Los ciclos de vida de la información en una organización implican fases de recabar datos, procesarlos, almacenarlos, transmitirlos, eliminarlos, etc. En todas estas fases hay un punto común que hace que cualquier medida de seguridad pueda fallar: Los usuarios.
En la mayoría de las organizaciones son los empleados los encargados de realizar todas estas labores. Son el engranaje principal para el buen funcionamiento, pero ¿conocen los riesgos en materia de seguridad? ¿Saben cómo actuar? ¿Puede demostrar que lo saben?
Sufrir incidentes en seguridad la información puede implicar sanciones por incumplimiento normativo como protección de datos, sanciones de nuestros clientes, pérdidas económicas y/o reputacionales.
Es habitual que se diga que en la cadena de procesos de seguridad de la información las personas se consideran el eslabón más débil.
Wikipedia nos dice que:
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
A lo largo del tiempo el concepto de seguridad en relación a la informática ha ido mutando. En los inicios de la informática la seguridad era un proceso puramente ingenieril y asociado a los propios productos, a la electrónica. Con desarrollo de la informática se llegó a la seguridad de la información como un concepto más amplio, asociado a la propia información como activo y no tanto al hardware. Actualmente, que la informática se ha convertido en algo ubicuo, nos la encontramos en cualquier sitio y la utilizamos de forma constante, la seguridad de la información debe ser considerada como un proceso de mejora continua, de revisión ininterrumpida, que implica la necesidad de ser consciente de los riesgos a los que estamos expuestos si no quieres convertirte en una nueva víctima de las amenazas de nuestro entorno.
Entre las amenazas más habituales y que cualquiera podemos conocer se encuentran:
- Virus informáticos
- Gusanos, Troyanos, Malware, Adware
- Ransomware
- Rootkit
- Keyloggers
- Ataques Man In The Middle
- Ataques de Denegación de Servicio
Siendo generoso podría decir que la mayoría de nosotros de una u otra forma nos preparamos y tenemos antivirus, actualizamos nuestros sistemas, compartimentamos el acceso a la información, hacemos copias de seguridad, … Todas estas protecciones son imprescindibles, no hay duda.
Sin embargo, en nuestro día a día nos seguimos encontrando con situaciones más asociadas a la ingeniería social, al timo, a la estafa, al engaño.
Nuestros clientes nos informan constantemente de distintas formas de extorsión.
- He accedido a tu base de datos sensibles y si no quieres que los haga públicos págame x Bitcoins.
- He accedido a la cámara de tu ordenador y te he grabado en situaciones delicadas. Tengo la lista de todos tus contactos. Si no quieres que haga públicos los vídeos que he grabado paga Y.
- …
Las estafas de phishing suplantando a nuestra entidad bancaria están a la orden del día, pero también hay otras:
- Recibo un correo en el que han suplantado la identidad del remitente solicitando un cambio de número de cuenta para realizar un pago.
- El gerente de la empresa envía un email a administración solicitando una transferencia urgente.
- Recibo una factura de un cliente en el que el número de cuenta aprobado inicialmente ha cambiado pero el correo de origen es el mismo de siempre y la persona de contacto también.
- Veo un pendrive – que no sé que está infectado- en la puerta de la oficina y algún incauto acabará probándolo en su equipo.
La protección en estos casos puede tener algún componente tecnológico, pero la concienciación en la existencia de las amenazas es esencial.
La protección contra los ataques por ingeniería social podría tener estos pasos:
En todo caso la concienciación en seguridad de la información es un imprescindible en cualquier organización que se preocupe por estas cuestiones y todas deberían preocuparse en mayor o menor medida por estas cuestiones.
La formación a nuestros empleados por medio de la concienciación en materia de Ciberseguridad, de sus riesgos e implicaciones, supone una garantía adicional en la capacidad de demostrar la responsabilidad activa de una organización en la custodia y tratamiento de la información, a la vez que mitiga en buena parte la probabilidad de que los riesgos de seguridad se materialicen.
Los costes de estas actuaciones no son altos y los beneficios pueden ser enormes. No esperes a sufrir el problema y actúa de forma preventiva.
En este sentido Legitec ha puesto en marcha un servicio de ciberseguridad que puede ayudaros en estos aspectos. Si quieres más información no dudes en contactar con nosotros.