducir la exposición.

Recomendaciones Adicionales

  • Transforme a sus empleados en "cortafuegos humanos".
  • Siga el principio de "acceso con privilegios mínimos" en todo su entorno de TI.
  • Otra estrategia es construir una mentalidad de seguridad en toda la empresa enseñando a los empleados el valor de la seguridad de los datos.
  • El mantenimiento de copias de seguridad utilizables y probadas exhaustivamente de todos los datos críticos es un componente central de cualquier estrategia sólida de seguridad de datos.

Amenazas Comunes a la Seguridad Digital Financiera

  • Robo de identidad: Obtención y uso fraudulento de información personal para cometer delitos.
  • Phishing: Técnica que consiste en engañar a los usuarios para que revelen su información confidencial a través de enlaces, archivos o páginas web fraudulentas que se difunden por correo electrónico o redes sociales.
  • Malware: Software malicioso diseñado para dañar o infiltrarse en un sistema informático.

Medidas de Protección

  • Utiliza contraseñas largas, complejas y personalizadas, además debes asegurarte de no utilizar la misma contraseña para diferentes cuentas.
  • Los antivirus y firewalls son métodos de seguridad para controlar el tráfico en internet y proteger los equipos contra amenazas externas.
  • La implementación de sistemas de gestión en la nube son una forma más segura de almacenar la información, ya que las bases de datos están en línea y no en un equipo informático, ni en una unidad extraíble.

tags: #seguridad #de #la #informacion #contable #definicion