En la era de la hiperconectividad, estamos expuestos continuamente a posibles riesgos, que pueden ser o no tecnológicos.
El primer paso para comenzar a proteger los activos de la compañía es comenzando por la capacitación de todo el personal incluyendo directivos y CEO’s de la misma.
En primera instancia, podemos decir que un activo es la información de la organización. La misma puede encontrarse en diferentes maneras, por ejemplo, en formato digital (a través de archivos de medios electrónicos o medios ópticos), en forma física (ya sea escrita o impresa en papel), así como de manera no representada, como pueden ser las ideas o el conocimiento de las personas. En este sentido, los activos de información pueden encontrarse en distintas formas.
Por lo tanto, sin importar su forma o estado, requiere de medidas de protección adecuadas, según su importancia, por lo que el uso de la tecnología es, a menudo, un elemento esencial en las organizaciones, debido a que facilita su creación, procesamiento, almacenamiento, transmisión, protección o, cuando es requerido, su destrucción.
¿Por qué motivo nombramos en primer lugar a la concientización de los usuarios de la compañía como primer medida de prevención?
Esto es porque dentro de la naturaleza humana está el confiar en terceros y esto es una ventaja de los ciberdelincuentes que utilizan técnicas de Ingeniería Social para lograr engañar a la víctima y lograr que le otorgue permisos y/o accesos a información confidencial. Ante este tipo de ataques, no existe tecnología que pueda evitarlos, ya que si una persona no está capacitada y concede permisos desde su computadora o dispositivo móvil dentro de la red corporativa, el ciberdelincuente va a poder acceder sin problemas, salteando todos los sistemas de seguridad que podamos tener instalados dentro de nuestra compañía.
La actualización constante en materia de seguridad informática contrarresta el accionar de los cibercriminales, los cuales van creando nuevas formas de cometer fraude y robos de información confidencial.
Dentro de la tecnología que podemos aplicar para mitigar riesgos, es escencial tener una trituradora de papel para destruir información sensible impresa. Pero para proteger nuestros dispositivos informáticos lo primero que debemos tener es un antivirus en cada dispositivo de forma local. Se recomienda uno con una consola en la nube, para que pueda actualizarse desde cualquier ubicación. También es importante tener una defensa perimetral. Para ello, podemos instalar entre la red corporativa (LAN) y la red de internet (WAN) un firewall multicapa o un IDS/IPS y así tener un control más exhaustivo de todo el tráfico que circula por la red, para evitar, no solo los riesgos que se generan desde Internet, sino también para prevenir ataques internos desde dispositivos conectados en nuestra red corporativa, cableada o wireless.
Tanto la capacitación como la administración del software y equipamiento, debe ser controlado regularmente, en lo posible por personal capacitado en el tema. La actualización constante en materia de seguridad informática contrarresta el accionar de los cibercriminales, los cuales van creando nuevas formas de cometer fraude y robos de información confidencial.
La metodología MAGERIT puede ser un buen punto de partida para comenzar con una auditoría interna o externa y verificar el estado de nuestra seguridad de la información, ya que debemos proteger nuestros activos, porque si estos no se encuentran disponibles, no se encuentran íntegros (modificados o dañados) o han perdido su confidencialidad, porque han sido divulgados por una fuga de información, la empresa puede verse seriamente afectada económicamente y perder credibilidad ante clientes, proveedores y socios.
Si la organización requiere mayor seguridad por regulaciones del mercado, se pueden aplicar las buenas prácticas de la familia de normas ISO 27000 que establecen controles para lograr la mejora continua.
Marcelo Bugallo
Director en Tecnología y Capacitación - Conectividad IT
