La ciberseguridad empieza por saber dónde están sus llaves

Una empresa de servicios detectó un acceso inusual a su plataforma comercial. El incidente se contuvo con rapidez, pero nadie podía explicar con precisión quién tenía acceso a cada sistema, ni qué otras plataformas quedarían expuestas si una cuenta crítica era comprometida.

La organización contaba con antivirus, respaldos y proveedores tecnológicos. También acumulaba usuarios creados durante años, permisos que ya no correspondían a las funciones actuales y conexiones entre sistemas que nadie había revisado como parte de un conjunto.

La brecha comenzó cuando la empresa dejó de tener control sobre lo que debía proteger.

El riesgo crece con cada nueva conexión

Cada plataforma, proveedor, dispositivo o automatización amplía la superficie desde la que puede accederse a la operación. Lo mismo ocurre cuando una persona cambia de función, deja la empresa o empieza a utilizar herramientas de inteligencia artificial con información interna.

Mientras todo funciona, estas decisiones parecen menores. El problema aparece cuando los accesos se acumulan, los respaldos nunca se prueban y la continuidad depende de quien recuerda cómo está conectado cada sistema.

En Perú, la Ley de Protección de Datos Personales exige medidas técnicas, organizativas y legales que eviten la alteración, pérdida, tratamiento o acceso no autorizado a los datos. También establece que la confidencialidad debe mantenerse incluso después de concluida la relación con quienes participaron en su tratamiento.[1]

La Ley de Delitos Informáticos, por su parte, sanciona el acceso ilícito y los atentados contra la integridad de los datos y sistemas informáticos.[2]

El cumplimiento, por tanto, requiere algo más que disponer de herramientas de seguridad. Exige demostrar que la organización mantiene control sobre los datos, los accesos y las responsabilidades asociadas.

Recuperar el control de lo sensible

La intervención comenzó identificando qué información, procesos y sistemas podían comprometer la continuidad, la relación con los clientes o la capacidad de tomar decisiones. Esa lectura permitió distinguir lo crítico de aquello que podía recuperarse con menor impacto.

Luego se revisaron accesos, conexiones, respaldos y dependencias. Se eliminaron permisos innecesarios, se separaron entornos que no debían compartir la misma exposición y se definieron responsables para autorizar accesos, revisar alertas y actuar ante una incidencia.

La misma lógica se aplicó a la inteligencia artificial. Antes de incorporar agentes o automatizaciones, se estableció qué datos podían utilizar, qué acciones estaban autorizados a ejecutar y dónde debía intervenir una persona. Así se evitó que una nueva capacidad operativa abriera accesos que la organización aún no estaba preparada para controlar.

La capacidad que permanece

Las amenazas cambiarán y las soluciones de seguridad también. Lo que permanece es la capacidad de reconocer qué es sensible, limitar quién puede acceder y recuperar la operación cuando algo falla.

La empresa del ejemplo fortaleció su infraestructura, pero el cambio más importante fue organizacional ya que dejó de depender de supuestos sobre quién tenía acceso y cómo responder. La dirección obtuvo visibilidad sobre los puntos críticos y los equipos supieron qué hacer sin esperar a que apareciera la persona que conocía todos los detalles.

La ciberseguridad se vuelve sostenible cuando acompaña cada cambio de la empresa. Si hoy ocurriera una brecha, ¿su organización podría identificar con rapidez qué fue afectado, quién tuvo acceso y cómo continuar operando? La respuesta indica cuánto control conserva realmente sobre aquello que no puede permitirse perder.

Referencias normativas

[1] La Ley N.° 29733 establece el principio de seguridad y exige medidas técnicas, organizativas y legales para proteger los datos personales; también regula la seguridad del tratamiento y la obligación de confidencialidad.

[2] La Ley N.° 30096 tipifica, entre otras conductas, el acceso ilícito a sistemas informáticos y los atentados contra la integridad de los datos.