En el Trabajo, la Ciberseguridad es Responsabilidad de Todos

¿Qué pueden hacer las personas para preservar la seguridad informática en el lugar de trabajo? Su organización está invirtiendo en herramientas de seguridad, existe un programa de concienciación, y si usted presta atención, descubrirá que existen estándares y procesos para elegir y mantener productos que le ayuden a proteger la información ¿Pero qué puede hacer un individuo?

Recuerde, usted es la primera línea de defensa, así que esté alerta e informado.

El problema es real, grande y se está agravando.

En el primer semestre de 2017, el compromiso del correo electrónico corporativo (BEC) fue una de las amenazas más grandes de la cual las empresas tuvieron que protegerse. De acuerdo con un estudio del FBI publicado en mayo pasado, las pérdidas mundiales debido a los fraudes BEC han alcanzado los $5,300 millones de dólares desde 2013. Sin duda, las cosas no mejorarán, pues a los defraudadores lo que les interesa es ganar dinero. Muchas empresas están renuentes de reportar estos problemas por temor a que su reputación se vea afectada de forma negativa.

[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog-1-768×387.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”768″ height=”387″]

Figura 1: La fuente de ataques más falsificada para comprometer el correo electrónico  

[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog1-3-768×377.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”768″ height=”377″]

Figura 2: El objetivo más común de los ataques para comprometer el correo electrónico

La respuesta necesita un esfuerzo coordinado e integral.

La seguridad efectiva en el trabajo no se da por casualidad. Requiere supervisión y dirección, así como políticas. Deben ejecutar una iniciativa efectiva para comunicar esas políticas. El Director de Seguridad de la Información (CISO) dirige la creación de las políticas y las iniciativas de educación. Él es quien consigue el presupuesto para apoyar el desarrollo de las políticas. El programa de seguridad de la información necesita estándares, los cuales deben incluir los controles, así como el proceso para tomar decisiones con el fin de mejorar ciertos controles basados en el riesgo adicional. El CISO dirige al equipo técnico que desarrolla estos estándares, y trabaja con las áreas de tecnología de la información, recursos humanos y seguridad para integrarlos en los procesos de procuración, desarrollo y operaciones de la organización. El equipo de seguridad de la información debe contar con los procedimientos para detectar un problema, manejar una brecha, resolver las consecuencias e informar a las partes interesadas del problema y su solución. Este equipo, dirigido por el CISO, debe establecer relaciones con proveedores clave y con las autoridades encargadas de aplicar la ley. Y es que el peor momento para establecer una relación con los investigadores es después de que se ha presentado el problema.

Y lo más importante, sus empleados deben estar convencidos del programa.

Cuando usted diseña un programa de concientización, considere este modelo para validar su efectividad. Imagine a un empleado de su organización que entra a su oficina y ve que alguien está haciendo algo en su computadora que podría ser incorrecto. Hágase estas tres preguntas sobre ese empleado:

  • ¿Sabría si la actividad es correcta o incorrecta?
  • ¿La reportaría?
  • Si tomara el teléfono, ¿sabría a quién llamar?

Si las respuestas son afirmativas, su programa es efectivo. Si una es negativa, su programa podría fracasar.

Si la persona no sabe cuáles son las malas prácticas, no las reconocerá y no actuará en consecuencia. Este es el sentido de la sensibilización en torno a la seguridad de la información.

Si decide que no lo reportará, incluso sabiendo que es algo malo, el programa fracasará. Tal vez escuchó que alguien reportó una vez el problema y ahora se le margina. Quizás habló con su director quien dijo, “Sí, esto es un problema, pero la otra persona no pertenece a nuestra área así que no debemos involucrarnos”. Esta es una prueba de la cultura de su organización.

Si toma el teléfono para hacer el reporte, pero la persona en el escritorio de ayuda no sabe qué hacer, entonces el programa ha fracasado. Esto pone a prueba los procedimientos de la organización.

Tenga en cuenta que estos resultados son independientes de la tecnología que la organización utiliza. La tecnología importa. La inversión es necesaria pero no es una condición suficiente para tener una protección exitosa. Pero sin el nivel adecuado de concientización, la cultura y los procesos adecuados para reforzar esa cultura, ningún nivel de inversión tendrá éxito.

 


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.