En el área de Seguridad de la Información de Prysma nos esforzamos por ayudar a las empresas a resolver los retos asociados a la protección de su información en el marco de las nuevas tecnologías.
Dentro de nuestro constante proceso de divulgación, hoy hablamos de las dos fuentes de peligro que más habitualmente pueden afectar a la seguridad de la información, y de las mejores prácticas para evitar que supongan una interrupción en nuestras actividades: el correo electrónico y la navegación web. Las principales vías de entrada del 90% de las amenazas de seguridad se concentran en estos dos vectores:
- Hablar del correo electrónico es hablar de la principal herramienta de comunicación de las empresas. Como cualquier aplicación que forme parte del catálogo de un negocio, deberá contar con una política que marque sus pautas de uso, que deberán ser claras y conocidas por todos los empleados. Además, será necesario que los empleados conozcan cuáles son los fraudes cibernéticos más comunes que circulan por la red:
- PHISHING: Se trata de una técnica de engaño basado en la ingeniería social y en la suplantación de un usuario, una empresa o entidad fiable como un banco, una tienda online o un servicio concreto como una red social.
- WHALING es una variante de Phishing que consiste en atacar a un directivo importante de un grupo empresarial, un político o una celebridad. Esta variante de es altamente especializada pues exige una planificación muy elaborada, con un estudio amplio sobre la víctima, pero a cambio, la recompensa potencial puede ser muy alta dada la relevancia del objetivo.
- MALWARE: En este caso, hablamos de código malicioso que podría infectar nuestros dispositivos corporativos. Los correos podrían contener algún tipo de archivo adjunto o enlaces a webs donde una vez descargado y ejecutado el fichero infectará el dispositivo, pudiendo distribuirse a través de la red corporativa infectando todo tipo de dispositivos conectados.
- RANSOMWARE: Es un tipo de malware que toma el control de los equipos y cifra la información pidiendo un rescate, a menudo en bitcoins, a cambio de liberarla.
- SPAM: Hablar de spam es hacer referencia al conocido como “correo no deseado o correo basura”. Su funcionamiento está basado en envíos indiscriminados de correos con fines publicitarios o fraudulentos, casi siempre, de usuarios desconocidos. En cuanto a las políticas con las que deberá contar la empresa, deberá figurar la activación de los filtros antispam, normalmente proporcionados por los propios gestores de correo.
- HOAX: También conocidos como bulos, son falsas notificaciones que normalmente se extienden en cadena por sus receptores.
- Por otra parte, aunque lleva muchos años entre nosotros y estamos habituados a utilizarlo,el navegador web es otro punto de riesgo cotidiano para las empresas. Gracias a él accedemos a servicios de proveedores, realizamos gestiones con las Administraciones Públicas, efectuamos compras on-line, trámites con entidades financieras, redes sociales, etc. Con toda esta actividad no es de extrañar que los delincuentes los hayan convertido en su objetivo. Si el servidor al que accedemos ha sido atacado, las comunicaciones son interceptadas o el navegador no está protegido, podríamos enviar de forma insegura información como nuestras contraseñas, cuentas corrientes, o descargarnos código malicioso que tomará control de nuestro navegador o infectará nuestros equipos.
Según el Instituto Nacional de Ciberseguridad (INCIBE), estas son las recomendaciones básicas que las empresas deben tener en cuenta para implantar una cultura de ciberseguridad:
- En primer lugar, una política de control de acceso a la información. Los empleados de la empresa deben tener acceso únicamente a la información mínima con la que puedan desarrollar su actividad laboral; esto es lo que se conoce como el principio de mínimo privilegio.
- En segundo lugar, una política de copias de seguridad que establezca un procedimiento para realizar copias de seguridad de los activos de información de manera periódica.
- En tercer lugar, es recomendable establecer una política de cifrado que regule la utilización de técnicas de encriptación para que la información solamente sea accesible por sus legítimos propietarios. Estas técnicas deben aplicarse tanto a la información que se encuentra en reposo en nuestra organización como a la información en tránsito o compartida, por ejemplo, en la web corporativa.
- En cuarto lugar,una política de borrado seguro, tanto para la información en formato físico como en formato digital, que establezca que una vez alcanzado el final de su ciclo de vida, la información deba ser destruida evitando que ninguna persona pueda recuperarla.
- Por otra parte, una política de almacenamiento en la nube. Los servicios de almacenamiento en la nube pueden ser de gran ayuda para asegurar la disponibilidad, la integridad y la confidencialidad de la información, pero debe especificarse claramente bajo qué circunstancias y las responsabilidades de los distintos proveedores que intervengan en el proceso.
- Por último, implantar una política de formación y concienciación es la clave para proteger el eslabón más importante en la cadena de la seguridad que son las personas que componen la empresa. Especialmente en las empresas de servicios, las personas son fundamentales en la relación con los clientes y en el intercambio de información que se realiza, tanto de forma presencial en la propia sede del cliente como a través de comunicaciones cruzadas o accesos compartidos a los repositorios de información.
Desde un planteamiento más práctico, todas estas políticas se deben concretar en los siguientes consejos básicos:
- Ante la llegada de correos electrónicos de remitentes desconocidos se deben extremar las precauciones, ya que puede tratarse de una comunicación fraudulenta.
- Si un correo incluye enlaces externos a páginas web o documentos adjuntos es recomendable analizarlos con herramientas en línea o con el antivirus del dispositivo.
- Todos los dispositivos de la empresay las aplicaciones estarán siempre actualizadas a la última versión disponible.
- Los dispositivos con sistema operativo deberán contar con aplicaciones antivirus instaladas y actualizadas.
- Siempre se utilizarán contraseñas robustas para acceder a los distintos servicios corporativos. Además, se evitará reutilizar contraseñasen más de un servicio y, siempre que sea posible, se debe habilitar un doble factor de autenticación.
- Se realizarán copias de seguridad periódicas de la información de la empresa y se comprobará periódicamente que es posible su restauración.
- Como hemos visto, el correo electrónico no es el único canal de comunicación que utilizan los ciberdelincuentes. Se debe tener también especial precaución con otras vías como las llamadas telefónicas y las comunicaciones de aplicaciones de mensajería instantánea, mensajes SMS y de redes sociales.
- Ante solicitudes que requieran la modificación o el envío de datos bancarios se debe verificar dicha solicitud por un canal de comunicación alternativo y confiable.
- Los correos de extorsión a causa de un supuesto vídeo privado suelen ser un fraude.
- Si en un incidente de seguridad se ven afectados datos de carácter personal se deberá poner en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Si aplicamos todas estas acciones de una manera racional, nuestros activos de información estarán mejor protegidos y además habremos dado un gran paso para estar preparados en caso de que surja algún incidente.
Si, además, mantenemos estas prácticas de forma continuada mediante la implantación deSistema de Gestión de Seguridad de la Información o SGSI, nos aseguraremos una mejora sostenible en las medidas de protección de nuestra información.
La mejora continua, que es una de las características principales de las normas ISO y el hecho de que son normas certificables internacionalmente en forma de un sello que hay que renovar periódicamente mediante un programa de auditorías, permite a las organizaciones adquirir una ventaja competitiva frente a otros actores de los mercados que compiten con ellas. En España la entidad certificadora de referencia es AENOR, de la que Prysma es su colaborador principal en la implantación y auditoría de Sistemas de Gestión desde hace casi veinte años.
Si buscas información o acompañamiento para la implantación de marcos de trabajo seguros basados en las normas ISO, Esquema Nacional de Seguridad, Protección de Datos, etc. en el Área Digital de Prysma encontraremos la solución más idónea para tu negocio.
Rafael Miranda Rivas
Gerente Área Digital