Los 10 Riesgos más Comunes de las Empresas que Ignoran la Ciberseguridad

En la actualidad, la ciberseguridad se ha convertido en una preocupación crítica para las empresas de todos los tamaños y sectores. Aquellas que subestiman o ignoran la importancia de invertir en ciberseguridad están expuestas a una serie de riesgos que pueden poner en peligro sus activos, datos y reputación. En este artículo, exploraremos los 10 riesgos más comunes a los que se enfrentan las empresas que no priorizan la ciberseguridad y ejemplos de cómo estas amenazas pueden materializarse.

Estos son los 10 riesgos más comunes:

1. Brechas de Datos Sensibles: La falta de medidas de ciberseguridad adecuadas puede conducir a brechas de datos que comprometen información confidencial de clientes y empleados. Ejemplo: Una empresa de comercio electrónico sufre una brecha de seguridad que expone los datos de tarjetas de crédito de sus clientes, lo que daña su reputación y genera costos significativos por responsabilidades legales.
2. Ransomware y Extorsión: La ausencia de protección adecuada frente al ransomware puede hacer que las empresas sean víctimas de ataques en los que los ciberdelincuentes bloquean sus sistemas y exigen un rescate para liberarlos. Ejemplo: Una empresa de manufactura enfrenta una infección de ransomware que detiene su producción y le exige un pago considerable para restablecer el acceso.
3. Phishing y Ataques de Ingeniería Social: La falta de capacitación y concientización en ciberseguridad puede llevar a que empleados caigan en trampas de phishing y entreguen información confidencial a atacantes. Ejemplo: Un empleado de recursos humanos recibe un correo electrónico aparentemente legítimo solicitando información confidencial de los empleados, y sin sospecharlo, revela datos importantes.
4. Fugas de Información: La negligencia en la protección de la información puede ocasionar fugas de datos o filtraciones que afectan la propiedad intelectual y la ventaja competitiva de la empresa. Ejemplo: Una compañía de software sufre una fuga de información que divulga su código fuente, lo que permite a competidores copiar y comercializar sus productos sin autorización.
5. Acceso no Autorizado a Sistemas: La falta de autenticación y controles de acceso permite que personas no autorizadas ingresen a sistemas internos y roben datos o causen daño. Ejemplo: Un exempleado que aún tiene acceso a la red interna de la empresa utiliza sus credenciales para robar información confidencial y entregarla a un competidor.
6. Interrupciones del Negocio: La ausencia de planes de continuidad y recuperación puede llevar a interrupciones graves en la operación del negocio debido a ataques o desastres. Ejemplo: Una empresa de servicios financieros sufre un ataque DDoS que paraliza su sitio web y servicios en línea, lo que resulta en pérdidas financieras y clientes descontentos.
7. Espionaje Industrial: La falta de seguridad en la protección de la propiedad intelectual puede conducir al espionaje industrial, donde competidores obtienen información estratégica. Ejemplo: Una empresa farmacéutica es víctima de espionaje industrial cuando un competidor roba sus investigaciones sobre nuevos medicamentos en desarrollo.
8. Cumplimiento Legal y Regulatorio: El incumplimiento de regulaciones y estándares de ciberseguridad puede llevar a sanciones y multas financieras significativas. Ejemplo: Una empresa de servicios de salud no cumple con las regulaciones de privacidad de datos y es multada con una cantidad considerable por autoridades regulatorias.
9. Daño a la Reputación: La falta de medidas de ciberseguridad efectivas puede dañar la reputación de la empresa, ahuyentando a clientes y socios comerciales. Ejemplo: Un banco sufre un ataque cibernético que resulta en la pérdida de datos personales de sus clientes, lo que lleva a una crisis de confianza y a la fuga de clientes.
10. Fraude Financiero: La falta de controles de seguridad puede permitir el fraude financiero interno o externo, afectando la estabilidad financiera de la empresa. Ejemplo: Un empleado con acceso a cuentas financieras manipula transacciones y desvía fondos a cuentas personales, generando pérdidas significativas para la empresa.

La ciberseguridad es esencial para proteger los activos más valiosos de una empresa en el entorno digital actual. Ignorar esta realidad y no invertir en ciberseguridad conlleva a una serie de riesgos que pueden tener consecuencias devastadoras. Desde fugas de información hasta interrupciones del negocio, los ejemplos mencionados demuestran que ninguna empresa está exenta de ser objetivo de ciberataques. Priorizar la ciberseguridad y adoptar medidas proactivas es crucial para mitigar estos riesgos y proteger el futuro y reputación de la organización.

Protege los datos de tus pacientes: Ciberseguridad en los hospitales

La ciberseguridad es una preocupación cada vez mayor en todos los sectores, pero es especialmente crítica en el ámbito de la salud. Los datos de los pacientes almacenados en los sistemas de los hospitales son altamente valiosos para los ciberdelincuentes y pueden ser utilizados para acceder a información confidencial, realizar fraudes y, en última instancia, poner en peligro la vida de las personas.

Es importante que los hospitales tomen medidas para proteger los datos de sus pacientes y garantizar la seguridad de sus sistemas. Esto incluye la implementación de medidas de seguridad física y lógica, como firewalls y contraseñas seguras, así como la formación del personal sobre ciberseguridad y cómo proteger los datos de los pacientes.

Además, los hospitales deben ser proactivos en la identificación y el monitoreo de posibles amenazas de ciberseguridad. Esto incluye la realización de pruebas de penetración y la contratación de expertos en ciberseguridad para garantizar la protección de los sistemas y datos sensibles.

De igual manera, los hospitales eben estra preparados para restaurar los servicios lo mas rapido posible cuando se encuentren bajo un ataque cibernetico ya que de ello puede llegar a depender la vida de los pacientes.

Desafortunadamente, para Colombia no existe una regulacion que obligue a los hospitales a cuidar la los datos de los pacientes como si es el caso de Estados Unidos con su HIPAA, en su laguar, existe esta ley en la cual nos podemos apoyar: ley 1581 de 2012.

En resumen, la ciberseguridad es una preocupación crítica en el sector de la salud y requiere un enfoque proactivo y sistemático para proteger a los pacientes y garantizar la seguridad de sus datos. Al adoptar medidas de seguridad adecuadas y sensibilizar a los pacientes y al personal sobre cómo protegerse de las amenazas cibernéticas, los hospitales pueden garantizar que sus sistemas estén protegidos y sus pacientes estén seguros.

Si no quiere invertir en ciberseguridad apague la tecnología

La tecnología informática es uno de los principales pilares de toda organización que desee mejorar sus procesos incorporando hardware y software para que les permita agilizar el procesamiento de la información, debe tener en cuenta que la ciberseguridad es un componente inherente a la tecnología informática. 

Anteriormente, era fácil identificar un ataque cibernético porque los atacantes se ocupaban de dejar sin servicio el sitio web de las organizaciones o algún otro servicio, esto lo publicaban para ganar fama y prestigio como un "hacker peligroso".

Hoy en día, los delincuentes informáticos solo quieren robar la mayor cantidad de información y cuando digo robar no me refiero a extraer la información y borrarla de sitio, me refiero a copiarla y usarla posteriormente para diferentes fines como puede ser la extorsión, venta de información, espionaje industrial, entre otros.

Aquí vienen dos datos importantes, el 71% de los ataques cibernéticos tienen una motivación económica, en otras palabras, los delincuentes buscan obtener dinero de preferencia digital, el cual es actualmente difícil de rastrear. El segundo dato importante es que a una organización le toma aproximadamente 280 días en detectar un ciberataque, este dato puede crecer o disminuir de acuerdo con la experticia del equipo de ciberseguridad.

Si no ha contemplado involucrar la ciberseguridad como uno de sus objetivos empresariales, su organización puede estar en alguno de estas tres opciones:

• Fue comprometida y no se dio cuenta.
• Está siendo víctima de un ataque y no ha sido detectado.
• Es posible blanco de ataque para los delincuentes, solo es cuestión de tiempo.

Por todo esto, si su organización depende de la tecnología para operar, debe tener involucrada la ciberseguridad como medida de protección. Para determinar que tan importante es la tecnología, por favor, mida cuento es el tiempo su empresa puede funcionar sin el componente tecnológico. 

Véalo de esta forma: 

"La ciberseguridad busca proteger a la empresa para que siga produciendo dinero."

Dedique presupuesto a la ciberseguridad es para el beneficio de su negocio.

 

Conoce las principales ventajas de la certificación ISO 27001 y el porqué es recomendada

Las certificaciones ISO son documentos que acreditan que una organización cumple con una normativa ISO, esto demuestra que se ha implementado de manera adecuada los estándares requeridos por una certificación. Este es un factor diferenciador entre tu organización y su competencia. 

Para el caso de la certificación ISO 27001, alcanzar esta certificación demuestra que la organización se preocupa por la protección de la información tanto propia como de terceros. 

En palabras cortas, la norma ISO 27001 se basa en los sistemas de gestión de seguridad de la información. Determina que la compañía cumple con la norma en todo lo relacionado con la gestión de la seguridad de la información.

A continuación se enumeran algunas de las ventajas de alinearse con la norma ISO 27001:

• Es una norma reconocida internacionalmente para la gestión de la seguridad de la información.
• Muestra el compromiso de la organización con la mejora continua de la seguridad de la información.
• Muestra el compromiso de preservar la seguridad de la información, tanto la propia como la de terceros, proveedores, socios comerciales y partes interesadas.
• Ofrece una ventaja competitiva al demostrar una adecuada gestión de riesgos.
• Puede facilitar los negocios o colaboraciones con organizaciones muy reguladas. 
• Reduce la probabilidad de que se produzcan violaciones de datos propios o de terceros.
• Puede atraer a candidatos y socios comerciales de mayor calidad.

Esta certificación es sinónimo de seguridad en la protección de datos, esto atrae nuevos clientes y socios comerciales. También le permitirá estar un escalón arriba de su competencia, o simplemente le permitirá destacarse en su sector.  

Conoce la importancia de documentar las actividades de la organización y porque es recomendable hacerlo

En este post verás las diez principales razones por las cuales se recomienda documentar los procesos de la organización y la importancia de hacerlo para mejorar el desempeño organizacional: 

1. Los procedimientos son ejecutados de la misma forma de acuerdo a la documentación existente. 
2. En ausencia del empleado encargado de una actividad, esta labor podrá ser desarrollada por otro empleado siguiendo la documentación. 
3. Al estar documentados los procedimientos y tareas, el conocimiento es de la organización evitando tener dependencia de los empleados.
4. La documentación deberá estar desarrollada y mantenida actualizada por los empleados que ejecutan las actividades, el ejercicio de realizar la actividad de acuerdo a la documentación garantizará una buena transferencia de conocimiento.
5. El nuevo personal contratado se incorporará más rápido a su puesto de trabajo debido a que podrá ejecutar tareas de acuerdo con la documentación existente.  
6. La documentación deberá ser desarrollada y actualizada por el personal con mayor experiencia en el proceso a documentar, incluya en la documentación las lecciones aprendidas a través del tiempo. 
7. Use indicadores de gestión para medir del desempeño de sus empleados al desarrollar las actividades documentadas, esto le permitirá hacer mejoras en cada proceso y evaluar el desempeño de sus empleados. 
8. Toda labor dentro de la organización deberá ser documentada, esto le permite llevar un control y seguimiento en caso de cambio de personal asignado.
9. Si desea optar por alguna certificación ISO, lo más probable es que te exijan tener los proceso documentados, esto adicional es una muy buena práctica empresarial.
10. Siempre vas a poder repetir los procedimientos de la mejor manera y podrás mejorarlos constantemente por medio de lecciones aprendidas, nuevas técnicas, nuevas tecnologías, nuevas metodologías o mejores formas de hacer la misma cosa. 

Este es el decálogo de las razones por las cuales te recomiendo documentar y actualizar permanentemente la documentación de los procesos.

Conoce el contenido de los seis pasos de la gestión de vulnerabilidades para mejorar tu ciberseguridad

En este post conocerás los seis pasos recomendados para diseñar un plan de gestión de vulnerabilidades efectivo que te permita proteger los activos de la organización.

Empecemos la siguiente definición:

Vulnerabilidad: Debilidad en el software o en el hardware que le permite a un atacante comprometer la confidencialidad, integridad o disponibilidad del sistema o de la información que procesa.

Ahora, con esta definición en mente debemos diseñar un plan que me permita identificar y tratar estas vulnerabilidades. El plan que diseñemos deberá contar con los siguientes seis pasos:

1. Identificación de activos y priorización: debes identificar y priorizar los activos que van a ser objetivo de análisis.
2. Tipos de pruebas, escenarios, métricas: aquí defines el tipo de pruebas, los escenarios desde donde serán ejecutadas y que métricas deberán ser medidas.
3. Análisis de vulnerabilidades: Aquí debes ejecutar el análisis de vulnerabilidades planeado en el paso anterior.
4. Priorización, diseño plan de remediación: Es momento de analizar los datos recolectados y diseñar un plan de remediación de acuerdo a los recursos con los que cuentes.
5. Ejecución del plan de remediación: En este paso se remedian las vulnerabilidades de acuerdo al plan trazado en el paso anterior. En algunas ocasiones se debe verificar que la implementación de la solución haya sido efectiva.
6. Medir para mejorar el proceso: Una vez finalizado el plan de remediación se debe de medir la efectividad, para ellos se deben tener en cuanta los indicadores definidos en el paso dos.  

Estos son los seis pasos recomendados para ser incluidos en el diseño del plan de gestión de vulnerabilidades, tenlos en cuenta para avanzar de forma rápida y fácil en la protección de los datos de tu organización. 

Conoce la importancia de tener un equipo de ciberseguridad con dos ejemplos recién salidos del horno

En este post revisaremos cuan importante es contar con un equipo de ciberseguridad viéndolo desde la perspectiva de dos ejemplos que han ocurrido recientemente. 

Para nadie es un secreto que Internet es un ambiente hostil desde donde constantemente se reciben ataques peligros que pueden llegar a ponerte en riesgo a ti y a tu organización, ni que hablar del número de ataques que vienen desde dentro de la propia organización. Estos ataques ponen en riesgo la información digital de tu organización la cual es vital para su operación.

Esta semana han ocurrido dos sucesos importantes de ciberseguridad, primero, una organización fue atacada ferozmente a tal punto que sus servicios se vieron altamente afectados, ya que tanto sus bases de datos como sus copias de respaldo fueron borradas completamente.

Desconozco si al día de hoy se han podido recuperar, pero es el momento para que te tomes un tiempo y te preguntes, ¿Qué pasaría si todas las bases de datos de mi organización fuesen borradas y no se pudieran recuperar? Esto es un evento que toda organización quiere evitar y por ello toma controles preventivos para evitar que se materialice. 

El segundo evento es la revelación por accidente de una vulnerabilidad que se creía parchada por el fabricante, pero que no era así. Tu equipo de ciberseguridad ya debió de haberte informado acerca de este asunto y ya debe estar tomando las acciones necesarias para mitigar el impacto. Una vulnerabilidad de este calibre deber ser tratada lo antes posible.

Para estos dos casos, es sumamente importante que cuentes con un equipo de seguridad capacitado que te pueda asesorar adecuadamente para evitar que cosas como estos dos ejemplos se puedan materializar al interior de tu organización.

Tienes cuatro opciones, contratar el personal adecuando para estas funciones, contratar una empresa de consultoría que se encargue de estos menesteres, formar empleados o esperar a que suceda un evento para reaccionar. 

No importa la decisión que tomes o hayas tomado, lo importante es que cuentes con un personal idóneo y capaz que te ayude a tomar las mejores decisiones en aras de cuidar la información digital de tu organización. 

Más allá de la ciberseguridad: empleando, manteniendo, transfiriendo y terminando puestos de trabajo.

Este blog está dedicado a temas de ciberseguridad, sin embargo, muchas veces pasamos de largo el tema de contratación, el cual influye de manera directa en la seguridad de los datos que son controlados por las personas que se contratan. En este post vamos a ver los asuntos que debes tener en cuenta cuando se contrata, transfiere o termina un contrato laboral desde el punto de vista de seguridad. 

En la parte de contratación, debes tener en cuenta que se debe verificar la información contenida en la hoja de vida, al igual que el resultado del estudio de seguridad que se debe hacer sobre el postulante al cargo, posterior a estas tareas iniciales, debes tener estos cuatro documentos:

• Contrato de trabajo
• Reglamento interno de la empresa
• Responsabilidad en el uso de recursos informáticos 
• Acuerdo de confidencialidad

Los dos primeros documentos son básicos para cualquier tipo de contratación, el tercero, corresponde a la definición de responsabilidad sobre el uso de los recursos informáticos, que está y que no está permitido hacer dentro de la organización con los recursos informáticos que le han sido asignados al empleado o los recursos informáticos que el empleado traiga para usarlos dentro de la compañía.  

El último de estos documentos corresponde al la protección de la información sensible a la que pueda llegar a tener acceso el empleado, en este documento deberá estar contenidas las acciones que puede hacer y las acciones que no puede hacer con la información de la empresa o de terceros, al igual que las responsabilidades o consecuencias que pueda llegar a tener por su uso no adecuado.

Es común que la organización no tenga un procedimiento adecuado para la transferencia entre diferentes cargos, como por ejemplo el cambio de un área a otra área, con solo esto, los permisos y las responsabilidades cambian, por lo que te recomiendo tener un procedimiento adecuando para estas situaciones. 

Finalmente, debes tener un procedimiento para cuando una persona sea sesada de su cargo, debes involucrar a todas las áreas relacionadas como por ejemplo, Recursos Humanos, Seguridad y Salud en el Trabajo, Jurídica, Informática entre otras, esto dependerá de cada organización. 

Si quieres mayor información, puede apoyarte del marco de seguridad de la información ISO 27001 en su dominio A7 que trata de Seguridad en los Recursos Humanos, estos son los objetivos y controles propuestos: 

• 7. Seguridad relacionada con los recursos humanos
• 7.1 Antes de la contratación
• 7.1.1 Investigación de antecedentes
• 7.1.2 Términos y condiciones de contratación
• 7.2 Durante la contratación
• 7.2.1 Responsabilidades de gestión
• 7.2.2 Concienciación, educación y capacitación en SI
• 7.2.3 Proceso disciplinario
• 7.3 Terminación o cambio de puesto de trabajo
• 7.3.1 Terminación o cambio de responsabilidades de empleo

Como siempre, recuerda que estas recomendaciones son de carácter general, puedes tomarlas como línea guía y agregar o suprimir controles de acuerdo a las características de tu organización. 

Ciberseguridad: cinco aspectos a tener en cuenta para evitar dolores de cabeza.

Son nuevos tiempos, nuevos desafíos, los momentos en los que se contrataba personal y no se capacitaba quedó atrás, la tecnología avanza a pasos agigantados y por ende día a día salen nuevos tipos de ataques cibernéticos que buscan hacerse con los datos de las empresas o que simplemente los secuestran para pedir dinero a cambio de liberarlos. A continuación enumeraremos cinco aspectos que debe considerar para mantener activa la seguridad de su información:

Capacitación

Cuando hablamos de capacitación no solo nos referimos a que los técnicos sepan operar la tecnología de la organización, nos referimos a capacitar todo el personal de la empresa, recuerde que ellos son la primera barrera de defensa contra un ataque cibernético. Un alto ejecutivo que sepa detectar un ataque de phishing, una secretaria que detecte un email falso, son dos ejemplos de personal capacitado que pueden llegar a detener un posible ataque a la organización.

Identificación de riesgos

Saber identificar cuáles son los puntos débiles de la tecnología que posee la organización le permitirá tratar los riesgos en el momento adecuado, navegar a ciegas puede llegar a costar 1.000 veces más de lo que puede costar el invertir en un análisis de riegos, incluido análisis de vulnerabilidades técnicas.

Plan de respuesta a incidentes

Saber que hacer cuando se presenta un incidente es de vital importancia para proteger la información de la organización. Puede tener un equipo interno capacitado en atención de incidentes de ciberseguridad o puede contratar el servicio con una compañía especializada en el tema.

Plan de recuperación de desastres

Este ítem va de la mano con el anterior, pero acá nos centramos en que ya tenemos un plan para seguir operando mientras se soluciona el incidente de ciberseguridad. Centro de datos alterno, servicios en la nube, tecnología probada y copias de respaldo actualizadas son algunos elementos a tener en cuenta para tener un buen plan de recuperación de desastres.

Cultura de ciberseguridad

La protección de la información como cultura organizacional le garantiza que los usuarios van a saber tomar decisiones adecuadas para proteger la información de la organización. No es una tarea a corto plazo, lleva su tiempo el implantarla dentro de la empresa y su adopción debe empezar por la alta dirección. Tres son los aspectos que debe tener en cuenta: concienciación, entrenamiento y desarrollo continuo.

La ciberseguridad debe convertirse en uno de pilares de la organización, no por nada fue catalogado como uno de los principales riesgos que pueden llegar a afectar una organización. (revista Risk in Focus 2020).

Mantener un balance entres estos cinco aspectos le puede evitar dolores de cabeza previniendo la materialización de incidentes de ciberseguridad. 

Activando el servicio de teletrabajo de forma segura.

El teletrabajo llegó para quedarse, facilitando la forma de desarrollar las tareas cotidianas de forma remota. Facilitar el teletrabajo de forma segura es uno de los retos a los cuales se ven enfrentados los departamentos de tecnología ya que un descuido puede poner en riesgo la información digital de la organización.  

Estos son algunos de las recomendaciones para que la organización active el servicio de  teletrabajo seguro:

• Establecer canales seguros de comunicación: Se hace indispensable el uso de servicios como VPN para conectarse de forma remota a la red de la organización.
• No se recomienda activar direcciones IP públicas sobre equipos que no estén protegidos por un servicio de firewall, UTM, WAF entre otros.
• No activar servicios de red directamente sobre Internet.
• Utilizar programas de software licenciado. Teamviewer, anydesk y otros son software de pago que requieren licencia.
• Otorgar el mínimo de los privilegios para el usuario final.
• En lo posible utilizar software para prevención de fuga de información. DLP.
• Los equipos asignados a los usuarios finales deben tener end point protection (antivirus) licenciado y actualizado.
• Preferiblemente que los equipos de los usuarios remotos sean de la organización, con ello se puede tener mejor control de la información que se maneja en el equipo.
• Si el equipo es propiedad del usuario final, se debe establecer los controles adecuados para evitar la fuga de información como por ejemplo, subordinar el equipo a las políticas de la organización. (esto requiere de una autorización del propietario del equipo).
• Concientizar al usuario final en temas de ciberseguridad como por ejemplo, como evitar ser presa del phishing.
• Adquirir polizas de ciberseguridad para la organización. (En Colombia ya existen).

Estas son las recomendaciones básicas para que una organización le permita conectarse de forma segura a sus usuarios remotos. Tenga en cuenta que pueden llegar a existir recomendación particulares, por lo que se sugiere hacer los ajustes pertinentes de acuerdo con el perfil de la organización.

Métricas: la importancia de medir y controlar en ciberseguridad.

 

Las métricas en ciberseguridad permiten medir, controlar y tomar decisiones de acuerdo a sus resultados y metas definidas,  ajustándose a cada organización y a sus objetivos de negocio. En este post vamos a trabajar cinco métricas que pueden ayudarle a tomar decisiones relacionadas con la protección de los datos digitales de su organización.

Las métricas se deben medir por periodos de tiempo para permitir llevar estadísticas de su comportamiento y facilitar la toma de decisiones. En la mayoría de los casos, el periodo de tiempo se toma de forma mensual.

Relacionadas con la prevención de materialización de incidentes:

Tiempo medio para detectar o descubrir una vulnerabilidad.

Corresponde al tiempo que se demora la organización en detectar una posible vulnerabilidad presente en los activos y que puede llegar a ser explotada por alguna amenaza. Esta métrica se puede medir en días y el riesgo es directamente proporcional a esta métrica, a mayor número de días, mayor riesgo.

Tiempo medio de remediación de vulnerabilidades

Esta métrica corresponde al número de días que la organización se tarda en remediar  una vulnerabilidad una vez que ha sido detectada. Es de tener en cuenta que la no remediación de estas vulnerabilidades puede incidir en la materialización de los incidentes de ciberseguridad. A mayor tiempo de remediación, mayor riesgo.

Número de incidentes de ciberseguridad: reportados/solucionados

Corresponde al número de incidentes de ciberseguridad reportados en un periodo de tiempo y la atención y soluciones de estos incidentes.

Tiempo medio para detectar o descubrir la causa de un incidente

Se refiere al tiempo medio que se tarda en descubrir un problema. Mide el período entre la materialización del incidente y la cantidad de tiempo que le toma identificar la causa del mismo. El equipo de atención de incidentes debe tener tiempos cortos de detección para poder a entrar a trabajar sobre la causa.

Tiempo medio de resolución de un incidente

Se refiere al tiempo que lleva solucionar el incidente. Es una medida de la cantidad promedio de tiempo que se necesita para solucionar la materialización del incidente.

Cuando se habla de tiempos, lo más común es que sea en días, claro está que existen organizaciones que toman estos periodos de tiempo en horas, incluso minutos, ya que una hora de inactividad puede costar miles de dólares, ejemplo: sector financiero.

Una cita del famoso físico matemático británico, William Thomson Kelvin: “Lo que no se define no se puede medir. Lo que no se mide no se puede mejorar. Lo que no se mejora, se degrada siempre”.

Es importante definir las métricas adecuadas para la organización ya que esto facilita la toma de decisiones y el ajuste de procesos. No tener métricas es tomar decisiones a ciegas.

Otras métricas que pueden resultar de interés:

• Número de intentos de intrusión/contención
• Costo por incidente
• Número de usuarios con nivel de acceso "privilegiado".
• Número de días para desactivar las credenciales de los empleados.
• Frecuencia de revisión de accesos de terceros

De donde obtener el dinero para ciberseguridad.

En la mayoría de las empresas, las áreas de tecnología y seguridad son vistas como un gasto con pocos beneficios para la organización cuando en la realidad, son estas áreas las que están apalancando el crecimiento de la empresa mediante el desarrollo de nuevos productos y servicios que harán los procesos más eficientes generando mayores utilidades. 

La inclusión del componente de tecnología dentro de los procesos del negocio trae consigo los riesgos digitales y por ende el tratamiento de los mismos mediante el componente de ciberseguridad.  El costo de este nuevo componente deberá ser cargado a cada proceso donde se involucre la tecnología, ya que se debe propender por el cuidado y seguridad de la misma. 

Vamos a ver un ejemplo, tenemos una planta de producción de productos químicos la cual  requiere de seguridad física las 24 horas del día, el costo de la seguridad física con seguridad estará cargada al proceso de producción de productos químicos, de igual  forma debería ser con los costos del cuidado de los componentes tecnológicos de los cuales se ve beneficiado el proceso de producción ya que sin ellos no podría operar la planta.

Cada componente que se adquiere en ciberseguridad deberá estar sustentado por  uno o varios procesos a los cuales se les va a servir, y cada proceso deberá aportar recursos económicos para sostener los componentes de tecnología y por ende los de ciberseguridad. 

En conclusión, los recursos para ciberseguridad deben ser aportados por los procesos donde esté involucrado el componente tecnológico, el cual requiere de mantenimiento y protección. 

Ciberseguridad: el eslabón más débil de la cadena, el humano.

En la actualidad se habla de ciberseguridad, hackers, pérdida de información, riesgos digitales, vulnerabilidades, robo de datos entre otros, todos estos términos se relacionan de una u otra forma con la protección de la información.  Constantemente las organizaciones gastan enormes sumas de dineros tendiendo a reducir los riesgos informáticos que puedan llegar a afectarlos desde el exterior, pero, qué sucede cuando nuestro principal enemigo (sin saberlo) está dentro de nuestra organización.

La mayoría de los ataques digitales se centran en el personal poco capacitado, aquel que si no es educado acerca de cómo identificar un riesgo, va a actuar de forma tal, que va a poner en riesgo la organización.

Vamos a centrarnos en un aspecto común a toda organización: contraseñas. Uno de los principales riesgos digitales es el uso contraseñas débiles, fáciles o compartidas. Esta práctica es más común de lo que se cree y son utilizadas tanto para la protección de los datos empresariales como para los datos personales, esta práctica se debe a la falta de capacitación y concientización en temas de ciberseguridad.

Una contraseña débil facilita el trabajo del delincuente informático. Un personal no concientizado asigna contraseñas débiles para facilitar su acceso a la información, sin tener en cuenta que con esta práctica está poniendo en riesgo los datos de la empresa y hasta sus propios datos personales.

Actualmente, las empresas dedican gran cantidad de recursos económicos en robustecer su infraestructura tecnológica, mediante la compra de equipos de última generación que mejoran la seguridad perimetral e interna de la red, pero surgen preguntas inquietantes como estas:

1. ¿Se está  capacitando a “todo” el personal interno y externo en temas de ciberseguridad?

2. ¿Tienen sus empleados y colaboradores las habilidades necesarias para identificar un riesgo digital?

Una buena seguridad comienza por la concientización del factor humano: alta dirección, administradores, terceros, soporte técnico y usuario final. El humano se volverá nuestra primera línea de defensa ante un ciberataque y no solo por el uso de contraseñas fuertes sino también por otros temas como identificación de correos fraudulentos, mensajes engañosos, personal no autorizado en la empresa entre otros.

Capacitación y concientización son dos herramientas fundamentales para reforzar el eslabón más débil de la cadena de ciberseguridad: “el humano”.