Top 10 brechas de seguridad y acciones de prevención

Hoy en día vivimos en la Era de la Información, en la cual se manejan un montón de datos que son almacenados, tanto en formatos físicos, como el papel, o en formatos electrónicos, como los ordenadores.

Anteriormente, al guardar la información en formatos físicos, era más difícil robarla. Es una ley universal, cuanto mayor es el uso de la tecnología, más fácil es vulnerar la información.

Paradójicamente, estas vulnerabilidades no se dan por el mero hecho de aplicar la tecnología al almacenamiento de datos, sino por olvidar las buenas prácticas y principios organizacionales al tratar con la información personal que permiten minimizar los riesgos técnicos.

El 65% de las brechas ocurre debido al aprovechamiento de las oportunidades para defraudar.

El 65% de las brechas ocurre debido al aprovechamiento de las oportunidades para defraudar.

Lista de ataques más usuales

  1. Despistes: Por ejemplo, por dejar la pantalla encendida o abandonar documentación sensible en impresoras o escáneres.
  2. Putadas: Los ataques producidos por estas fuerzas, se deben a desacuerdos, disputas, problemas, despidos, etc. dentro de la empresa, lo que causa un descontento por parte del afectado,
  3. Ingeniería social: Otro ejemplo de la importancia del factor humano es la existencia de técnicas orientadas al engaño,por ejemplo, a través de las redes sociales, o induciendo al usuario a pulsar sobre un enlace malicioso.
  4. Ataques de día cero: Este concepto hace referencia al descubrimiento de vulnerabilidades antes de que el fabricante o desarrollador la descubra y la
    resuelva. Por ejemplo, WannaCry utilizaba una vulnerabilidad de Windows que, según parece, la NSA (la Agencia de Seguridad Nacional estadounidense) había estado explotando durante años.
  5. APT (ataque dirigido): Es un ataque dirigido a obtener información para después continuar con ataques más sofisticados.
  6. Denegación de servicio (DoS/DDoS): Inundar de tráfico un sistema, deforma que este no pueda dar servicios a los usuarios legítimos del mismo.
  7. Siniestros y catástrofes naturales: Incendios, inundaciones, terremotos, temblores de tierra, etc., pueden también comprometer la privacidad y seguridad de los datos.
  8. Malware: programas maliciosos ya sea en forma de virus, troyano, gusanos, etc, suelen utilizarse como programas espías.
  9. Robo y/o filtración de datos: Abandonar dispositivos de almacenamiento que contienen información valiosa puede conllevar que los sustraigan o los perdamos.
  10. Acceso a cuentas: Mediante una cuenta de usuario con privilegios avanzados, ya sea por la debilidad de las medidas de seguridad o porque ha conseguido previamente el nombre de usuario y contraseña por otro método.

¿Cómo prevenir brechas de seguridad de datos?

A continuación os dejamos una serie de acciones y buenas prácticas para prevenir estas situaciones, que demuestran que el ser humano es la última defensa contra las máquinas:

volvere

Lo primero de todo es que debemos generar copias de seguridad. Los dispositivos pueden fallar en cualquier momento, por lo que es necesario poder restaurar la mayor cantidad de información en caso de perdida.

Los sistemas deben encontrarse siempre protegidos y actualizados, de esta manera preveremos los ataques a través de Internet.

También debemos ser precavidos a la hora de recibir mensajes de desconocidos o cuando se piden datos personales. En ocasiones estos e-mails contienen archivos adjuntos con un malware o programas espías que pretenden atacar nuestros dispositivos, o te redirigen a páginas fraudulentas con el fin de obtener claves y datos personales (Phising).

Se debe tener un protocolo de mesas limpias, la mesa de trabajo y la información guardada en el ordenador debe estar organizada y no debe dejarse nada a la vista en caso de que se abandone el puesto de trabajo.

Las contraseñas deben ser modificadas cada cierto tiempo, deben incluir caracteres alfanuméricos así como símbolos y no deben apuntarse en post-it o papeles. De igual manera, las contraseñas no deben compartirse ni estar relacionadas con aspectos privados (nombre mascota) y deben ser diferentes para los distintos servicios..

Cuando la información deja de ser útil o ya no se permite su tratamiento, es necesario destruirla.

Implementar un Plan Director de Seguridad (PDS) acorde a la empresa correspondiente. Para ello es necesario identificar el nivel de seguridad de la organización, definir los objetivos estratégicos y detectar los departamentos y procesos a los que afecta. El PDS realiza seguimientos periódicos y detecta eficiencias y fortalezas, por ello se trata de un Plan de Mejora Continua.

Un sistema por si solo no garantiza la seguridad, por ello de se debe tener una Cultura de Seguridad, que todos los empleados se comprometan a cumplirlas buenas prácticas para reducir los problemas de seguridad. Con el tiempo las buenas costumbres se relajan, por ello para mantener y actualizar los principios de seguridad aprendidos, conviene refrescarlos:

  • Proteger el puesto de trabajo (actualizaciones, correo, aplicaciones…)
  • Respetar las medidas de protección de la información (sistemas con contraseñas, armarios y despachos bajo llave…)
  • Utilizar de manera segura los dispositivos móviles (portatiles, tablets…)
  • Acceso remoto y almacenamiento de datos corporativos en dispositios personales

Todo empleado es responsable de la información que maneja y debe comprometerse con su protección. Los periodos de incorporación y abandono del trabajo son los más críticos.

  • Durante la incorporación de un empleado, es necesario comunicarle que debe cumplir las buenas prácticas y los procedimientos de ciberseguridad de la organización, así como asignarle los permisos adecuados a su puesto. Además debe firmar un acuerdo de confidencialidad.
  • Cuando un empleado se va se deben revocar todos sus permisos. De esta forma, un empleado descontento no podrá robar información para la competencia ni difamar a la empresa.

Los datos no siempre serán accesibles por todos, por lo que se deberá distinguir entre datos Públicos (para todos), Restringidos (solo con la organización) y Confidencial (solo para el personal clave). De igual manera, para el manejo de los datos, se deben tener en cuenta tres aspectos relativos a su seguridad:

  1. Integridad: mantener la información tal y como es, a no ser que haya un permiso para su modificación.
  2. Confidencialidad: hace referencia a la importancia de los distintos tipos de datos.
  3. Disponibilidad: hay alguna información que es necesaria para seguir trabajando, mientras que otra podemos conseguirla a través de otra información.

A la hora de subcontratar es necesario evaluar a qué datos se le permitirá acceder al proveedor, por ello es necesario evaluar cuál es la opción que mas se adecua a tus necesidades y firmar acuerdos de confidencialidad en caso de que sea necesario. En caso de que se decida prescindir de los servicios contratados, deberás cerciorarte de que el proveedor elimina cualquier rastro de información, así como eliminar los accesos que tuvieran a la empresa.

¿Qué pasa con mi web?

Si se utiliza una nube son necesarias una serie de medidas básicas:

  1. Restringir los permisos de acceso a información sensible
  2. Cifrado de datos para el intercambio de información
  3. Redes seguras para el intercambio de datos
  4. Revisar y eliminar los metadatos de los documentos intercambiados
  5. Realizar un borrado seguro de la información sensible al terminar el servicio

En el caso de poseer una web, es igual de necesario proporcionar seguridad a través de ella, para ello tendrán que estar los permisos al día, así como poseer las distintas políticas de privacidad y cookies, aviso legal, etc. De igual manera se realizarán copias de seguridad verificadas y se instalarán herramientas de seguridad.

Los clientes, podrán ejercer en cualquier momento los derechos ARCO respecto a sus datos, junto a los de portabilidad y limitación:

  • Acceso: a los datos que la empresa posee sobre el cliente
  • Rectificación: derecho a camiar dichos datos
  • Cancelación: derecho a la eliminación o supresión de sus datos
  • Oposición: derecho a solicitar que la empresa no haga uso de sus datos
  • Portabilidad: derecho a que la empresa ceda o transfiera sus datos a otra con un fin
  • Limitación: los datos serán marcados para que no puedan ser tratados en el futuro

El plan de Contingencia consiste en establecer alternativas que permitan continuar con la actividad en caso de algún problema. Este plan contempla una política de copias de seguridad que plantea el QUÉ, CUANDO Y DÓNDE guardar. El plan de contingencia debe comprobarse y revisarlo periódicamente.

Por último, es necesario realizar análisis de riesgos de manera periódica. Con esto, identificaremos los activos y las amenazas, evaluaremos su riesgo y por último escogeremos las acciones a tomar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *