Por Genaro Delgado Montalvo, Cofundador de </cyberwag> Cybersecurity Intelligence. gdelgado@cyberwag.com
En la actualidad, las amenazas cibernéticas están a la orden de día. En México, sólo el 20% de las grandes empresas están preparadas para una contingencia de seguridad cibernética, mientras que las PyME’s no tienen protocolo mínimo de seguridad cibernética ni mucho menos un plan de rescate y recuperación.
Por esta razón, todas las organizaciones deben trabajar para mantenerse actualizadas y concientizar a sus colaboradores -de cualquier nivel-, así como a sus clientes y proveedores, sobre el por qué la protección de seguridad de la información es responsabilidad de todos. Dentro de foros y paneles de discusión, las preguntas más frecuentes en este tema son:
1. ¿Qué tan prioritario debe ser el tema de seguridad cibernética en una organización y por qué?
Altamente prioritario. No sólo para el área de Tecnologías de la Información (TI’s), sino para cada uno de los colaboradores. Todos debemos vernos como “usuarios” y por tanto estar conscientes de las vulnerabilidades con las contamos al ser partícipes de una cultura informática basada en la seguridad.
2. ¿Cómo alinear a todo el personal para que ayude a salvaguardar la seguridad de la información de la empresa y que no haga cosas que la pongan en riesgo?
Desarrollando una cultura de seguridad de información que permita entender que no sólo es para el uso correcto de los medios o dispositivos electrónicos dentro de la empresa, sino que es parte de la cadena de vulnerabilidades para ataques cibernéticos. Esta cultura se implementa con concientización y capacitación.
Es importante remarcar que debe haber auditorías internas de manera constante en las que se revise que todos los colaboradores, clientes y proveedores estén haciendo las prácticas que aseguren la cultura implementada. De otra manera, sólo serán esfuerzos aislados y con alto costo.
3. ¿Qué situaciones dentro de la organización vulneran la seguridad de la información?
Las más comunes son la rotación de personal, el home office y el uso de dispositivos propios. Es importante contar por lo menos con un protocolo de desactivación de privilegios y accesos a nuestros sistemas, así como tomar en cuenta los riesgos que implica el que nuestros colaboradores trabajen remotamente.
Es esencial desarrollar un protocolo de administre y revise cualquier malware en los dispositivos utilizados dentro de la organización, tener registro de qué información entra o sale y estar preparados para enfrentar un malware inyectado a través de la conexión de un dispositivo ajeno a la empresa. Incluso, revisar que el software usado por los dispositivos ajenos a la empresa tenga licencia (no pirata).
4. ¿Qué tan conscientes están las personas sobre los datos que comparten a través de sus dispositivos?
En la mayoría de las empresas no hay mucha consciencia. Comúnmente, su cultura organizacional no está enfocada al tema de ciberseguridad. Después del derribe de la Torres Gemelas -cuando no se contaba aún con mecanismos de intercambio de información para reaccionar ante amenazas-, se hizo notar que todo tipo de organización es susceptible, por lo que la importancia en la ciberseguridad se hizo un tema prioritario.
Ahora más que nunca, es necesario que nuestros colaboradores, clientes y proveedores se alineen a través de capacitaciones y auditorías de cumplimiento a una cultura de ciberseguridad para su propia integridad de sus vidas digitales.
5. ¿Cuáles serían algunas recomendaciones de políticas básicas de seguridad cibernética para mi empresa?
No importa el tamaño o sector de nuestra empresa, hay acciones básicas que podemos implementar para incrementar la seguridad de nuestra información. Entre ellas están: capacitaciones sobre prácticas de ciberseguridad y uso de la información, instalación de un firewall perimetral, filtros para correos electrónicos, perfiles de acceso a nuestros colaboradores, entre otros.
Es importante que si tu empresa maneja información sensible, prácticamente estás obligado a tener un protocolo de seguridad auditable bajo alguna norma, por ejemplo la del NIST ( Instituto Nacional de Estándares y Tecnología). De esta forma, asegurarás la integridad de tu información tanto en medios electrónicos como físicos. El implementar un protocolo normalizado también es obligatorio para las empresas del sector Fintech (lo charlaremos en otro artículo)
6. Mi empresa es una MiPyME, ¿Qué tan importante sería la información que guardo para un hacker?
Realmente es mucha. Vamos a poner un ejemplo. Manejas un pequeño software y no sabes qué vulnerabilidades tiene, pero es el que usas para gestionar las bases de datos de tus colaboradores, clientes, proveedores, cuentas bancarias, etc. Dentro de esas bases de datos pueden estar números de seguro social, domicilios, RFC’s, cuentas bancarias e incluso datos personales.
Si esta base de datos es robada o extraída a propósito de tu empresa, puede ayudar a crear clones de identidad de las personas permitiéndoles sacar créditos o préstamos, actas de difusión para cobro de seguros, etc, convirtiendo la vida de la persona “original” en un caos cuando los sistemas de la federación, bancos o cualquier otra institución financiera empiecen a cruzar los datos.
Cabe aclarar que esto actualmente es relativamente sencillo de hacer ya que los sistemas de las instituciones privadas y públicas aún no están conectados compartiendo información para detectar este tipo de fraudes. En fin, con ello quiero dar entender la importancia de la información que almacenamos en nuestras empresas sin importar su tamaño o sector.
La experiencia nos ha mostrado que, en el contexto de ciberseguridad, es importante tomar en cuenta que no solo debemos centrarnos en implementar las aplicaciones o herramientas informáticas más actuales, sino que es necesario complementarlas con políticas, procedimientos y una adecuada concientización de los colaboradores, clientes y proveedores, quienes siguen siendo el eslabón más débil en las organizaciones y representan la entrada los ciberataques.