El rol de las personas en la protección de la información

Por Nicole Czarnievicz Felder y el Ing. Felipe Sotuyo Blanco, CISA, CISM, Integrantes del Dpto de Advisory de EY Uruguay

Según la encuesta mundial de EY sobre la seguridad de la infor­mación, Global Information Secu­rity Survey (GISS), -2015-, de un total de 1.755 organizaciones con­sultadas sobre qué vulnerabilida­des y amenazas incrementaron sus exposiciones de riesgo, se despren­de que el principal factor de riesgo estaba vinculado con el "personal poco concientizado" en temas rela­cionados; y que la mayor amenaza correspondía a los e-mails fraudu­lentos, los cuales son conocidos por su término en inglés "Phishing". A nivel nacional, según el portal web de CERTuy, de un total de 577 in­cidentes de seguridad informática reportados en 2015, la mayoría están vinculados con el Phishing. De acuerdo a lo observado, se des­prende que Uruguay acompaña esta tendencia mundial en la cual el Phishing es la principal amena­za dentro de las organizaciones, ya que la principal vulnerabilidad está vinculada con la falta de concienti­zación del personal. Esta amenaza tiene un componente tecnológico (el uso del e-mail), pero también un componente humano (el engaño).

Para proteger la información de las organizaciones se debe dispo­ner de un conjunto de procesos, una infraestructura tecnológica y los recursos humanos, adecuados a los niveles de seguridad que de­seamos alcanzar.

En base a lo expuesto, hemos subdividido el camino hacia una gestión efectiva y eficiente de la Seguridad de la Información en tres etapas: Activar, Adaptar y Anticipar. Esto permite evaluar el nivel de madurez que tiene la organización en términos de se­guridad, a efectos de alcanzar el siguiente paso en la protección de los activos de información.

Una organización Activa los controles de seguridad de la in­formación cuando se encuentra implementando aquellas medi­das básicas para evitar que las amenazas puedan aprovechar las vulnerabilidades existentes para obtener el acceso a nuestra información. En este sentido, si consideramos por ejemplo el Phishing, en esta etapa se debería invertir en infraestructura que permita filtrar estos contenidos, y al mismo tiempo en capacitar y concientizar al personal respecto a cómo identificar este tipo de amenazas. Los números presen­tados por la encuesta muestran que la gran mayoría de las orga­nizaciones (y los usuarios en for­ma individual, que forman parte de éstas) aún se encuentran en esta primera etapa.

La etapa de Adaptar, implica contar con planes de recupera­ción probados, que nos permitan volver rápidamente a continuar brindando los servicios en los ni­veles predefinidos, así como tam­bién mantener un registro de los incidentes sufridos, para poder identificar las causas que per­mitieron la ocurrencia de dicho evento y poder tomar las medidas correctivas para que los mismos no se vuelvan a repetir. En esta etapa una empresa es "resiliente" o resistente ante ataques de inge­niería social o de ciberseguridad. Sin embargo, esto no es suficiente para tolerar el impacto reputacio­nal que puede sufrir una marca o una organización, ante la even­tualidad de sufrir este tipo de ataques.

Finalmente, es deseable que las organizaciones puedan contar con la capacidad de Anticipar nuevas amenazas, sabiendo de antemano lo que debe ser prote­gido y prever las acciones requeri­das para responder a los ataques. Anticiparse a eventos que pudie­ran afectar reputacionalmente a la organización o a sus marcas comerciales. Llegamos a este ni­vel cuando las personas no sola­mente conocen sino que también se encuentran con "los sentidos alerta", evitando caer en las tram­pas que pueden hacer quienes se aprovechan de lo que llamamos ingeniería social para hacerse de contraseñas, accesos a sectores restringidos o a información pri­vilegiada dentro de las organiza­ciones.

Por lo tanto, no alcanza sola­mente con invertir en hardware y software de última generación para mantener niveles de Seguri­dad de la Información aceptables. Las personas que usan o acceden a la información de la organiza­ción necesitan estar entrenadas, concientizadas y con los sentidos alerta, de forma de complemen­tar los controles tecnológicos y así evitar o minimizar el impacto de estos incidentes de seguridad.