INTRODUCCIÓN
La información es un activo valioso para toda organización, que sirve como insumo para lograr niveles competitivos, sin embargo, por el deficiente conocimiento sobre cómo resguardarla, o por la complejidad en la implantación de normas de seguridad, muchas organizaciones, en especial las pequeñas y medianas empresas ponen en jaque la continuidad de sus operaciones (Crespo, 2017); pues las dificultades para proteger su información, según (Díaz-Batista y Blanco-Fernández, 2018) se deben a recursos financieros insuficientes, y la formación básica del personal para desempeñar funciones complejas.
(Donalds y Osei-Bryson, 2018) señalan que los impactos financieros son considerables y están en aumento; el Foro Económico Mundial en el año 2018 dio a conocer que el 65% de las organizaciones australianas fueron víctimas de ataques informáticos, uno de cada diez reportó pérdidas superiores a $ 1 millón, y el 9% informó haber tenido su información confidencial comprometida (Wiley, McCormac y Calic, 2020).
Según el estudio de International Information Systems Security Certification Consortium (ISC2), señala que los frecuentes ataques que atentan contra la información, se deben básicamente a vulnerabilidades de software, malware, personal interno y hackers, los cuales acaparan alrededor del 69% del total de las incidencias de seguridad registradas (Miranda et al., 2016).
(Altamirano y Bayona, 2017) señalan que, en organizaciones de Norteamérica y Europa, el 39% de los empleados sufrieron trasgresiones de seguridad en el 2015, pues estos ataques provenían del interior de la organización, debido a la facilidad de los mismos empleados al conocer las debilidades de los sistemas informáticos y por los privilegios de accesibilidad a datos confidenciales.
Por su lado, (Sabillón y Cano, 2019) sostienen que los ataques informáticos en organizaciones británicas, estadounidenses y alemanas son considerables; el 57% han sufrido al menos uno y el 42% alrededor dos o más ataques en el 2016. De estas organizaciones un 62% recobraban sus funciones en menos de 24 horas; al 26% les tomaba menos de una hora, mientras que algunas entre dos o más días, ocasionando pérdidas económicas y hasta pérdida de información confidencial.
En América Latina, los principales ataques informáticos son dirigidos por malware destinados a robar información y los troyanos dirigidos a la estafa bancaria, pues se considera que el 92 % de las entidades financieras sufrieron un ciberataque en el 2015 (Aguilar-Antonio, 2019).
(Perdigón y Pérez, 2020) indican que los ataques informáticos son la principal amenaza de pérdida de información en entidades bancarias peruanas, pues en un reporte de Kaspersky Lab en el 2018, señala que en Perú la frecuencia de ataques aumentó en un 740%, con alrededor de 22 mil incidentes. Personal poco capacitado es otro de los causales de pérdida de información en organizaciones peruanas; (Fernández y Vargas, 2018) destacan este inconveniente en las comisarías al interior del país, donde los policías desconocen de estrategias para hacer frente a ataques informáticos de manera efectiva y garantizar el resguardo de la información.
En vista de lo anterior, la presente revisión tuvo como objetivo evaluar exhaustivamente los diferentes factores que contribuyen a la pérdida de información en las organizaciones, teniendo en cuenta evidencias empíricas en diversas partes del mundo, con la finalidad de recopilar información relevante, y generar un artículo con base científica que pueda ser de gran ayuda para que cualquier organización, tenga en cuenta y pueda implantar medidas enfocadas a estos factores, para evitar pérdidas económicas considerables o la manipulación de su información confidencial.
METODOLOGÍA
Para lograr el objetivo planteado, y dar respuesta a nuestra pregunta ¿Cuáles son los factores que contribuyen a la pérdida de información en las organizaciones? se realizó una intensa revisión bibliográfica, la cual permitió identificar impactantes acontecimientos sobre pérdida de información y los factores que la originaron.
FASE 1: Búsqueda de documentos
La búsqueda de documentos se realizó bajo el criterio de (Angraini, Alias y Okfalisa, 2019), quienes afirman que, para lograr un buen resultado, se tiene que realizar una revisión explícita e integral de una gran variedad de fuentes.
Bajo estas consideraciones, se seleccionó una base de datos como fuente principal de información, tal como Google Scholar; y para no limitar la búsqueda, el alcance se extendió a ScienceDirect. Para cada base de datos, se acondicionaron cadenas de búsqueda, con la finalidad de obtener precisión en cada consulta. Tabla 1
Respecto a la cadena de búsqueda, se generó mediante la combinación de las palabras claves definidas con la combinación de conectores lógicos “AND” y “OR”. Las palabras claves en base a nuestra pregunta de investigación establecida.
Dentro de los criterios de inclusión estuvieron las publicaciones realizadas entre los años 2016 hasta julio 2020, donde los tipos de documentos a considerar fueron los artículos científicos en el idioma español e inglés y publicados en revistas indexadas a Latindex, Scielo, Ebsco y Scopus.
FASE 2: Lectura y análisis de los documentos
Los documentos utilizados están clasificados como artículos de revistas indexadas a las base de datos mencionadas, los cuales fueron importados a la plataforma de Mendeley Desktop, obteniéndose información relevante, tales como: título, autor(es), nombre de la revista científica, año de publicación, volumen, número de páginas; para luego ser leídos, y subrayados las partes importantes realizando la técnica de paráfrasis para entender mejor, con lo cual se dio respuesta a la pregunta de 1a presente revisión.
DESARROLLO DE LA REVISIÓN
Los resultados del desarrollo se organizaron en orden relacionado a los factores identificados durante la revisión, sin que necesariamente tenga relación con su ponderación.
El manejo de la información es determinante tanto para la excelencia como para la competitividad en las organizaciones, ya que su valor es fuente de conocimiento para la conducción y la toma de decisiones (Rodríguez, Mho y Ramírez, 2017).
(Szczepaniuk et al., 2020) afirman que, en toda organización, la información se encuentra en diversos formatos, no es estática, sino que se encuentra adosada a procedimientos que van sufriendo cambios, y fluye mediante medios físicos como electrónicos, para ambos medios existe posibilidad de que la información sea violentada en cualquier momento.
En los últimos 20 años, la proliferación de tecnologías de información ha brindado a personas y organizaciones nuevas oportunidades, tales como recopilar, almacenar y administrar información de manera eficiente, pero al mismo tiempo estos entornos tienen nuevos desafíos de seguridad; por lo cual merece ser gestionada de manera eficiente (Bongiovanni, 2019).
Para (Castellanos, Rodríguez y Martínez, 2017), el objetivo de la gestión de la información es ayudar a que las organizaciones puedan acceder y usar la información de manera adecuada; sin embargo, a pesar de mantener establecidos procesos de gestión de la información y niveles de seguridad, han surgido una serie de riesgos en contra de la integridad de la información; por lo que se hace imprescindible identificar qué factores causan estos inconvenientes.
Factores que contribuyen a la pérdida de información
Recursos humanos. La información al ser considerada como activo preciado, merece ser tratada de manera cuidadosa, ya que presenta posibilidades a ser atacada por el personal trabajador en cualquier momento (Martelo, Tovar y Maza, 2018); lo peor es que, según (Meraz, 2018) los gerentes en ciertas oportunidades ignoran el uso inadecuado que se le da a la información, a esto se suma la independencia de cada trabajador en determinar el grado de privacidad. Es así, que el factor humano tiene un papel trascendental en cuanto al resguardo de información, ya que las personas son consideradas como el eslabón más débil dentro de una organización, pues causan graves pérdidas económicas y el robo de información (Altamirano y Bayona, 2017).
Empleados. (Amaro y Rodríguez, 2016) mencionan que en los años 60 se dieron los primeros ataques informáticos, donde empleados deshonestos o descontentos provocaron graves daños desde su propio lugar. IBM en su informe Índice de Inteligencia de Seguridad Cibernética en el año 2016, afirmó que el 60% de los ataques informáticos tienen un origen interno, considerando a los empleados descontentos como la principal causa, a fin de conseguir información para uso personal o simplemente desprestigiar a la organización (Schouteren, 2019).
Ex empleados. Los ataques que suceden en las organizaciones, muchas veces son causados por ex empleados disgustados, ya que cuentan con la capacidad de ingresar a los sistemas informáticos, debido a los accesos privilegiados con los que cuentan, con el objetivo de violentar la seguridad y realizar acciones indebidas, poniendo en jaque la continuidad de la organización (Sohrabi et al., 2018).
Personas ajenas a la organización. Muchos delitos informáticos son cometidos por personas desconocidas que no tienen ninguna relación con la organización, que se encargan de explotar vulnerabilidades y logar acceder a un sistema informático (Lux, 2018), entre ellos están los hackers, lo cual (Roque y Juárez, 2018) definen como personas con alto nivel de conocimientos técnicos, que gracias al apoyo de una computadora logran ingresar a un equipo o red.
Presupuesto. (Zuña et al., 2019) indican que uno de los puntos débiles de las organizaciones es el bajo presupuesto que destinan a la seguridad de la información, pues algunas creen que es un gasto innecesario; ya que las organizaciones con limitado presupuesto, ponen en riesgo la información y tienden a tener considerables pérdidas económicas. Con restricciones presupuestales, las pequeñas y medianas empresas se encuentran en una desventaja significativa para hacer frente a ataques informáticos de forma efectiva, porque los costos que implica implantar medidas de seguridad superan sus posibilidades financieras (Benz y Chatterjee, 2020).
Conocimiento. El escaso conocimiento por parte del personal en una organización respeto a temas de seguridad, permiten mantener insuficientes controles y mecanismos de protección, para hacer frente a actividades maliciosas de manera efectiva (Castillejos, Torres y Lagunes, 2016), por lo que (Torres et al., 2017) enfatizan la importancia de la capacitación y sensibilización de los trabajadores en lo referente a seguridad, ya que esto incide en la calidad del servicio. En Ecuador, gran parte de organizaciones fueron víctimas de fraude, sabotaje y robo de información, debido al desconocimiento respecto a la manipulación, transmisión y resguardo de la información por parte del personal (Proaño y Gavilanes, 2018).
Desastres naturales. (Agwu, Labib y Hadleigh-Dunn, 2019) describió la inevitabilidad de los desastres en las organizaciones, lo cual provocan que las instalaciones y los servicios se vieran afectados; por consiguiente tienen pérdidas económicas y de información, además, señalan que la complejidad de las tecnologías y los procesos bien definidos, han evitado constantemente fallas catastróficas. (Sahi, Lai y Li, 2016) mencionan que entre los desastres naturales que atentan contra la información están los incendios, terremotos, inundaciones, huracanes y erupciones volcánicas.
Agentes maliciosos. Los agentes maliciosos dados por malware como virus, gusanos, troyanos y ransomware, que se encargan de acceder a los sistemas de información e interrumpir operaciones, con la intención de modificar su comportamiento original, realizando actividades como robo, alteración o destrucción de la información (Bander, Maarof y Syed, 2018). (Qamar, Karim y Chang, 2019) consideran que las amenazas de malware van dirigidos a dispositivos de red que ocasionan actividades dañinas, ataques de ingeniería social y causar el robo de información confidencial y en ciertos casos pérdidas económicas; por lo que obliga a las organizaciones a mejorar los niveles de seguridad (Gibert, Mateu y Planes, 2020).
En su mayoría la bibliografía consultada refiere que el factor recurso humano es el de mayor importancia, debido a que son quienes gestionan la infraestructura de tecnología que da soporte al almacenamiento de la información y contrariamente a lo que se piensa, las empresas suelen contratar a personas cuyas competencias son insuficientes para el trabajo de gestión de la seguridad a realizar. Así mismo, mencionan que buscar solución a este problema es difícil porque no solo se trata de contratar al personal más calificado, sino que además se necesita de tiempo de entrenamiento para acoplarse al equipo de trabajo y la tecnología utilizada.
Consideramos que los factores identificados, deben ser evaluados por la oficina de tecnologías de información de las organizaciones, a fin de tomar las medidas necesarias para evitar que el impacto y la prevalencia del acontecimiento no necesiten de soluciones difíciles de implantar.
Para la asignación de los niveles de impacto de cada factor, se tuvo como base los criterios de información de COBIT (Carvajal, Cardona y Valencia, 2019) y de la información recolectada, lo que nos permitió categorizar problemas y riesgos, y el resultado de los mismos dio lugar a identificar el nivel de impacto de cada factor en las diferentes áreas de las organizaciones, tal como a continuación de detalla:Tabla 2
Así mismo, teniendo en cuenta el trabajo de (Carvajal, Cardona y Valencia, 2019) en cuanto a la medición de frecuencia de COBIT y la revisión de información, determinamos la prevalencia de cada factor en las organizaciones. A continuación de describe en la Tabla 3.
Es por ello, que producto de la revisión y de los factores causantes de pérdidas de información identificados, se ha considerado definir el impacto que causarían dentro de las organizaciones, en un nivel que va desde alto a medio, así como la frecuencia y la solución requerida para cada factor, tal como a continuación se detalla en la Tabla 4.
A fin de realizar una evaluación sistemática, se ha elaborado la Tabla 4, en la que hacemos una estimación de los factores que se ven influenciados producto de un mal manejo de la seguridad de la información. En ese sentido, los recursos humanos es uno de los factores determinantes en la pérdida de información, que causan un alto impacto dentro de las organizaciones; considerando que las personas son una amenaza directa para la información (Kim, 2018); además, implantar soluciones desde el factor presupuesto es difícil, puesto que requiere de la asignación de dinero, que para los altos ejecutivos no es más que gastos innecesarios; a esto se suma la prevalencia frecuente del factor conocimiento por parte de los trabajadores, ya que según (Roba, Vento y García, 2016) la coyuntura actual de las organizaciones implica contratar personal con bajo conocimiento en seguridad; en tanto, otros de los factores que muestran un alto impacto son los desastres naturales y agentes maliciosos, dada la complejidad y magnitud de ocurrencia.
El Foro Económico Mundial (FEM) en el 2019, consideró que los ataques informáticos son amenazas críticas para las organizaciones y su economía, pues solo las pequeñas empresas son el objetivo de 65,000 ataques al día, con un costo promedio de 25,700 euros por año, es así que cada organización con acceso a internet debe entender que será víctima en algún momento (Nicholson, 2019).
En línea con la Tabla 4, (Porras, Pastor y Alvarado, 2018) señalan que un 41% de las PYMES peruanas poseen probabilidades mínimas para la detección de ataques informáticos complejos, pues los principales motivos son en un 100% limitaciones presupuestarias, y un 89% debido a la falta de recursos especializados entre personas y tecnología.
Por lo tanto, garantizar niveles óptimos de seguridad de la información en las organizaciones depende de la implantación de un conjunto de medidas administrativas, operativas y técnicas, con un enfoque interdisciplinario (Aguilera, Pérez y Rivero, 2017); es decir, soluciones orientadas a los factores identificados, de forma que se garantice la confidencialidad, integridad y disponibilidad de la información.
Según (Peña y Anías, 2019), la definición de políticas de seguridad de la información en las organizaciones con un enfoque interdisciplinario entre personas y tecnología, trae mejoras considerables en el proceso del negocio, reduciendo costos y garantizando un adecuado resguardo de la información.
CONCLUSIONES
Con el desarrollo de la revisión, se ha demostrado una deficiente gestión de la información, debido a la poca atención en el fortalecimiento de medidas preventivas para garantizar un adecuado resguardo de la misma, poniendo en evidencia factores que contribuyen a la pérdida de información en las organizaciones.
Pues estos factores repercuten gravemente en la inoperatividad de los procesos operativos, administrativos y técnicos de las organizaciones, los cuales traen consigo altas pérdidas económicas, que puede generar una crisis en la organización, y la manipulación de información, pues se estaría violando el activo más importante, afectando la imagen y estabilidad de la organización.
Por lo tanto, lograr entender los factores que contribuyen a la pérdida de información, es llegar a implantar medidas y/o controles de seguridad desde una perspectiva interdisciplinaria, es decir, generar soluciones enfocadas en las personas y los recursos tecnológicos con los que cuenta la organización, a fin de garantizar un adecuado resguardo de la información.