Saltar al contenido

Los CPA de seguridad cibernética de las cadenas de bloqueo deben saber

Si bien muchos CPA pueden haber sido introducidos a la cadena de bloqueo a través de bitcoin y otras cripturas, la conversación profesional relacionada con la cadena de bloqueo está evolucionando.

Tras la caída precipitada de los precios de la cripto moneda durante 2018, la conversación profesional en torno a blockchain ha pasado de centrarse en la volatilidad de los precios a otra centrada en las aplicaciones empresariales que blockchain puede mejorar.

Sin embargo, como ocurre con cualquier tecnología nueva, especialmente una tan potencialmente perturbadora como la cadena de bloques, es necesario incluir en el análisis consideraciones adicionales, como el impacto que la cadena de bloques tendrá en los controles y otros problemas de gestión de datos. La seguridad cibernética es otro tema candente, que es anterior a la conversación sobre la cadena de bloques, pero que también es muy discutido y al que se refieren prácticamente todas las juntas directivas y los directores financieros debido al riesgo que una infracción o piratería informática puede suponer para las operaciones y los resultados financieros de la organización.

Los CPA de seguridad cibernética de las cadenas de bloqueo deben saber
Los CPA de seguridad cibernética de las cadenas de bloqueo deben saber

La cadena de bloques, debido a su naturaleza resistente a las manipulaciones y a la codificación, se ha presentado como una posible solución para almacenar y comunicar datos entre las contrapartes de forma continua. Este es un tema parcialmente estratégico y de gran alcance, por lo que vamos a echar un vistazo a algunos detalles para que los CPA y otros profesionales lo entiendan:

Elementos a considerar

Aunque la base subyacente de la cadena de bloqueo es el aumento de la seguridad de la información almacenada en ella, no se elimina el riesgo de que se produzcan violaciones de la seguridad cibernética o pirateos. Para desarrollar o implementar cualquier tipo de plataforma de cadena de bloqueo, deben existir tres elementos básicos:

  1. Personas
  2. Hardware
  3. Software

Sin embargo, estos componentes siempre conllevan un riesgo de errores, fallos u omisiones deliberadas que pueden generar problemas tanto para el sistema como para los datos almacenados en él. Además, incluso si se supone que los procesos subyacentes son sólidos y están bien documentados, un beneficio importante de las plataformas de cadenas de bloques es el intercambio de datos y la comunicación de información.

Dependiendo de la plataforma de cadena de bloques específica que se utilice, desde la pública (como Bitcoin), hasta la privada (como las financiadas por organizaciones individuales), o un modelo basado en un consorcio (piense en una empresa conjunta), las consideraciones de control y seguridad variarán. Dicho esto, es imprescindible asegurarse de que los miembros de la red utilicen normas coherentes de privacidad y protección.

Los profesionales de la contabilidad a menudo manejan información sensible y tienen acceso a una amplia gama de datos de los clientes, por lo que una conversación sobre seguridad cibernética no es tan abstracta como podría parecer en un principio. Si bien es posible que las preocupaciones y los reglamentos en materia de seguridad cibernética no hayan caído dentro de la tradicional rutina de los profesionales de la contabilidad, es difícil exagerar la importancia de la seguridad y la integridad de los datos.

Un breve repaso de los titulares de los negocios ilustra cuán perjudicial puede ser un pirateo, una violación o la pérdida de control sobre los datos de la organización, tanto desde el punto de vista financiero como operacional. Perforando específicamente el espacio de la cadena de bloques y la criptografía, la saga que se desarrolla en Quadriga es un ejemplo de cómo la falta de procedimientos de control puede paralizar una organización.

El intercambio de información, incluso de manera codificada, puede violar no sólo las leyes aplicables a ciertas industrias (HIPPA, por ejemplo), sino que también puede tomar a algunos clientes por sorpresa. Un aspecto importante de la seguridad cibernética es si la organización mantiene o no relaciones apropiadas con asociados externos, que incluyen tanto a los clientes como a los reguladores.

El Reglamento General de Protección de Datos GDPR, la legislación de privacidad de datos de California y otras leyes integrales de privacidad de datos de todo el mundo son sólo el comienzo del debate relacionado con la forma en que ciertas clases de información de identificación personal deben ser reguladas, notificadas y tratadas dentro de una organización. Los datos han sido llamados el petróleo del siglo XXI y los interesados esperan que las organizaciones sean administradores responsables y eficaces de esta información.

Se trata de puntos interesantes desde el punto de vista conceptual, pero también tienen consecuencias directas para los profesionales de la contabilidad. La seguridad de los datos, el control del flujo de información y el establecimiento de controles y procesos adecuados son consideraciones que deben formar parte de una conversación que tenga lugar a nivel profesional.

¿Qué debería hacer a continuación?

La seguridad cibernética y la cadena de bloqueo son temas que, con razón, han atraído una atención considerable en la profesión contable, pero también es importante comprender qué medidas pueden adoptarse ahora para poner en práctica esas políticas.

Tanto la cadena de bloqueo como la ciberseguridad son temas candentes y ambos representan cuestiones de gran importancia para la profesión, pero las implicaciones de la seguridad cibernética relacionadas con la cadena de bloqueo y otras tecnologías emergentes son quizás más tangibles desde una perspectiva empresarial. Es posible que las opciones basadas en cadenas en bloque y en bloque de información hayan atraído la mayor parte de la atención, pero las políticas y sugerencias en materia de seguridad cibernética no tienen por qué ser complicadas ni costosas.

Las medidas y consideraciones que pueden analizarse hoy en día incluyen, entre otras, las siguientes:

  1. Si usted o una organización cliente está considerando implementar una solución basada en una cadena de bloqueo o en una cadena de bloqueo en ciertos aspectos de su negocio, es imperativo que el acceso a la programación subyacente sea documentado y controlado. Si se contratara a un consultor externo para diseñar un nuevo proceso de facturación, se restringiría el acceso a ellos; este mismo concepto debería aplicarse a los programadores y desarrolladores que elaboran productos y servicios en cadena de bloques. En este sentido, la ciberseguridad y otras políticas de control interno en torno a blockchain no son tan diferentes de los controles existentes en torno a los proyectos informáticos.
  2. En el caso de los clientes que han invertido o piensan invertir en criptodivisas u otros criptoactivos, haga todo lo posible para asegurarse de que se les enseñe cómo mantener la custodia de esas inversiones. Un ejemplo de ello podría ser la elaboración de una hoja informativa o un documento de preguntas frecuentes en el que se expliquen las diferencias entre los distintos tipos de criptodivisas, así como los distintos métodos de almacenamiento de esos activos (carteras calientes frente a carteras frías, etc.). Sin embargo, después de crear estos documentos, es importante actualizarlos a medida que el ecosistema de la cadena de bloques continúa desarrollándose y creciendo a un ritmo acelerado.
  3. Asegúrate de que los controles estén actualizados. Los controles internos pueden no ser el aspecto más interesante de la conversación contable, pero con la implementación de la cadena de bloqueo a través de diferentes líneas y sectores de la industria es imperativo que las políticas de CI se modernicen, revisen y – lo más importante – se utilicen realmente para salvaguardar la información. Por ejemplo, en el caso de una cadena de bloqueo privada (gestionada por la empresa organizadora), ¿cuál es el proceso para conceder a las personas y organizaciones acceso a la información almacenada en ella? Suponiendo que este proceso esté normalizado, ¿cómo se actualiza la política para reflejar los cambios en el panorama empresarial? Esto es algo que debe examinarse tanto a nivel interno como en las organizaciones clientes.

Conclusión

La ciberseguridad es tanto un riesgo como una oportunidad. Puede ser tentador considerar la seguridad cibernética como una esfera más del costo y la reglamentación de la que deben ser conscientes los profesionales, pero esa es una visión incompleta.

Los profesionales de la contabilidad no son los únicos que se ven afectados por la creciente importancia de la información de las organizaciones; tanto los clientes actuales como los futuros clientes potenciales buscan orientación y asesoramiento. Los profesionales proactivos, conscientes de la importancia de los datos para el éxito de las organizaciones, deben aprovechar las oportunidades que se presentan en el ámbito de la seguridad cibernética.

Artículos relacionados

Cadena de bloques: ¿Realidad o ficción?

Lo que preocupa a la seguridad de las pequeñas y medianas empresas