¡Cuidado con las fugas de información y los ciberataques!

Estos problemas cibernéticos causan millones de dólares en pérdidas para las empresas. Te decimos cómo hacer frente a esta situación.

Fecha:26-Jul-2013 

BY: Enrique Duarte

© Getty Images

A nivel mundial las empresas pierden 350 mil millones de dólares al año por estos ataques.

Tal vez aún no nos hemos dado cuenta del peligro potencial en el que nos encontramos en esta época de las Tecnologías de la Información (TI), pero existen personas y hasta compañías informales (llamados piratas cibernéticos) que se dedican a robar la información de las empresas para lucrar de alguna forma, al parecer muy buena, con esos datos.

Con el paso del tiempo este problema ha ampliado su capacidad de afectación. El valor económico que representa las pérdidas para las empresas a nivel mundial alcanza los 350 mil millones de dólares (mdd) anuales por ataques informáticos, según estimaciones de Grupo Dice, una compañía distribuidora de equipamiento para la infraestructura de TI.

 Por otro lado, la Unión Internacional de Telecomunicaciones (el ente regulador del sector a nivel mundial) destacó a principios de julio que la incidencia de estos ataques experimentó un incremento de 30 por ciento de 2011 a 2012, y en el último año afectaron a unas 550 millones de personas a nivel mundial, causando pérdidas económicas por 110 mil mdd.

Al parecer el negocio del robo informático está funcionando y algunas empresas, quizá, ni siquiera saben que han sido víctimas y lo peor es que muchas no saben qué hacer.

¿Dónde se origina el problema?

Primero veamos qué es lo que está provocando que las empresas sean víctimas de ciberataques por fugas de información que se dan desde el interior de ellas mismas.

La empresa Cisco, fabricante de equipos para redes, maneja 5 puntos muy bien condensados acerca del problema, mismo que relaciona por descuidos y prácticas de los propios empleados de las empresas:

• Uso de aplicaciones no autorizadas que provocan la pérdida de información en sus empresas.
• Uso indebido de computadoras de la empresa al compartir dispositivos de trabajo con otras personas sin supervisión.
• Acceso no autorizado tanto físico como a través de la red.
• Seguridad de trabajadores remotos al transferir archivos entre computadoras del trabajo y personales al laborar desde el hogar.
• Uso indebido de contraseñas al compartirlas con sus colegas.

El fenómeno de los ciberataques tiene como su principal víctima a las Pequeñas y Medianas Empresas (Pymes) debido a que algunas carecen de un área específica que se encargue de controlar este problema.

Según el informe anual de amenazas de seguridad en Internet que publica Symantec, uno de cada tres ataques va dirigido a las Pymes, es decir, aquellas empresas de no más de 250 empleados que manejan gran cantidad de información bancaria, datos de clientes y propiedad intelectual.

¿Cómo combatir los ciberataques?

Todas las empresas que manejen datos sensibles se encuentran en riesgo de ser víctimas de un ciberataque, pero sectores como el financiero, bancario, farmacéutico, salud, seguros, investigación e innovación presentan más incidencias a nivel global.

La empresa Cisco maneja una serie de recomendaciones que dejamos a continuación para las empresas que estén interesadas en iniciar un proceso de mayor seguridad para su información:

Conoce tu información y adminístrala bien	Como el propósito de la colaboración es abrir y compartir información, proteger los datos comienza por entender cómo las personas interactúan con ellos todos los días. Tú puedes: Establecer herramientas y procesos que rastreen el movimiento de datos para saber dónde  se almacenan, cómo se accede a ellos y quiénes los utilizan. Identificar los tipos de datos que requieren un régimen especial de protección tanto en el  interior como exterior de tu empresa. Considerar nuevos métodos de seguridad para las herramientas y capacidades de nueva  generación.
Proteje la información empresarial como si fuera tu posesión más valiosa	Enséñale a tus empleados que la información empresarial es esencialmente dinero: perder o favorecer la fuga de datos empresariales es lo mismo que tirar dinero a la basura y dejar que la competencia lo encuentre y utilice en su contra. Y es muy probable que la información se use para perjudicar a la empresa en cuanto a su marca, ingresos, cotización bursátil y confianza del mercado. Los empleados deben comprender y poner en práctica los siguientes procedimientos básicos de seguridad: Para proteger los sistemas utiliza sólo aplicaciones y métodos de acceso autorizados, mantén actualizado el software de seguridad además de las aplicaciones antivirus, respeta y conserva las configuraciones de seguridad, comprende las consecuencias de aceptar o  rechazar estas acciones y prepárate para los distintos métodos de ataque como el correo no deseado, software malicioso y phishing. Para proteger los dispositivos portátiles, mantenlos contigo o bloqueados en todo  momento, no compartas tus dispositivos laborales ni los utilices para actividades personales, no envíes información confidencial desde sistemas laborales a dispositivos personales, y no accedas a sitios inapropiados ni descargues información indebida. Para evitar el acceso no autorizado a información, cierra sesiones o bloquea los sistemas cuando te alejes momentáneamente de tu computadora o te vayas a casa al final de la jornada, utiliza buenas técnicas de creación de contraseñas, no compartas tus contraseñas con nadie y almacénalas en forma segura. Para evitar el robo de información cuando estés de viaje, baja la voz cuando tengas que hablar sobre información confidencial en público, usa filtros de privacidad para evitar que alguien vea sobre su hombro, usa una red VPN y nunca uses una impresora compartida a menos que estés presente para recoger enseguida lo que imprimiste.
Institucionaliza códigos estándar de conducta segura en tu empresa	Las políticas de seguridad con respecto a la información son una parte integral del código de buena conducta empresarial y todos deben leerlas, comprenderlas y acatarlas. Los profesionales de TI deben pensar en forma global y actuar en forma local estableciendo objetivos de política generales y formulando planes de educación localizados adaptados según la cultura y el panorama de amenazas del país. Los empleados deben comprender que son fundamentales para conservar la seguridad de la empresa y aceptar la responsabilidad de protegerla. Sacrificar el nivel de calidad y seguridad en pos de la conveniencia es un error que las empresas no pueden permitirse cometer. Todos los empleados deben: Regirse por el código de buena conducta comercial de la empresa al llevar a cabo sus actividades laborales cotidianas, especialmente aquéllas relacionadas con la seguridad de la información. Estar constantemente atentos al entorno y pensar en la seguridad en cada acción que realicen en la oficina, el hogar y cuando estén de viaje. Aprender cómo manejar los diferentes niveles de confidencialidad para los documentos de su empresa. Esto incluye comprender las diferencias entre información “pública”, “confidencial”, “sumamente confidencial” y “restringida”.
Fomenta una cultura y un entorno de honestidad y confianza	Los empleados deben sentirse cómodos con el panorama de seguridad de la empresa para poder poner en práctica las directivas de seguridad. Deben saber a qué organización de seguridad informar sobre conductas sospechosas, ataques reconocibles o incidentes de seguridad (incluso si fueron causados por ellos mismos), y deben sentirse cómodos iniciando dicho contacto. Los profesionales de TI deben enseñar a los empleados: Cómo evitar los errores de seguridad destacando las áreas de mayor vulnerabilidad. Prácticas adecuadas para proteger los sistemas y los datos. Qué constituye un incidente de seguridad informática y cómo informar de ello.
Establece prácticas que fomenten la conciencia y educación sobre la seguridad en tu empresa	Crear conciencia sobre los temas de seguridad es fundamental para lograr el apoyo de los empleados. Cuando un empleado cree que los programas de seguridad son importantes, es más probable que acate los procedimientos pertinentes. Un plan de educación debe: Instruir y capacitar a los empleados con respecto a las expectativas que tiene la empresa en relación con la protección de datos. Incluir capacitación y prácticas de seguridad en la orientación de nuevos empleados. Capacitar a los empleados sobre las medidas de seguridad que deben considerar al responder el teléfono y al conectarse a sitios Web 2.0, redes sociales y sitios de colaboración. Capacitar a los empleados sobre temas de seguridad física, como permitir que sólo empleados con credenciales de seguridad accedan a los edificios.

Fuente: QuimiNet con datos de Cisco.

 http://www.quiminet.com/empresas/cuidado-con-las-fugas-de-informacion-y-los-ciberataques-3578445.htm?fj=7670296129343O3318948871736331839633126750312933345