Integrar la seguridad de la información a la estrategia de gestión de riesgos de la empresa incorporando la perspectiva de la continuidad del negocio.
Los reportes de ciberseguridad confeccionados por organizaciones como Agesic (1) constatan que los incidentes de ciberseguridad están en aumento. Advierten que no están registrados todos los eventos que suceden, pues muchas organizaciones padecen ataques de ciberseguridad, pero lo desconocen.
El cibercrimen.
Todo lo que está en internet o es accesible a través de internet está siendo atacado en forma constante y por ende debe protegerse en la misma forma. Si bien la tecnología y la digitalización ofrecen un sin fin de oportunidades, plantean también un sin fin de amenazas.
El cibercrimen constituye un negocio millonario sostenido por organizaciones criminales que contratan profesionales que se dedican a vulnerar dispositivos y derribar las barreras de ciberseguridad de personas, gobiernos y organizaciones para obtener un beneficio económico mediante extorsión, para controlar o manipular acontecimientos, para impedir el funcionamiento de empresas u organizaciones, o para alimentar su ego dejando expuestas a grandes corporaciones.
Tecnología, procesos, personas.
Las organizaciones deben tener una robusta infraestructura de IT, protocolos y procesos rigurosos para crear un entorno seguro en materia de seguridad de la información, así como también con profesionales especializados en ciberseguridad. Pero aún bajo el supuesto de que estén cubiertas las condiciones anteriores, alcanza con que funcione un simple phishing y un usuario abra un correo electrónico o un documento que no debió abrir para que los sistemas se vean afectados.
El hecho de que la seguridad de la información requiera del apoyo de la alta dirección, de inversión y que deba considerarse un tema estratégico para la organización, no lo hace asunto exclusivo ni de IT ni de la alta dirección: es responsabilidad de toda la organización.
La capacitación de las personas es un factor crítico: todas deben conocer los riesgos y dominar los protocolos y procesos de actuación definidos para prevenir y responder adecuadamente ante incidentes de seguridad. Estos, pueden darse a pesar de tener cubiertos los aspectos tecnológicos si las personas no toman conciencia de las amenazas circundantes ni del costo económico y reputacional que podría devenir a partir de una falla de seguridad.
Proteger la información: canales y dispositivos.
Proteger la información implica proteger todos los canales y dispositivos mediante los cuales ella circula: correspondencia, expedientes, fotos, videos, servidores, dispositivos móviles, documentos impresos, bases de datos, personas, tercerizados con los que se comparte información o tienen acceso a los sistemas, etc. En todos los entornos en que circulan datos está presente la amenaza de pérdida, robo, alteración o filtración.
Las personas deben conocer las condiciones y límites de uso tanto de los dispositivos y canales de la organización como de los dispositivos propios. Se requieren políticas explícitas respecto a qué dispositivos externos a la organización pueden utilizarse y las condiciones en que su uso se permite. Los dispositivos que entren en desuso sean papeles, pendrives o laptops, deben vaciarse generando los respaldos correspondientes, o llegado el caso, destruirse.
Tres principios: confidencialidad, integridad y disponibilidad.
¿Qué pasaría en la organización en términos de continuidad del negocio y de reputación, si la información se perdiera, se adulterase, no estuviera accesible o estuviera accesible a quienes no debería estarlo? Para proteger la información es necesario asegurar que accederán a ella solo las personas autorizadas (confidencialidad); que se mantendrá completa y sin alteraciones (integridad) y que podrá usarse en tiempo y forma cuando se requiera de ella (disponibilidad). A tal fin, cada dispositivo o soporte por el cual circula la información de la empresa debe estar protegido conta el riesgo de robo, pérdida o adulteración.
Los compromisos de confidencialidad deben estar previstos en los contratos de trabajo de los colaboradores y la responsabilidad por el manejo de información confidencial es un ítem que debe estar presente en la descripción de cargos. Los recaudos respecto a procesos, tecnología y personas deben estar alineados y equilibrados para alcanzar los objetivos de confidencialidad, integridad y disponibilidad de datos.
Las amenazas del cibercrimen.
¿De qué forma puede llegar a darse el robo, la pérdida o la adulteración de datos? Puede darse a través de varios caminos de los que brevemente damos cuenta a continuación.
- Phishing: es una técnica de ingeniería social mediante la cual los ciberdelincuentes utilizan recursos aparentemente lícitos y familiares con el objetivo de engañar al usuario y robar contraseñas, suplantar su identidad o alcanzar información de valor. Generalmente se aplica a través de la descarga de un archivo, sitios web falsos, un enlace o un formulario en el que se cargan datos.
- Malware: es un software malicioso diseñado para diseñado para dañar, interferir o infiltrar sistemas informáticos que puede tomar muchas formas: virus; espionaje de usuarios; propagación de malware a otros dispositivos; anuncios no deseados; troyanos que acceden a los sistemas para robar información o controlarlos; ransomware que encripta los datos del usuario para pedir un rescate; lectura de las pulsaciones del teclado que realiza el usuario, etc. El malware puede tener su origen en el phishing o el spam.
- Spam: consiste en el envío de mensajes o anuncios con fines maliciosos. Puede tener la forma de phishing o malware.
- Atentado a la web institucional: es una técnica mediante la cual el atacante modifica una página web afectando el servicio que se preste a través de ella y/o la imagen de la organización.
- SQL Injection: es un recurso mediante el cual el hacker encuentra vulnerabilidades en aplicaciones web que interactúan con bases de datos y ejecuta comandos SQL arbitrarios que le permiten acceder a esos datos para eliminarlos o adulterarlos.
- Cross-site Scripting: consiste en identificar vulnerabilidades en aplicaciones web para inyectar scripts maliciosos en aplicaciones o páginas que ven otros usuarios. Los scripts maliciosos pueden usarse para robar información sensible, manipular la apariencia de un sitio web, redirigir a usuarios a sitios maliciosos, etc.
Las debilidades internas.
Cuando aspectos que dependen de la organización no son atendidos acorde a los riesgos y amenazas que hemos señalado, estamos ante una debilidad interna.
La primera debilidad que debería subsanarse es la falta de concientización respecto a la seriedad de los riesgos que se corren en materia de seguridad de la información y los costos asociados en términos reputacionales o de continuidad del negocio. Otra gran debilidad es no incorporar en la gestión la perspectiva de la continuidad del negocio, pues supone no prever qué hacer en caso de que los sistemas de seguridad fallen y tenga lugar un ataque. Para la gestión de las debilidades es fundamental que la alta dirección incluya la seguridad de la información dentro de la gestión de riesgos de toda la organización e invierta recursos a efectos de:
- Contar con un sólido y especializado equipo de IT que lleve adelante una sólida gestión de riesgos.
- Contar con la infraestructura acorde tanto en hardware como en software para que la organización esté en condiciones de identificar ataques, repelerlos y en caso de que se concreten, responder en forma rápida y eficaz.
- Contar con procesos y protocolos definidos y comunicados a toda la organización, ofreciendo para ello las instancias de sensibilización y capacitación que sean necesarias.
- Contar con adecuados y periódicos respaldos que contemplen la tolerancia de tiempo de información que la organización está dispuesta a admitir.
Imprescindible: la continuidad del negocio.
Velar por la continuidad del negocio implica asumir buenas prácticas en materia de seguridad de la información estableciendo procesos y protocolos de actuación, contemplando la protección de los equipos personales y empresariales mediante antivirus, respaldos, contraseñas robustas con doble factor de autenticación, actualización de sistemas y hardware, recuperación de desastres, además de la capacitación de todo el personal de la organización.
Una adecuada protección integra la perspectiva de cumplimiento de controles y normas para proteger a la organización, con la perspectiva del atacante para entender cómo actúa y en función de ello, configurar la protección necesaria para defender a la organización. Un equipo experto en ciberseguridad y seguridad de la información, así como con un plan de recuperación de desastres que cuente con una clara definición de roles y responsabilidades son fundamentales. Asegurar la continuidad del negocio implica:
- Realizar análisis de riesgos identificando las áreas críticas del negocio.
- Conocer las propias vulnerabilidades mediante un gap análisis que compare la realidad de la empresa con los estándares internacionales en seguridad de la información.
- Definir planes de contingencia y continuidad que permita a la organización seguir funcionando aun cuando ocurriese un desastre.
- Definir un comité de crisis integrado por la alta dirección, recursos humanos, IT y operaciones, designando un Coordinador de continuidad del negocio.
- Definir auditorías que velen porque el plan de continuidad esté adecuadamente definido y probado.
- Formar un equipo de planificación y respuesta.
- Establecer un plan de mejora continua: la sofisticación cada vez más elevada de los ataques, exige una permanente actualización de recursos y capacidades.
Apoyo y Consultoría en seguridad de la información.
Desde 2021 LIDECO está certificada por LSQA en su Sistema de Gestión de Seguridad de la Información de acuerdo con la norma ISO/IEC 27001:2013. En el marco de la asociación estratégica con Quinta Disciplina Consultores (2) y de la política de seguridad de la información de LIDECO, ayudamos a las empresas a la actualización en la materia mediante capacitaciones gratuitas para nuestros asociados.
Asimismo, ponemos a disposición el servicio de Consultoría en Seguridad de la Información, que orienta a las empresas para identificar problemas de seguridad de la información y resolverlos mediante solucione que se basan en los recursos de la organización. Para ello se recorren una serie de etapas que, según cada caso, pueden aplicarse en su totalidad o en forma parcial:
- Recolección de información en torno al problema.
- Diagnóstico respecto de los aspectos que requieren atenderse para solucionar el problema.
- Elaboración de un plan de acción para alcanzar los objetivos de solución, que pueden referir a capacidades, procesos, procedimientos, conocimientos, prácticas o sistemas de trabajo.
- Implementación de los cambios sugeridos.
- Seguimiento y monitoreo de la implementación.
La consultoría en Seguridad de la Información contribuye a que las organizaciones preserven el principal activo de la empresa (la información) y aseguren la continuidad del negocio. Son seis las fases involucradas en el proceso de consultoría:
- Definición del alcance de la gestión de riesgos de seguridad de la información, estableciendo qué activos, procesos y servicios quedan comprendidos en materia de seguridad de la información, tanto a la interna de la organización como en relación con actores externos.
- Identificación de los activos a proteger.
- Identificación de las amenazas a las que la empresa está expuesta.
- Identificación de vulnerabilidades y salvaguardas.
- Evaluación del riesgo plantando escenarios persos con sus respectivas consecuencias.
- Establecer formas de abordaje del riesgo a través de planes de mitigación y contingencia.
Para solicitar el servicio de consultoría y ampliar información nuestros socios pueden dirigirse a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.. -
(1) Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento Seguridad de la Información y el Conocimiento.
(2) Quinta Disciplina Consultores se especializa en Seguridad de la Información y en Ciberseguridad.