¿DE QUIÉN ES LA RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN DENTRO DE UNA EMPRESA?

-

Por Genaro Delgado – Cofundador de </cyberwag>

En la actualidad, las amenazas cibernéticas están a la orden de día, solo en México alrededor de un 20% de las grandes empresas están preparadas para una contingencia de seguridad cibernética, mientras que las PyME’s no tienen un protocolo mínimo de seguridad cibernética ni mucho menos un plan de rescate y recuperación. Por esta razón, todas las organizaciones deben trabajar para mantenerse actualizadas y concientizar a sus colaboradores (desde lo dueños y directivos, hasta el colaborador que tienen el rango más bajo dentro de la estructura organizacional, incluso los clientes y proveedores) sobre el por qué la protección de seguridad de la información es responsabilidad de todos.

Dentro de foros y paneles de discusión, las preguntas más frecuentes en este tema son:

  1. ¿Qué tan prioritario debe ser el tema de seguridad cibernética en una organización y por qué?

Es altamente prioritario, y no solo para el área de TI, sino que cada uno de los colaboradores se tiene que ver como un “usuario”, y por tanto tiene que estar conscientes de las vulnerabilidades y ser partícipes de una cultura informática con base a seguridad.

  • ¿Cómo alinear a todo el personal para que ayude a salvaguardar la seguridad de la información de la empresa y que no haga cosas que la pongan en riesgo?

Desarrollando una cultura de seguridad de la información que permita entender que no solo es para el uso correcto de los medios o dispositivos electrónicos dentro de la empresa, sino que todo el personal se vea como parte de la cadena de vulnerabilidades para ataques cibernéticos, siendo las personas el eslabón más débil. Esta cultura se implementa con concientización y capacitación principalmente, ahora bien, es importante remarcar que debe haber auditorías internas de manera constante donde se revise que todos los colaboradores, clientes y proveedores estén haciendo las prácticas que aseguren la cultura implementada, de otra manera solo serán esfuerzos aislados y con alto costo.

  • ¿Qué elementos dentro de la organización vulneran la seguridad de la información?

Los elementos más comunes, dentro de cualquier organización, que pueden ser la puerta para ataques cibernéticos son:

Rotación de personal. Cuando alguno de nuestros colaboradores deja de pertenecer a nuestra organización (por cualquier razón), al menos ¿tenemos un protocolo de desactivación de sus privilegios y accesos a nuestros sistemas? Nos podríamos imaginar que pasaría si nuestro ahora excolaborador tiene aún los privilegios para descargar las bases de datos de clientes, proveedores o incluso de todo el personal, sacar sus datos privados y hacer un mal uso de ellos porque está enojado con la empresa. Y eso en el mejor de los casos, hay historias de terror de excolaboradores de corporativos que no piden rescate de información (ransomware), sino que simplemente destruyen información y dejan malware instalado para que siga la destrucción desde adentro, haciendo perder millones de dólares a las empresas y poner las bases de datos expuestas a hackers que pueden clonar identidades de las personas en ellas. Todo un desastre.

Home Office. En estos últimos años las empresas se han dado cuenta las ventajas de que a sus colaboradores se les brinde la oportunidad de trabajar remotamente; sin embargo, la mayoría de estas empresas no toma en cuenta el desafío y lo riesgos en términos de ciberseguridad que esto conlleva. No se necesita ser experto para obviar todas las posibles vulnerabilidades que se crean al momento que nuestros colaboradores se conectan remotamente a sus estaciones, tableros o grupos de trabajo desde casa, por ello es importante generar los protocolos mínimos de ciberseguridad que permitan asegurar la integridad de conexiones y la gestión de información. Hay muchas herramientas que nos permiten hacer la administración de equipos de trabajo remotos con gran seguridad.

Bring Your Own Device (BYOD por sus siglas en inglés), es una de las prácticas ya más comunes en casi todas las organizaciones, desde acceder a la empresa con tu dispositivo de telefonía celular (desde el más simple hasta el más sofisticado smartphone) hasta llevar tu propio equipo de cómputo para trabajar (incluyendo el manejo de USB o cualquier otro dispositivo de almacenamiento externo); la pregunta es ¿tenemos un protocolo de administre estos dispositivos dentro nuestras organizaciones? ¿sabemos que información entra o sale de nuestra organización? ¿los equipos que entran son auditados para revisar que no contengan malware? ¿estamos preparados para enfrentar un malware inyectado a través de la conexión de un dispositivo ajeno a la empresa? Incluso ¿revisamos que el software usado por los dispositivos ajenos a la empresa tenga licencia (no pirata)?

Definitivamente debemos tener política para la práctica BYOD y que podamos sacarle provecho de una manera segura, confiable y rentable.

  • ¿Qué tan conscientes están las personas sobre los datos que comparten a través de sus dispositivos?

La verdad es que no, no hay mucha consciencia en la mayoría de las empresas. No es culpa de las personas, sino que no existe una cultura organizacional enfocada al tema de ciberseguridad; y realmente se hizo visible su importancia a partir del 9/11 (2001) con el derribe de la Torres Gemelas de N.Y. EUA donde el no tener un mecanismo de intercambio sistemático de información sobre amenazas a través de sus identidades federales, estatales, locales, territoriales e internacionales para garantizar que todos tengan una imagen de la amenaza y puedan reaccionar en consecuencia, les costó uno de los acontecimientos más lamentables de nuestra historia. Este hecho empezó a hacer notar que todo tipo de organización, sobre todo los corporativos que manejan los recursos energéticos, financieros y de migración, pueden ponernos, no solo al país atacado, sino a todo el planeta en una posición indeseablemente frágil (en términos socio políticos) por lo que la importancia en la ciberseguridad se hizo un tema prioritario.

Ahora más que nunca, con la digitalización de los procesos, la conversión a espacios ciberfísicos, el internet de las cosas, e-commerce, etc., es necesario que nuestros colaboradores, clientes y proveedores se alineen a través de capacitaciones y auditorías de cumplimiento a una cultura de ciberseguridad para su propia integridad de sus vidas digitales.

Share this article

Recent posts

La libertad se fundamenta en la privacidad

La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Un estudio a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Los ataques de ransomware siguen siendo un gran negocio para los criminales, los avances en la tecnología como la Inteligencia Artificial y los modelos de negocio como el Ransomware as a Service (RaaS), ha permitido que con $50 USD y un poco de conocimiento en computación, cualquier persona se convierta en un cibercriminal.

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Con los avances en IA y Deep Learning, solo es cuestión de tiempo para que las personas resulten en una posición en la que otros suplantan su identidad. No hay diferencia entre alguien hackeando la cuenta de un “famoso” o alguien hackeando a la persona que está en la fila del supermercado. Solo depende de si alguien tiene o no el deseo de apuntarle. - Scarlett Johansson - Víctima de deepfake

Cibervigilancia laboral. La polémica aplicación Hubstaff que ayuda a las organizaciones a “espiar” los movimientos de los empleados a cada segundo en el teletrabajo.

Hubsatff, un “agente” informático que da seguimiento a profundidad de los movimientos de los empleados a cada segundo.

Popular categories

Leave a reply

Please enter your comment!
Please enter your name here

Recent comments