Con este relevante tema se busca generar consciencia en el sector de las Franquicias, donde cada día gana más terreno el mundo digital sobre otras tendencias anteriores; desde las plataformas de capacitación y entrenamiento (e-learning), pasando por sistemas de comunicación para ofrecer asistencia técnica de manera remota, hasta la transmisión de know how en creativos e innovadores “manuales digitales”.
Según el Reporte de Ciber-seguridad 2020 del BID, un tercio de los países en América Latina no cuenta con un marco legal sobre delitos informáticos y México es parte de ellos.
Así mismo, las PyMES son el principal blanco de los ciberataques en México, siendo este sector el que en su mayoría opera y está al frente de las diversas franquicias instaladas en nuestro país; sumado a lo anterior, encontramos que los mayores riesgos en materia de ciber-seguridad son la pérdida de datos y la filtración de información, situación que sería catastrófica para cualquier franquicia que basa mucho de su éxito en los secretos industriales que celosamente protege año tras año. De esto se desprende la relevancia que hoy cobra un tema que apenas hace unos años parecería extraído de la ciencia ficción y que hoy es una realidad.
Con el desarrollo de las tecnologías de la Información y Comunicación (TICs), así como su crecimiento y fortalecimiento como consecuencia del uso de estas tecnologías a nivel mundial por el confinaiemto sufrido por la COVID-19 en 2020 y 2021, la ciberseguridad se convirtió en un tema de alta relevancia y por supuesto nuestro país no fue la excepción; más cuando no se cuenta con un marco regulatorio que permita actuar en defensa de los derechos que el uso de estas TICs conlleva.
Así como México fue un gran protagonista del uso de este tipo de tecnologías, uno de los sectores con más injerencia en la práctica de estas fue el de las franquicias, que no solo implementa TICs en las comunicaciones, sino que además se ha destapado en beneficio del sector su uso para ofrecer capacitaciones y entrenamientos, brindar asistencia técnica, gestionar pagos y, desde luego, la evolución de utilizar plataformas digitales para las transmisión de know how, que anteriormente solo se hacía con manuales físicos. Hablar de innovación o de desarrollo económico e incluso de bienestar social es hablar de un tema tan crucial como la ciber- seguridad, pues a diferencia de años anteriores, hoy una base de datos —por citar un ejemplo— vale muchísimo para su poseedor, considerando incluso que los datos hoy son el petróleo de la actualidad.
Entremos en materia y hagamos un análisis de lo que debemos de considerar para hacer una correcta estrategia de proteción y una debida gestión de seguridad de la información. El primer punto que analizaremos será la interacción humano-computadora que se da con el uso de plataformas de capacitación, enseñanza a distancia y aprendizaje mixto. Dentro de los principales problemas con los que se puede enfrentar una plataforma de enseñanza se encuentran los siguientes:
- Ataques deliberados de software (virus, bugs, entre otros)
- Fallos técnicos del software (errores, problemas de codificación, lagunas desconocidas)
- Error o fallo humano (accidentes, errores de los empleados)
- Actuaciones deliberadas de espionaje o intrusión (acceso no autorizado y/o recopilación de datos)
- Actos deliberados de sabotaje o vandalismo (destrucción de información o sistema)
- Fallos o errores técnicos del hardware (fallo del equipo)
- Actos de robo deliberados (confiscación ilegal de equipos o información)
- Violación de propiedad intelectual (piratería, derechos de autor, infracción)
- Actos deliberados de extorsión de información (chantaje para divulgación de información).
Aunque pudiera parecer incluso ficción, estos son problemas a los que ya se enfrenta una empresa que utiliza la mínima tecnologia de comunicación y almacenamiento de datos, ya que hoy en día recopilamos en nuestro negocio datos personales por cuestiones de pago y facturación, marketing y publicidad, seguimiento y servicio al cliente, registro de consumo, o simplemnte por la visita de una persona a nuestro establecimiento o sitio web.
Hemos encontrado durante nuestra práctica que en las empresas no hay medidas de ciberseguridad, protocolos de confidencialidad, e incluso sus documentos más básicos de recabación de datos personales internos como serían una solicitud de empleo, un contrato de trabajo, fichas técnicas de sus trabajadores, entre otros, no han sido revisados desde esta óptica, ya que existe un total desconocimiento del tema, lo cual pone en grave riesgo a la empresa.
De acuerdo con ISO27000, se define como información todo conjunto de datos —escritos, gráficos, hablados, impresos, almacenados electrónicamente o en físico, proyectados o enviados por correo— que se encuentren organizados y en poder de una entidad. Para entender el alcance de protección que debemos de dar sobre dicha información, se tendrán que considerar los siguientes tratamientos:
- Confidencialidad- la información solo es accesible para personal, entidades o procesos previamente autorizados.
- Integridad- consiste en saber con exactitud los usos que se le están dando a la información.
- Disponibilidad- acceso y aprovechamiento de la información previamente autorizada.
Resulta muy importante capacitar a nuestros colaboradores que tengan acceso a dicha información para que consideren en todo momento la debida gestión de seguridad. Para ello es necesario que tanto proveedores internos, externos y clientes jueguen un papel activo dentro del proceso, ya que todos forman parte del modelo de gestión. El objetivo principal del SGSI es implementar controles de seguridad basados en una evaluación de riesgos y en una medición de su eficacia enfocada a los objetivos de negocio. Es claro que los ataques informáticos a empresas y usuarios son cada vez más habituales, y las franquicias son un punto vulnerable de este tipo de ataques, por lo que el tener un plan o estrategia de ciberseguridad, así como un programa de protección civil, es vital. Los factores que detonaron desde 2020 que este tema se haya hecho tan relevante, pueden ser estos tres:
- El incremento de trabajo en casa o home office, dando pie a que servidores de terceros ingresen a los de la empresa.
- El incontenible uso de dispositivos y aparatos electrónicos, principalmente los que tienen acceso a una red.
- El incremento del uso de Internet para la adquisición de pro- ductos y servicios.
MEDIDAS DE PREVENCIÓN
En este sentido, podríamos destacar 5 consejos que una empresa franquiciante, así como sus franquiciatarios, deberían de aplicar para reducir el riesgo de ciberataques:
- Las contraseñas: Uno de los principales problemas que enfrentamos tanto personas como empresas radica en la gestión correcta de contraseñas. Se debe seguir al menos ciertas reglas al establecer contraseñas, como tener una complejidad mínima, combinando letras (minúsculas y mayusculas), números, símbolos y signos, así como rotar estas frecuentemente. Además, los usuarios de las empresas deberían tener un acceso restringido, es decir, poder visualizar lo exclusivamente necesario con la posibilidad de acceder a más contenidos siempre de manera vigilada.
- Ir más allá del antivirus: Existen muchos ciber-ataques que no son detectados por un antivirus, por eso hay que buscar otras herramientas digitales que bloqueen posibles ataques que pueda sufrir nuestra empresa.
- Accesos y privilegios controlados: Cualquier empresa con empleados que tienen acceso a su información más privilegiada y a la de sus clientes y demás empleados tendría que desarrollar una política de privilegios, pues resulta absurdo que todas las personas que colaboren con la empresa tengan el mismo acceso.
- Estrategias evolutivas y de largo plazo: Se deberá de trazar un plan que garantice el control de la seguridad de forma integrada y a largo plazo, teniendo en cuenta la longevidad de nuestra tecnología, y sobre todo estar en constante actualización de nuestros sistemas y medios de seguridad.
- Cultura de seguridad: No existe un medio más eficaz para conservar nuestras estrategias que la educación de nuestra gente, es decir, que para que todas estas acciones sean efectivas debemos empezar por lo más básico que se resume en la cultura de seguridad; si nuestro personal está capacitado y consciente de los riesgos de un sistema vulnerable, podremos minimizar el peligro de fuga de información y ataques internos y externos.
Manuel García Torres-Trueba
Managing Partner M IP & Innovation