¿Cómo garantizar la seguridad de la información en su empresa?

Por Juan Carlos Casale*

Desde hace cuatro años son populares los Ransomware, que realizan el secuestro de información valiosa de la organización para posteriormente exigir un pago para su recuperación. La metodología se basa en encriptar la información, donde fuere que esté alojada, y posteriormente mostrar un mensaje que manifiesta que los datos fueron secuestrados (puede ser un fondo de pantalla, un archivo de texto o una ventana emergente) y para realizar su “rescate” se debe pagar un monto de dinero virtual, de esta manera, si el pago se concreta, los atacantes envían la clave de desencriptación de los datos secuestrados.

Los objetivos de los secuestradores, generalmente, son los servidores, los respaldos de datos, los equipos dentro de la red. Van atacando sigilosamente y producen un gran daño a la organización.
La mayoría de las empresas ya tomaron recaudos sobre la amenaza, que puede ingresar por diversas vías: mail, USB drive, o descargas de software desde Internet sin los cuidados apropiados. La mayor casuística de ingreso es por descuido humano (el eslabón más débil en la seguridad informática). Primero hay que educar a los activos de recursos humanos que integran la empresa para que no cometan errores en el manejo de datos digitales. Además, Ees importante siempre mantener concientizadas a las personas que usan medios digitales (redes sociales, correo electrónico, dispositivos portátiles, equipos de escritorio).

El Ransomware (software de rescate) es considerado un Malware (software malicioso). Este tipo de programas existen desde antaño y últimamente la metodología de estafa se acentuó expandiendose por los medios digitales. Actualmente la comunidad está muy consciente de su existencia e intentan mitigar este tipo de ataques.

Estos programas funcionan, y son rentables, porque tiene un medio de pago difícil de rastrear, que es el bitcoin (una de las monedas). Los estafadores exigen esta criptomoneda, y cumplen con la devolución de la clave de cifrado para que su negocio sea rentable. Si se conociera que se paga y no retornan la clave, este tipo de estafa dejaría de ser redituable.

En las empresas es un tema muy sensible, ya que generalmente no tienen previstos respaldos de información adecuados ante ataques. Existen pymes que suelen tener un solo servidor con toda la información y cuando es atacado por este tipo de software malicioso detienen totalmente el trabajo diario. Por ejemplo, un estudio contable con toda la información en un solo servidor de cuentas de clientes e informes.

Medidas para evitar riesgos

Hay que mantener informado a los recursos humanos de la organización, advirtiendo sobre la llegada de algún mail dudoso, los archivos adjuntos que no deben abrirse por su dudosa extensión, el riesgo de conectar un pendrive sin antes revisar su contenido con programas anti-malware o anti-virus. En otro panorma, desde la gestión de sistemas informáticos, los activos informáticos deben contar con el bloqueo de los recursos de utilización de USB, filtros de contenidos en páginas web (internet) que se visitan, entre otras medidas.

A nivel estratégico de la empresa. se debe tener una política de seguridad informática que cuente con políticas de contraseñas; concientizar que los empleados no compartan las mismas, al igual que sus usuarios de acceso a sistemas o programas; no utilizar los usuarios por defecto de distintos programas informáticos.

La cotidianeidad laboral lleva a compartir claves y usuarios pero lo adecuado es que cada uno tenga su propio acceso. Por un lado, porque va en contra de la política de contraseñas y por otro lado, porque va en contra de la seguridad de la empresa, ya que si tiene problemas con procesos informáticos de la empresa (ejemplo: robo de información) no podrá identificar el responsable de ese usuario y contraseña. Por eso, hay que individualizar el uso de contraseñas y usuarios dentro de la empresa y si el empleado dice haber compartido la contraseña es su responsabilidad.

Para la política de contraseñas, se redacta un documento que se llama “Políticas de Seguridad Informática”, al cual la empresa y todos los integrantes deben leer y firmar. De esa forma, la empresa tiene sustento legal en el uso de los activos informáticos por parte de sus integrantes, por ejemplo si un empleado lleva a cabo un trabajo externo, eso va en contra de la política de seguridad de la empresa; si conecta dispositivos USB y copia datos; no se pueden abrir los equipos; cuando se realiza el préstamo de un equipo al empleado para cuestiones laborales, el empleado sabe que es para uso laboral.

El medio de prevención implica tener siempre una política de seguridad, realizar un documento sobre la misma y anualmente informar a todos los empleados solicitándoles que lo firmen en Recursos Humanos. La ventaja es, por un lado, concientizar al empleado, saber que los activos informáticos son de la empresa, y la empresa se resguarda ante litigios que pueda tener a futuro con los trabajadores. Pocas empresas tienen las políticas de seguridad firmadas.

En cuanto a seguridad informática personal, en el uso de dispositivos móviles, estos deben tener algún tipo de bloqueo, por ejemplo una clave alfanumérica que es más seguro, o el desbloqueo mediante huella digital, que es cómodo y seguro. No obstante, la seguridad depende de la cautela de cada usuario.

En cuanto a las redes sociales, suele creerse que no poseen información sensible, pero son útiles a aquellos que utilizan medios de estafas como suplantación de identidad digital, robando sus fotos, formas de expresarse en la red y de esta forma hacerse pasar por otra persona en las redes. Creando una identidad falsa, que fue “clonada” de otro, los delincuentes pueden estafar, difamar, calumniar, injuriar o difundir contenido inapropiado. Existen casos resonantes de grooming, extorsión, acoso que todos los días podemos leer en las noticias.

*Coordinador de Laboratorios de IES, se desempeña en el área de Informática de la institución. Especialista en Seguridad, Auditoría y Peritaje Informático.

Predeterminado del sitio

Redactor de Contenidos IES