‘El factor humano es el más débil en la cadena de seguridad’

Henry Manzano, CEO de Tata Consultancy Services Latam, está involucrado con el lanzamiento del programa Modelo de Prevención del Delito en Colombia. Portafolio.co conversó con él para conocer más sobre este tema.

Henry Manzano, CEO de Tata Consultancy Services Latam.

Cortesía TCS.

Henry Manzano, CEO de Tata Consultancy Services Latam.

Empresas
POR:
agosto 06 de 2014 - 04:39 p.m.
2014-08-06

El Modelos de Prevención del Delito (MPD), en el que Tata Consultancy Services (TCS) juega un papel determinante, tiene como fin incrementar la transparencia en todos los procesos que efectúa esta firma en Colombia. Portafolio.co habló con el directivo Henry Manzano para ahondar en este tema, vital para la seguridad informática de las empresas.

 

¿Qué es el Modelo de Prevención del Delito?
El Modelo de Prevención del Delito (MPD) es un conjunto de normas y procedimientos administrativos y operacionales que fijó TCS Latinoamérica para evitar la ocurrencia de tres tipos de faltas graves a la ley. La primera es el cohecho o soborno a un funcionario público, el segundo es el lavado de dinero y el tercero es el financiamiento del terrorismo.

Este modelo lo que hace es exigir a todos los colaboradores de la compañía que cumplan con reglas definidas. Por ejemplo, evaluar los antecedentes de un proveedor que está ofreciendo productos o servicios a un costo muy por debajo de lo que hay en el mercado. Otra norma es suscribir una declaración jurada de que no hay parentesco o relación comercial alguna, es decir, no existe conflicto de intereses, cuando se participa de propuestas o licitaciones gubernamentales.

¿Por qué se instala este modelo en TCS?
Con el modelo quisimos adoptar las buenas prácticas corporativas internacionales y las que ya existen en nuestra empresa en otras partes del mundo. En América Latina tenemos una muy buena opinión de nuestros equipos profesionales, de manera que lo que hace este modelo es institucionalizar la probidad y transparencia con la que ya operan nuestros trabajadores en toda la región.

¿Cuán expuestas están las compañías en Colombia al fraude cibernético si lo comparamos con el resto de la región?
Lo primero que debemos aclarar es que el MPD no es un conjunto de normas específicas para abordar el fraude cibernético, como robos de bases de datos o clonación de información bancaria. El MPD es un conjunto de procedimientos organizacionales que puede aplicarse en cualquier empresa e industria para evitar la ocurrencia de actos que puedan estar reñidos con las leyes locales e internacionales relacionadas con cohecho/soborno, lavado de dinero y financiamiento del terrorismo.

Con el MPD damos una señal potente al mercado de que cualquier servicio TI o de BPO que sea provisto por nosotros implica la participación de equipos de trabajo altamente comprometidos con la probidad y la transparencia, lo que también es una garantía de tranquilidad y confianza para los clientes que escogen trabajar con nosotros.

¿Cuáles son las prácticas esenciales que se recomiendan a las compañías para evitar el fraude?
Existe un amplio conjunto de estrategias, aunque nuestra filosofía en TCS es trabajar junto al cliente en desarrollar medidas que se adecúen a cada industria, para lo cual contamos con la unidad Digital Software and Solutions (DESS).

Una recomendación general es contar siempre con esquemas de defensa variados e incluso superpuestos. Eso puede ayudar a fortalecer a una empresa o institución. En la banca, que es una industria que por el manejo de dinero está en la mira ante posibles fraudes, la oferta de elementos de seguridad es muy variado: lo más efectivo es incorporar en las aplicaciones de negocio controles y mecanismos de segregación de funciones, cuidar las bases del diseño y construcción de una aplicación, desde la estrategia, el desarrollo (bajo un enfoque de código seguridad), realizar un adecuado proceso de pruebas para reducir las aéreas de vulnerabilidad de las aplicaciones, el uso de métodos y herramientas que aseguren la privacidad de los datos, y la incorporación de herramientas para una robusta autenticación de los usuarios y asignación de accesos en base a su rol dentro del flujo de proceso o servicio.

¿Cuáles son las nuevas tendencias que marcan la vanguardia en este campo de prevención?
Cada día están surgiendo nuevos frentes en que abordar la seguridad informática. En un reciente estudio de la OEA, se sugiere que debe evaluarse en forma permanente, en conjunto con sus proveedores de tecnología, si existen vulnerabilidades en los sistemas de una empresa, verificar que los certificados digitales hayan sido entregados por autoridades certificadoras confiables y definidas; escanear su sitio web de forma diaria para detectar malware, entre otros.

Pero más allá de todas las medidas tecnológicas, es necesario educar a los usuarios. Un elemento que es imprescindible en un sistema de seguridad robusto es que se eduque a los usuarios para evitar el compartan sus elementos de seguridad, ya que no debemos olvidar que el eslabón más débil en la cadena de la seguridad es el factor humano

¿Cómo se recomienda que se debe actuar cuando se descubre un delito de este tipo?
Con rapidez, detectando por qué razón se produjo y entregando la solución más ágil posible, lo que hoy cuenta con un aliado a proveedores que entregan servicios 24/7. No se trata solo de anticiparse a pérdidas económicas, sino también a perder la confianza de los clientes. Evitar los delitos será siempre difícil, porque cada día hay fraudes que parten en el llamado “punto cero”, para el que no existían resguardos de tipo alguno. Pero me atrevería a decir que por cada amenaza, quienes proveen de servicios de seguridad crean una oportunidad de mejorar lo que ya existe.

¿Considera que el fraude cibernético será el principal mal al que se enfrenten las empresas de aquí en adelante?
No sé si el principal, pero sí uno realmente grande. Este estudio de la OEA que cito, cifró en el 2013 las pérdidas a nivel mundial en US$113 mil millones, que es equivalente al 15% de lo que Colombia produce en un año. Por lo tanto, será una preocupación creciente para las compañías, de eso no cabe duda, que hará cada vez más evidente la necesidad de invertir en seguridad.