Ciberseguridad, gestión de riesgos y la continuidad de negocio

Ciberseguridad, gestión de riesgos y la continuidad de negocio

Actualmente vivimos en la Sociedad de la Información, donde la tecnología, de forma holística, ha hecho de nuestro mundo un espacio más pequeño e interconectado. En dicho mundo emergen las TIC, hardware y software como medios fundamentales para dicha interconectividad, gracias a la cual podemos saber de manera interactiva y casi inmediata sobre sucesos que acontecen en otro país o continente.

Solo basta tener acceso a internet y un dispositivo tecnológico (smartphone, tablet, laptop…) para poder informarnos mediante cualquier motor de búsqueda o en redes sociales, etc. Según el sitio web We Are Social, en enero de 2018 la población humana en el planeta tierra ascendía a 7.593 billones de personas, con una penetración de Internet de 53% (4.021 billones). Por otro lado, los usuarios de teléfonos móviles, o personas naturales que poseen un teléfono móvil, era el 68% (5.135 billones).

Según la misma fuente, los teléfonos inteligentes o smartphones son la alternativa mundial preferida por la población para conectarse a Internet; un 52% de la población que posee smartphones se conecta a través de ellos, un 43% prefiere usar laptops o desktops, un 4% utiliza tablets y un 0.14% utiliza otros aparatos para conectarse a Internet.

En este devenir tecnológico, la información personal, tanto de los usuarios de redes sociales como la de clientes de una empresa, es almacenada en ficheros de datos, los cuales deben disponer de los adecuados sistemas de seguridad para protegerlos de ataques cibernéticos realizados por crackers, también conocidos como hackers (aunque este último sea un término más adecuado para quienes tienen altos conocimientos en informática y, por ende, no necesariamente se refiere a un cibercriminal). Es decir que el avance tecnológico, de una u otra manera, es relativo al desarrollo de la cibercriminalidad.

Desde el punto de vista comercial, la actividad empresarial y la competitividad se pueden ver afectadas debido a las mencionadas variables. Actualmente, el tráfico de información es incalculable, tanto a nivel de personas naturales como de empresas, que utilizan canales de comunicación como correos electrónicos, redes sociales, aplicaciones, blogs, entre otros, ya sea para ofertar o vender bienes o servicios, o por razones familiares, laborales, sociales, etc. Esto crea canales de comunicación con empresas o personas naturales que, en muchos casos, pueden ser afectados por los criminales informáticos.

Por otro lado, y muy relacionado al tema de la ciberseguridad, encontramos la Ingeniería Social, la cual puede ser conceptualizada como la obtención de información personal ajena a través de métodos que inducen al titular de dicha información a otorgarla voluntariamente, desconociendo que con ella se harán acciones en su perjuicio. Es una forma de engaño o estafa cuyo fin es lesionar el patrimonio u honor de las personas.

Se relaciona con el tema, debido a que, desde un punto de vista teleológico, la obtención de los datos personales es el objetivo fundamental del ingeniero social y, en el caso de las empresas comerciales, dichos datos se almacenan en los mencionados ficheros que, por la seguridad de los clientes y de la reputación de la organización, deben ostentar de sistemas de seguridad adecuados y probados.

El denominado Phishing, es un ejemplo por antonomasia de ingeniería social, porque en él converge un conjunto de acciones que busca identificar las debilidades o vulnerabilidades que el titular de los datos personales tiene en el manejo de su información personal, para luego usurpar su identidad y afectar su patrimonio. Dichas debilidades se pueden caracterizar como vulnerabilidades, y existen tanto en los sistemas informáticos como en las propias personas.

Los ejemplos antes mencionados pueden representar para cualquier organización un evento disruptivo, que afecte la “Continuidad del Negocio” y, por ende, ocasione serios problemas a la compañía. Especialmente, su reputación queda en juego, todo por no poseer los sistemas de seguridad informáticos requeridos o un adecuado Plan de Continuidad de Negocio o de Gestión de Riesgos en la Seguridad de la Información, como el estándar ISO 27001.

En estos casos, el riesgo de fuga de información se puede combatir con cifrado de datos, estableciendo políticas de confidencialidad contractual con los colaboradores de la empresa, entre otros. Asimismo, podemos combatir ciertos malware y virus informáticos con los adecuados antimalware y antivirus, tanto en los servidores como en cada equipo, siempre y cuando se actualicen con cierta periodicidad, entre otras acciones.

Supongamos que una empresa es víctima de ataque mediante Ransomware, y por ello debe pagar una cantidad de bitcoins a los crackers que secuestraron cierta información, que es un activo crítico de la empresa. En este ejemplo, amén del pago en criptomonedas, tenemos una situación que causó o puede causar una interrupción en el servicio que la compañía brinda.

La empresa, a priori, debió plantearse dicha situación o amenaza mediante un debido Plan de Continuidad de Negocio o mediante una Gestión de Riesgos, para establecer los mecanismos o salvaguardas que disminuyeran el impacto de este incidente, y que ayuden a reanudar las operaciones en el tiempo mínimo aceptable y, posteriormente, seguir operando con normalidad a pesar del incidente.

Igualmente, según el sitio web de Kaspersky Lab, empresa que brinda servicios de seguridad informática, se determinó que en el año 2015 los focos de los denominados crackers o delincuentes informáticos (también conocidos como Black Hat Hackers o Hackers de Sombrero Negro) fueron grandes empresas corporativas, entre las cuales están bancos, fondos de inversión, empresas farmacéuticas, etc. Kaspersky indica que “El futuro ciberpanorama para los negocios incluye un nuevo vector de ataque: la infraestructura, ya que casi la totalidad de los datos valiosos de una organización se almacena en los servidores de los centros de datos (…)”

En temas de Continuidad de Negocio, la gestión y análisis de los riesgos es total. Es por ello que primeramente debemos conocer los Activos críticos de la organización, es decir, aquellos que son vitales para el funcionamiento de la empresa, sin los cuales no podría seguir operando y donde el Riesgo es Crítico.

Por ejemplo, los bancos no pueden darse el lujo de interrumpir su sistema informático, pues básicamente todas sus transacciones bancarias se registran y procesan a través de dicho sistema. Ante una amenaza de interrupción del sistema por un ataque informático, éste debe tener los cortafuegos, antivirus, antimalware, sistemas de seguridad, entre otros, adecuados y actualizados.

En este contexto, surge la puesta en marcha del estándar propio de los Sistemas de Seguridad de la Información, que es la ISO 27001. El sitio web advisera.com la define como “una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. (…) Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001”

Por ello, la ISO 27001, junto a la norma ISO 22301, son básicas para la Gestión de Riesgos y la Continuidad de Negocio. La primera evalúa los problemas o incidentes potenciales que podrían afectar los sistemas de seguridad de la información dentro de la empresa, y la segunda garantiza que la empresa, a pesar del incidente, pueda seguir funcionando. Es por ello que en organizaciones como los bancos, empresas financieras, empresas del sector salud, entre otros, los planes de Continuidad de Negocio y de Sistemas de Seguridad de la Información, son fundamentales.

Autor: MBA Leónidas Salvador Tapia Sánchez. Docente del Máster en Seguridad de la Información y Continuidad de Negocio (Ciberseguridad) de EADIC

 

Compartir

Contenido seleccionado para ti

Suscríbete a nuestro boletín

Recibe directamente en tu correo las últimas noticias y actualizaciones de eadic.

Scroll al inicio
Mediante el envío de mis datos confirmo que he leído y acepto las condiciones generales y política de privacidad