Al paso de los años cada vez mas en nuestra vida diaria tanto personal como laboral interactuamos con diversos sistemas informáticos.
Muchos grupos de personas o independientes se dan a la ardua tarea en innovar mas y mejores aplicaciones que nos simplifiquen tareas diarias, a tal grado que tenemos aplicaciones moviles para tablets y teléfonos inteligentes y programas cada vez mas especializados de uso diario para empresas y personales.
La innovación se ve verdaderamente consumada cuando esta invención, investigación o nueva solución es adoptada por los usuarios con gran aceptacion y satisfacción. En estas épocas se viven innovaciones constantemente desarrolladas por personas independientes así como grupos interdisciplinariosde trabajo.
Al interactuar con mas aplicaciones, empezamos a generar mas datos y a demandar mas de ellos y así tenemos aplicaciones comerciales, pagos en linea, tramites gubernamentales online, tomamos capitación a distancia, herramientas para intercambio de información a distancia, expedientes médicos, control de inventarios, manejo de finanzas empresariales y personales, banca electrónica. correos, localizacion, etc.
Así como va en aumento la tecnología, sus aplicaciones y programas también aumenta la necesidad de asegurar la información que ingresa, intercambia y se genera. También va en crecimiento la inseguridad, las vulnerabilidades y los riesgos en estos sistemas, aplicaciones y en el mismo Internet. Incluso hoy en día se han hablado de ciberamenazas en sistemas SCADA (de control y de automatizacion), en espionaje financiero, robo de propiedad intelectual y suplantación de identidad.
La seguridad informática es Holisitica y Heterogenea, no es un proyecto si no debe considerarse un proceso dentro de los mas importantes de una organizacion, institucion, Gobierno y hasta en la empresa mas pequeña. Incluso a veces o dueños o administradores están mas preocupados por adquisición de nuevos programas, equipo de computo, reingenieria de procesos, automatizacion, etc. Eso es muy bueno para los negocios pero también un negocio con información segura también se se traduce en rentabilidad en el negocio.
Existen muchisimas circunstancias que provocan la inseguridad en los sistemas y no solamente nos referimos a los nuevos ataques, o al Malware de reciente creacion si no a situaciones humanas y culturales. Aqui citaremos en las que personalmente me he encontrado o colegas mios han detectado, que son de gran impacto en estos temas de inseguridad. Por ejemplo:
1.- Tengo 20 años asi y nunca me ha pasado nada: Frase muy común emitida en gran parte por Directivos, administradores o incluso dueños de empresas, pero si bien es cierto hace 20 años no existia la facilidad de contratar enlaces de comunicacion dedicados, la complejidad de los sistemas era diferente, la emision de la informacion era mas en papel que electronica, muchos tramites de gobierno no se hacian online. Por lo que este tipo de posturas evitan la insercion de procesos de seguridad de la informacion o actualizacion de las mismas por falta de conocimiento, la evoluciones de la inseguridad informatica ha crecido increiblemente durante estos 20 años, la aparicion incluso de nuevos dispositivos que se interconectan a nuestra red. Esto nos delimita que muchas empresas no desea actualizar su seguridad con 20 años de atraso temas de proteccion.
2.- Que protejo si no tengo nada que ocultar: Postura peligrosa porque todos tenemos el derecho a la privacidad, adicional a que no solamente nuestra informacion esta en riesgo si no de la empresa u organismo en donde estamos participando, los ataques ciberneticos siempre buscan la parte mas vulnerable y los excesos de confianza son catastroficos en cualquien ambito de la seguridad.
3.- Ciberseguridad, eso es para grandes empresas: Existen muchas empresas nacionales y trasnacionales de gran tamaño pero tambien hay un numero incluso mayor de empresas denominadas PyME que tambien, generan, gestionan, intercambian información y tambien deben de tener su privacidad, asi mismo tienen competencia. Desproteger una base de datos por el solo hecho de pensar que son empresas pequeñas. En algunos paises como tambien en Mexico el que roben informacion confidencial y personal puede tener repercusiones legales e incluso fincarles responsabilidades graves por esta omision de seguridad.
4.- Pero el encargado de sistemas sabe todo es su obligacion protegerme: Si bien los administradores dela infraestructura tecnologica cuentan con conocimientos especializados y conocen riesgos tambien deben de ser actualizados, por ello es importante e imperativo por parte de las empresas y organismos mantener actualizados a sus responsables de sistemas con capacitacion actualizada. En muchos casos el personal de sistemas no se les da ese apoyo e incluso ni siquiera el permiso de faltar un par de dias para capacitarse (corriendo los gastos de certificaciones y diplomados por parte del empleado) por ello se actualizan con la informacion que esta en la red aparte de cubrir sus actividades diarias, en la gran mayoria de los casos los encargados de sistemas les asignan demasiadas actividades que incluso a veces no son ni propias del area imposibilitando con ello la correcta proteccion y la ejecucion de la buenas practicas en la mayor parte de los casos.
5.- Soy el Director a mi no me implanten seguridad en mi equipo: Las direcciones, gerencias, supervisones o cargos denominados como altos o medios mandos se les da libertad de conexion y de uso del ancho de banda de una empresa pero si bien ellos podrian (o son mas bien) blanco de ataques y de vulnarebilidades por una omision dentro de un ecosistema seguro infiltran Malware a la organizacion o son el puente de los ataques hacia la intrusion de los sistemas de la organizacion. El tener jerarquia de permisos no quiere decir que deban de quedar desprotegidos.
6.- No hay repercusiones legales, ni para defenderme ni para exigirme seguridad informatica: A nivel internacional se han estado creando leyes para la proteccion de la privacidad, la seguridad de la informacion, la suplantacion de identidad y para cibercrimenes. En muchos paises se ha escuchado de ACTA, CISPA, SOPA, etc. Incluso en México esta la ley de proteccion de datos personales en posesion de los particualres esta ley gestionada por el Instituto Federal de Acceso a la informacion delimita que debe de haber una metodologia, procesos y responsabilidad del manejo de las bases de datos de cada una de las organizaciones privadas, en caso de su manejo inseguro existen multas, fincado de responsabilidades e incluso hasta carcel para los responsables de la inseguridad de la informacion. De la otra cara de la moneda en caso de existir ataques, fraudes electronicos e incidencias de inseguridad informatica existen procedimientos foreneses para la investigacion de las mencionadas situaciones.
7.- La verdad no creo en los ciberataques: El no creer en algo no nos exime de que nunca nos pase nada por crudo que se oiga pero en verdad si estamos desprotegidos solo es cuestion de tiempo. En las noticias de la prensa tradicional como Television y radio,en los periodicos incluso en Internet constantemente se hablan de nuevos ataques, vulnerabilidades, cada vez mas complejos Malware, incluso ciberataques entre paises. Hemos escuchado grandes ataques como FLAME, STUXTNET, GAUSS, DUQU, Operación Aurora, etc. que nos demuestran la complejidad de esos ataques, es real no es un mkito ni una historia cibernetica son hechos contundentes de la inseguridad que existe hoy en dia, es como si vivieramos sin puertas, sin cerraduras, con los vehiculos abiertos, etc cerrando los ojos y colocandonos en posiciones severamente riesgosas.
8.- Para que invertir en seguridad informatica, eso no me genera utilidad: el tener disponible una pagina que no este derribada por un ataque, el crear estados de confianza de un comprador, el estar en un sitio seguro de negocios, etc. Se han escuchado muchismos casos de que por no invertir en procesos y soluciones de seguridad han tenido cuantiosas perdidas economicas de las empresas en la bolsa de valores, perdidas de clientes, costosas recuperaciones de informacion destruida o perdida, ademas lo que nos dan de entregables las buenas practicas de seguridad informatica es que la informacion este disponible justo a tiempo, que sea accesible, que este en su estado original (que no sea modificada por personal no autorizado), que este intregra, que tenga privacidad e incluso tambien que cuente con procesos de recuperacion de los datos en caso de desastres. Es estrategico, rentable e imperativo el invertir en rubros de ciberseguridad.
9.- Los ciberataques solo pasan en peliculas: Cada segundo 18 personas son victimas del cibercrimen en el mundo Fuente el Financiero , las vulnerabilidades existen en todos los sistemas, todos los usuarios somos suceptibles a ataques, el desconocimiento de ello es nuestra mayor vulnerabilidad pero peor aun es no querer protegernos aun con conocimiento de causa.
10.- Tengo mi antivirus y mi firewall: Como comentabamos en parrafos anteriores la seguridad es holistica y hererogenea, no hay nada absoluto por ello se requiere la asesoria de un experto en ciberseguridad ya que cada caso tienes sus diferentes requerimientos, asi mismo la seguridad no solo es la la parte de equipo ni de aplicaciones, si no la cultura de los usuarios, capacitacion, las politicas internas y externas del uso de la informacion en empresas o instuciones, el conocimiento de los usuarios, las buenas practicas las metodologias y procesos como tambien las normativas como la ISO 27000.
11.- Pero a mi nadie me dijo nada: Es importante que una organizacion cuente con politicas claras y firmes para con los empleados en temas del manejo seguro de la informacion, no solo basta los controles de acceso a los archivos, los controles de instalacion de programas en los clientes, las restricciones de navegacion, si no que el empleado este enterado y firme de conocimiento que esta prohibido y por que, las responsabilidades que tiene, la extraccion de informacion por medio de USB o unidades de respaldo, todo lo que gira alrededor de las buenas praticas del uso de la informacion Tambien conocer acerca de la privacidad y de lo que implica publicar informacion, fotografias o ubicaciones de terceros sin su autorizacion asi como los riesgos de ello.
12.- Lo siento jefe pero me llego por correo: Alertar a todos los integrante de una organizacion de los peligros que existe en intercambiar informacion confidencial con entidades no autorizadas, el conocer que existen suplantaciones de identidad por lo cual se puede observar comportamiento anormales incluso en contactos de uso frecuente de intercambio de datos por correo. Crear procesos de confianza basados en las buenas practicas de la seguridad de la informacion. Gran parte del SPAM esta relacionado con la ingenieria social en la busqueda de robo de identidad. No debemos dejar eslabones debiles ni en el hogar ni en la empresa.
13.- Hagamoslo rapido porque Urge: Gran parte de los equipos a veces cuentan con el usuario y contraseña de fabrica y es como abrir una cerradura de casa con la llave maestra. Precuparnos por lo importante mas no por lo urgente, debemosde asegurarnos que los sistemas y dispositivos sean los mas seguros, esten correctamente configurados y operados con personal que tenga conocimiento con una dedicacion especial a su configuracion de manera correcta. Analizar que los sistemas que nos protejan sean verdaderamente seguros o incluso explorar el servicios contratado de externos para asegurar nuestra informacion con profesionales dedicados por y para ese tipo de servicios.
14.- Pues ya daselo al proveedor amigo: Los niveles de especializacion en seguridad informatica son muy amplios y bastos, por lo que siempre es recomendable contratar servicios o adquieir productos con personal que este capacitado y dedicado a ello, con la finalidad de que realmente lo que invierte cumpla su cometido y verdaderamente este garantizada la correcta inversion en temas de seguridad informatica.
15.- Luego lo vemos y nos aseguramos: Dejar la seguridad de lado es muy comun por que todavia no esta en la mente de muchos gerentes, dueños, directores, usuarios e incluso en administradores de sistemas. Esta comprometida nuestra empresa y la informacion que esta en ella, asi como nivel usuario dejamos nuestra seguridad a sorteo y la administracion de riesgos de lado. La tranquilidad y la seguridad no tiene precio.
Esto es lo que representativamente nos hemos encontrado incluso ustedes pueden tener todavia mas historias que contar y que han vivido. Como podemos ver existen muchisimas consideraciones incluso que van desde dentro de la cultura organizacional e incluso en la propia cultura personal a veces estamos faltos de sentido comun en estos temas. Asi como en la vida tenemos seguridad recordemos que tenemos una vida paralela electronica y binaria. Tenemos que cada vez estar mas y mas enterados de como hacer cara a estas situaciones.
Seguiremos informando para conocer mas acerca de este mundillo les dejo algunas recomendaciones valiosas de cultura general y estaremos informando mas acerca de esta nueva ciencia que es CIBERSEGURIDAD
No hay comentarios:
Publicar un comentario