Por Nicole Czarnievicz Felder y el Ing. Felipe Sotuyo Blanco, CISA, CISM, Integrantes del Dpto de Advisory de EY Uruguay
Según la encuesta mundial de EY sobre la seguridad de la información, Global Information Security Survey (GISS), -2015-, de un total de 1.755 organizaciones consultadas sobre qué vulnerabilidades y amenazas incrementaron sus exposiciones de riesgo, se desprende que el principal factor de riesgo estaba vinculado con el "personal poco concientizado" en temas relacionados; y que la mayor amenaza correspondía a los e-mails fraudulentos, los cuales son conocidos por su término en inglés "Phishing". A nivel nacional, según el portal web de CERTuy, de un total de 577 incidentes de seguridad informática reportados en 2015, la mayoría están vinculados con el Phishing. De acuerdo a lo observado, se desprende que Uruguay acompaña esta tendencia mundial en la cual el Phishing es la principal amenaza dentro de las organizaciones, ya que la principal vulnerabilidad está vinculada con la falta de concientización del personal. Esta amenaza tiene un componente tecnológico (el uso del e-mail), pero también un componente humano (el engaño).
Para proteger la información de las organizaciones se debe disponer de un conjunto de procesos, una infraestructura tecnológica y los recursos humanos, adecuados a los niveles de seguridad que deseamos alcanzar.
En base a lo expuesto, hemos subdividido el camino hacia una gestión efectiva y eficiente de la Seguridad de la Información en tres etapas: Activar, Adaptar y Anticipar. Esto permite evaluar el nivel de madurez que tiene la organización en términos de seguridad, a efectos de alcanzar el siguiente paso en la protección de los activos de información.
Una organización Activa los controles de seguridad de la información cuando se encuentra implementando aquellas medidas básicas para evitar que las amenazas puedan aprovechar las vulnerabilidades existentes para obtener el acceso a nuestra información. En este sentido, si consideramos por ejemplo el Phishing, en esta etapa se debería invertir en infraestructura que permita filtrar estos contenidos, y al mismo tiempo en capacitar y concientizar al personal respecto a cómo identificar este tipo de amenazas. Los números presentados por la encuesta muestran que la gran mayoría de las organizaciones (y los usuarios en forma individual, que forman parte de éstas) aún se encuentran en esta primera etapa.
La etapa de Adaptar, implica contar con planes de recuperación probados, que nos permitan volver rápidamente a continuar brindando los servicios en los niveles predefinidos, así como también mantener un registro de los incidentes sufridos, para poder identificar las causas que permitieron la ocurrencia de dicho evento y poder tomar las medidas correctivas para que los mismos no se vuelvan a repetir. En esta etapa una empresa es "resiliente" o resistente ante ataques de ingeniería social o de ciberseguridad. Sin embargo, esto no es suficiente para tolerar el impacto reputacional que puede sufrir una marca o una organización, ante la eventualidad de sufrir este tipo de ataques.
Finalmente, es deseable que las organizaciones puedan contar con la capacidad de Anticipar nuevas amenazas, sabiendo de antemano lo que debe ser protegido y prever las acciones requeridas para responder a los ataques. Anticiparse a eventos que pudieran afectar reputacionalmente a la organización o a sus marcas comerciales. Llegamos a este nivel cuando las personas no solamente conocen sino que también se encuentran con "los sentidos alerta", evitando caer en las trampas que pueden hacer quienes se aprovechan de lo que llamamos ingeniería social para hacerse de contraseñas, accesos a sectores restringidos o a información privilegiada dentro de las organizaciones.
Por lo tanto, no alcanza solamente con invertir en hardware y software de última generación para mantener niveles de Seguridad de la Información aceptables. Las personas que usan o acceden a la información de la organización necesitan estar entrenadas, concientizadas y con los sentidos alerta, de forma de complementar los controles tecnológicos y así evitar o minimizar el impacto de estos incidentes de seguridad.
Inicio de sesión
¿Todavía no tenés cuenta? Registrate ahora.
Para continuar con tu compra,
es necesario loguearse.
o iniciá sesión con tu cuenta de:
Disfrutá El Observador. Accedé a noticias desde cualquier dispositivo y recibí titulares por e-mail según los intereses que elijas.
Crear Cuenta
¿Ya tenés una cuenta? Iniciá sesión.
Gracias por registrarte.
Nombre
Contenido exclusivo de
Sé parte, pasá de informarte a formar tu opinión.
Si ya sos suscriptor Member, iniciá sesión acá