El rol de las personas en la protección de la información
El aumento de los E-mail Phishing requiere inversión en tecnología, y concientizar plenamente a los usuarios
Tiempo de lectura: -'
16 de agosto de 2016 a las 17:35
Te quedan {{observador.articlesLeft}} notas gratuitas.
Accedé ilimitado desde US$ 3 45 / mes
Por Nicole Czarnievicz Felder y el Ing. Felipe Sotuyo Blanco, CISA, CISM, Integrantes del Dpto de Advisory de EY Uruguay
Según la encuesta mundial de EY sobre la seguridad de la información, Global Information Security Survey (GISS), -2015-, de un total de 1.755 organizaciones consultadas sobre qué vulnerabilidades y amenazas incrementaron sus exposiciones de riesgo, se desprende que el principal factor de riesgo estaba vinculado con el "personal poco concientizado" en temas relacionados; y que la mayor amenaza correspondía a los e-mails fraudulentos, los cuales son conocidos por su término en inglés "Phishing". A nivel nacional, según el portal web de CERTuy, de un total de 577 incidentes de seguridad informática reportados en 2015, la mayoría están vinculados con el Phishing. De acuerdo a lo observado, se desprende que Uruguay acompaña esta tendencia mundial en la cual el Phishing es la principal amenaza dentro de las organizaciones, ya que la principal vulnerabilidad está vinculada con la falta de concientización del personal. Esta amenaza tiene un componente tecnológico (el uso del e-mail), pero también un componente humano (el engaño).
Para proteger la información de las organizaciones se debe disponer de un conjunto de procesos, una infraestructura tecnológica y los recursos humanos, adecuados a los niveles de seguridad que deseamos alcanzar.
En base a lo expuesto, hemos subdividido el camino hacia una gestión efectiva y eficiente de la Seguridad de la Información en tres etapas: Activar, Adaptar y Anticipar. Esto permite evaluar el nivel de madurez que tiene la organización en términos de seguridad, a efectos de alcanzar el siguiente paso en la protección de los activos de información.
Una organización Activa los controles de seguridad de la información cuando se encuentra implementando aquellas medidas básicas para evitar que las amenazas puedan aprovechar las vulnerabilidades existentes para obtener el acceso a nuestra información. En este sentido, si consideramos por ejemplo el Phishing, en esta etapa se debería invertir en infraestructura que permita filtrar estos contenidos, y al mismo tiempo en capacitar y concientizar al personal respecto a cómo identificar este tipo de amenazas. Los números presentados por la encuesta muestran que la gran mayoría de las organizaciones (y los usuarios en forma individual, que forman parte de éstas) aún se encuentran en esta primera etapa.
La etapa de Adaptar, implica contar con planes de recuperación probados, que nos permitan volver rápidamente a continuar brindando los servicios en los niveles predefinidos, así como también mantener un registro de los incidentes sufridos, para poder identificar las causas que permitieron la ocurrencia de dicho evento y poder tomar las medidas correctivas para que los mismos no se vuelvan a repetir. En esta etapa una empresa es "resiliente" o resistente ante ataques de ingeniería social o de ciberseguridad. Sin embargo, esto no es suficiente para tolerar el impacto reputacional que puede sufrir una marca o una organización, ante la eventualidad de sufrir este tipo de ataques.
Finalmente, es deseable que las organizaciones puedan contar con la capacidad de Anticipar nuevas amenazas, sabiendo de antemano lo que debe ser protegido y prever las acciones requeridas para responder a los ataques. Anticiparse a eventos que pudieran afectar reputacionalmente a la organización o a sus marcas comerciales. Llegamos a este nivel cuando las personas no solamente conocen sino que también se encuentran con "los sentidos alerta", evitando caer en las trampas que pueden hacer quienes se aprovechan de lo que llamamos ingeniería social para hacerse de contraseñas, accesos a sectores restringidos o a información privilegiada dentro de las organizaciones.
Por lo tanto, no alcanza solamente con invertir en hardware y software de última generación para mantener niveles de Seguridad de la Información aceptables. Las personas que usan o acceden a la información de la organización necesitan estar entrenadas, concientizadas y con los sentidos alerta, de forma de complementar los controles tecnológicos y así evitar o minimizar el impacto de estos incidentes de seguridad.
Esta nota es exclusiva para suscriptores.
Accedé ahora y sin límites a toda la información.
¿Ya sos suscriptor?
iniciá sesión aquí
Alcanzaste el límite de notas gratuitas.
Accedé ahora y sin límites a toda la información.
Registrate gratis y seguí navegando.
¿Ya estás registrado? iniciá sesión aquí.
Para comentar debe iniciar sesión.