Peores escenarios de riesgo tecnológico en el e-commerce: guía para el comité de dirección

La supervivencia a largo plazo de cualquier negocio depende de una gestión adecuada de la dualidad Riesgos / Beneficios. Se trata de aprovechar las oportunidades de negocio, maximizando la creación de valor para la organización e impidiendo al mismo tiempo que se destruya el valor generado en ejercicios anteriores.

balance

En el mundo de la economía digital, una buena parte del riesgo de las organizaciones viene derivado del uso, operación o adopción de la tecnología. El riesgo tecnológico se constituye así como un elemento central del perfil de riesgo de las empresas electrónicas. Los comités de dirección y los consejos de administración han de ser capaces de entender estos riesgos en toda su dimensión para poder gestionarlos adecuadamente. Lamentablemente, esto no siempre sucede y es frecuente observar como los responsables de negocio y de riesgos de la información encuentran dificultades para entenderse mutuamente al hablar lenguajes muy distintos.

En este artículo vamos a revisar los principales escenarios de riesgo tecnológico que todo equipo de dirección de una empresa de comercio electrónico debe ser capaz de gestionar. Se trata, por así decirlo, de hacer un ranking de los “horrores a evitar”, expresados en términos muy cercanos al negocio.

Los escenarios se pueden agrupar en las siguientes categorías de acuerdo a las consecuencias para el negocio:

  • Riesgos que resultan en la incapacidad del negocio para poder seguir operando con normalidad
  • Riesgos que tienen como consecuencia la pérdida de confidencialidad de información sensible para el negocio.
  • Objetivos de negocio afectados por una mala adopción de la tecnología
  • Objetivos de negocio afectados por Fraude online
  • Pérdidas como consecuencia de Fraude Interno.

La lista puede ser usada como referencia alrededor de la cuál identificar y establecer los planes de seguridad de la empresa y, a la vez, para estructurar los informes de seguimiento y evaluación del grado de éxito de estos planes. Creemos que puede ayudar a crear una visión común entre los responsables de negocio y de seguridad y enfocar correctamente los esfuerzos de seguridad.

Riesgos que resultan en la incapacidad del negocio para poder seguir operando con normalidad

La principal consecuencia de las caídas reiteradas de los sistemas es la pérdida de oportunidades de negocio, pérdida de confianza de los clientes y afectación negativa de la reputación de la marca. El caso más extremo, sin embargo, viene derivado de escenarios catastróficos en donde las bases de datos y los sistemas de negocio se pierden por completo. Es necesario que estos escenarios se tengan en cuenta especialmente en la subcontratación con terceros de las aplicaciones y la infraestructura tecnológica del comercio online.

Escenario Comentario
Problemas de disponibilidad de los sistemas informáticos de negocio como consecuencia de una gestión inadecuada de la infraestructura técnica. La inadecuación de los recursos y/o procedimientos empleados en la gestión puede derivar en errores de software o hardware, fallos en las comunicaciones, dificultades para la detección y resolución ágil de problemas técnicos, etc…
Sabotaje de origen interno de  la infraestructura tecnológica o los sistemas  (por parte de empleados o personal subcontratado). Este tipo de escenarios aumenta su probabilidad de ocurrencia cuando confluyen diversas circunstancias: mal clima laboral, limitaciones o inadecuación del proceso de selección de personal o subcontratación de servicios de TI y cuando hay escasa segregación de responsabilidades, dando “todo el poder” sobre la infraestructura a una persona.
Problemas de disponibilidad de los sistemas informáticos de negocio como consecuencia de fallos en los proveedores de comunicaciones o de suministro eléctrico. Dependiendo de la criticidad para nuestro negocio, conviene valorar la redundancia de proveedores para garantizar la disponibilidad del servicio.
Errores en las aplicaciones de comercio electrónico. En el peor de los casos, estos errores de programación impiden la realización de las operaciones de negocio, lo que se traducirá en mala imagen hacia nuestros clientes y pérdidas de ventas.
Errores fortuitos en el hardware o el software de los sistemas. A pesar de una gestión adecuada de la infraestructura técnica y de las aplicaciones de negocio, todo sistema informático está sujeto a fallos. Conviene tener contratado un nivel de soporte con los proveedores adecuado, de tal manera que la respuesta de éstos ante problemas técnicos se ajuste a nuestras necesidades de negocio.
Capacidad de los sistemas de comercio electrónico colapsada como consecuencia de ataques de denegación de servicio. Casi cualquier negocio online puede verse afectado por el sabotaje en la red promovido por los activistas digitales o por simples chantajistas que piden dinero a cambio de no colapsar (y “derribar”) nuestra presencia en Internet. No obstante, abordar una estrategia de prevención de este tipo de ataques puede que sea un requisito sólo para negocios especialmente sensibles (ej: bancos); sin embargo, si nuestra infraestructura y plataforma técnica está subcontratada con terceros, conviene conocer la capacidad de resistencia de las instalaciones de los proveedores a este tipo de contingencias.
Imposibilidad de atender a la demanda de clientes por inadecuada capacidad de los sistemas de comercio electrónico. Se trata de que los responsables de la plataforma técnica evalúen las proyecciones de volumen de negocio a futuro y dimensionen los sistemas de modo que soporten los niveles requeridos.  Se ha dado algún caso de “muerte por éxito”, en el que un inesperado aumento de la demanda no ha podido ser gestionado por limitaciones en la capacidad de los sistemas.
Eventos catastróficos Siempre hay que tener un “plan B” en caso de catástrofe. Aunque la probabilidad de ocurrencia es baja, un incendio o inundación afectando a los centros de proceso de datos pueden acabar con nuestro negocio. Por ello, es imprescindible tener prevista una estrategia para la continuidad del negocio ante estas contingencias.

 Pérdida de confidencialidad de información sensible para el negocio.

Cuando la pérdida de confidencialidad de datos afecta a datos de carácter personal, ésta puede dar lugar a reclamaciones de los afectados y sanciones por parte de las autoridades de protección de datos. En algunos casos, la ley obligará además a las empresas afectadas a notificar estos incidentes a los clientes, con lo cual, además de la sanción económica, se puede ver afectada la imagen de marca.

El peor escenario en términos de negocio es, sin embargo, el robo completo de la base de datos de clientes con la pretensión de venderlo a la competencia o con la intención de crear una nueva empresa y hacer ofertas a esa cartera de clientes.

Por otro lado, si la información que cae en manos no autorizadas es otro tipo información sensible de negocio (planes de negocio, información de nuevos productos, información de fusiones, etc…), esto puede tener como consecuencia la pérdida de oportunidades de negocio o competitividad.

Escenario Comentario
Robo de información sensible del negocio por parte de empleados o personal de empresas subcontratadas. Las bases de datos de clientes, de tarjetas de crédito, los planes de negocio e información de diseño de nuevos productos o servicios son activos valiosos de la organización que pueden ser codiciados por “amigos de lo ajeno”, tanto de origen interno como externo. La protección de los datos de negocio implica el establecimiento de procesos técnicos y organizativos a lo largo de toda  la organización. Los programas de protección de fugas de información y cumplimiento de leyes como la de Protección de datos requerirán de dotación de fondos y recursos para adecuarse a las necesidades de la organización.
Robo de información sensible del negocio como consecuencia de la intrusión en los sistemas de hackers externos a la organización.
Pérdida de confidencialidad de información sensible del negocio como consecuencia de errores en el tratamiento por parte de empleados o personal de empresas subcontratadas y/o procesos de tratamiento inadecuados. Se trata no solo de definir procedimientos que aseguren el tratamiento de la información, sino de concienciar y formar a los empleados para reducir la probabilidad de errores.
Pérdida de confidencialidad de información sensible del negocio como consecuencia de errores en las aplicaciones web del negocio. El objetivo es evitar que errores de programación en las aplicaciones de negocio permitan a un cliente acceder a los datos de otros. Además, las aplicaciones web tienen vulnerabilidades que pueden ser explotadas por hackers externos  y permitirles acceder a datos confidenciales. Por ello conviene establecer metodologías y procesos orientados a desarrollar aplicaciones de negocio seguras y fiables.

 Fraude online.

En la medida en que una empresa de comercio electrónico prospera y dependiendo del tipo de actividad, es de esperar que se habrán de afrontar operaciones fraudulentas y cargos no reconocidos por parte de clientes y usuarios víctimas de fraude online. Si no se toman las medidas adecuadas, el negocio se puede resentir como consecuencia de las pérdidas ocasionadas que habrán de ser abonadas por el comercio.  Además, dependiendo de cómo responda la organización a estos incidentes se puede crear una mala reputación de la marca a partir de las opiniones en foros y medios online de usuarios afectados.

Escenario Comentario
Realización de operaciones fraudulentas realizadas por criminales que suplantan la identidad de clientes o usuarios y/o usan números de tarjeta robados. Principalmente se manifestarán como cargos no reconocidos sobre operaciones fraudulentas realizadas mediante el robo de claves de acceso o números de tarjeta.

 Objetivos de negocio afectados como consecuencia de una mala adopción de la tecnología.

Escenario Comentario
Incapacidad de adaptarse a tiempo a las necesidades de los clientes o usuarios como consecuencia de limitaciones en la tecnología adoptada. Por ejemplo, cuando la plataforma tecnológica sobre la que se desarrollan las aplicaciones no está muy extendida y es difícil encontrar programadores cualificados y/o es difícil tener el nivel de soporte técnico requerido para el mantenimiento, o cuando la complejidad intrínseca de la plataforma dificulta la actualización de los sistemas con la agilidad requerida.
Pérdida de oportunidades de negocio y costes excesivos como consecuencia de retrasos en los proyectos de desarrollo de aplicaciones o por el desarrollo de aplicaciones que no satisfagan las necesidades de clientes y usuarios. Los retrasos en los proyectos suelen producirse en gran medida por una planificación y gestión inadecuada de los mismos, por una dificultad para identificar los requisitos de negocio y un deficiente control de calidad de los sistemas en desarrollo.
Incapacidad de adaptarse a tiempo a las necesidades de los clientes, pérdida de oportunidades de negocio y costes excesivos como consecuencia de haber adoptado una tecnología que resulta rápidamente obsoleta o discontinuada, o por la dependencia con respecto de proveedores de servicios que quedan fuera del negocio. El impacto para el negocio puede ser muy importante si de manera no prevista nos damos cuenta de que tenemos que hacer fuertes inversiones para renovar toda la plataforma técnica, incluyendo el rediseño y/o adaptación de las aplicaciones de negocio y/o trasladando el hospedaje de los sistemas a otro proveedor.

 Fraude Interno.

Escenario Comentario
Realización de operaciones fraudulentas por parte de empleados (o personal subcontratado) desleales que usan los sistemas de negocio en beneficio propio o por parte de empleados que usan para ello las contraseñas de acceso a los sistemas de otros empleados suplantando su identidad. En este sentido, conviene establecer mecanismos de control de acceso a los sistemas y monitorización del uso de los mismos. Además conviene controlar los cambios que se producen en los sistemas para prevenir manipulaciones fraudulentas y formar adecuadamente a los empleados en el uso apropiado de los sistemas.
Manipulación fraudulenta de los sistemas de negocio para realizar operaciones fraudulentas.

Esperemos que este artículo sirva a los responsables de negocio y a los de seguridad para establecer un diálogo productivo, alcanzar un entendimiento común de cuáles son las prioridades de seguridad y desarrollar planes de protección alineados con la estrategia de negocio. Un fuerte abrazo, gracias por la atención y hasta la próxima.

Artículos relacionados

APT: Espionaje económico, versión 2.0

DDoS: Sabotaje en la red

Escenarios de robo de credenciales y fraude online

Ayudas para la elección de una estrategia efectiva de prevención del fraude online

E-commerce y fraude online: guía para emprendedores

Protección de datos y Cloud Computing

Deja un comentario