Excepto en bancos y telcos, la seguridad informática local está en una faz incipiente sin percibir las amenazas: sector público y privado atienden los riesgos de modo reactivo. Frente a la proyectada modificación de la Ley de Sociedades Comerciales, es preocupante la falta de previsiones.
La importancia de la información procesada exige un desarrollo que proteja de forma holística las vulnerabilidades de cada elemento del sistema. A medida que avanza el desarrollo tecnológico, crece el riesgo digital, por lo que hay que insistir sobre la vigencia efímera de las barreras.
La consigna es blindar el universo operativo, cumpliendo la Ley 19.550 y sabiendo que la seguridad absoluta no existe sino la mayor seguridad posible sujeta a la robustez, eficacia operativa y actualización del escudo construido. Para ello, se requiere un enfoque integral, que comprenda -acatando las normas ISO/IEC 20000/27000/27002/27799 y 90003- el escrutinio de las configuraciones de infraestructura, accesos, formatos y funcionalidades del hardware, software, redes, comunicaciones, Internet, registros, criptografía, firma electrónica-digital, códigos de dos dimensiones como QR, el PDF417, el Data Matrix, archivos y su recuperación, backups, producción, destinos y validación auditada de la información, vulnerabilidades, planes de contingencia, diseño de simulacros, manuales operativos y de auditoría, de seguridad y de ética.
Este arsenal reposa en la idoneidad de los profesionales en ciencias económicas, entre cuyas incumbencias está la de resguardar el patrimonio tangible e intangible, junto con el aporte de disciplinas cercanas.
Además, se necesita un manual comprensivo de los recaudos auditables, validados y certificados por el profesional del Consejo de Ciencias Económicas. Un rutinario testeo operativo y el monitoreo en tiempo real de anomalías debe ser parte de ese manual.
Las Normas Internacionales de Auditoría y Pronunciamientos sobre Ética de la Federación Internacional de Contadores Públicos y la bancarización total es imprescindible para la transparencia, eficiencia y economía de la gestión.
La auditoría de vulnerabilidades, para cumplir con los estándares ISO, debe incluir programas de protección y administración de la información; políticas y prácticas sobre los recursos humanos; seguridad física; controles en los procesos de negocios; backups; controles a los usuarios finales; controles de seguridad en Internet y en la nube; seguridad en las telecomunicaciones y en los accesos al contexto informático; controles en los procesos de comercio electrónico; controles de seguridad en operaciones telefónicas móviles e inalámbricas y de detección de filtraciones y baches permisivos de invasión en la implementación de aplicativos; instrucciones para la respuesta profesional a incidentes y la sustanciación pericial y forense. La actividad de los hackers y la irrupción constante de troyanos de compleja erradicación (extendidos ahora a la telefonía celular), estimulan protegerse. Hay software para desarrollar estos controles, siendo inexcusable verificar si ellos responden al enfoque de las normas internacionales.
Los legisladores deben tener en cuenta estos retos. Ignorarlos incrementará las artimañas, complicando la confiabilidad de las pruebas, la labor de los peritos, las expectativas de los litigantes y el procedimiento examinador de la sentencia judicial, convirtiendo a la propuesta en ilusoria y fuente de más problemas.