Recurso 1
Categorías
Noticias Lãberit

Datanet y AIJU celebran la jornada ‘Ciberseguridad, la gestión del riesgo en la era digital’

Las ponencias trataron de cómo mantener una empresa protegida de un ciberataque.

Ayer se celebró en Alicante en colaboración con AIJU (Instituto Tecnológico especializado en juguete, producto infantil y ocio) esta interesante jornada en la que intervinieron los expertos de Grupo Lãberit, Javier Clemente y Matías Adés, y el experto en ciberriesgo Arturo Albaladejo (Torres Asesores de Seguros). Allí se analizó una serie de medidas, muchas de ellas sencillas de adoptar, que puede tomar cualquier organización preocupada por la ciberseguridad.

Clemente, Gerente de la Unidad de Negocio de Sistemas en Grupo Lãberit, abordó el tema de la ciberdelincuencia destacando que “no podemos subestimar a los ciberdelincuentes ya que dedican gran parte de su tiempo a estar formados en las últimas tecnologías”. Para enfatizar en el problema de la seguridad, citó diversas fuentes de renombre, las cuales indican que vivimos en una sociedad exquisitamente dependiente de la tecnología, en la que muchos usuarios no saben nada sobre ella, sino que simplemente la consumen y, en consecuencia, un adversario puede querer usar esa dependencia para dañarnos. Sin la ciberseguridad no vamos a poder hacer uso de la tecnología y las comunicaciones de forma confiable.

Además, Javier Clemente argumentaba la necesidad de la coherencia en todas las facetas empresariales: “La seguridad de mi empresa ha de estar totalmente alineada con mis procesos de negocio”.

Datanet y AIJU celebran la jornada 'Ciberseguridad, la gestión del riesgo en la era digital'
Javier Clemente, Gerente de Sistemas en Grupo Lãberit en la jornada de Ciberseguridad

Por su parte, el consultor en ciberseguridad del Grupo Lãberit, Matias Adés, se centró en el usuario “que ha de estar formado y concienciado correctamente, por tratarse hoy del eslabón más descuidado y por tanto más débil de la cadena de seguridad de la empresa. Esto lo transforma en el principal objetivo de ataque simplemente porque las organizaciones, cuando deciden invertir, sólo se centran en medidas de seguridad técnicas”.

Añadió que “el empleado en contacto con la tecnología debe poseer un perfil adecuado para responder correctamente ante amenazas de seguridad que atentan contra la disponibilidad y privacidad de los datos y procesos de negocio la organización, como así también de su vida personal. Hasta que las organizaciones no refuercen a los usuarios, los mismos no dejarán de ser el principal objetivo de los ciberdelincuentes”.

Durante la jornada se destacó que no formar y concienciar adecuadamente a los usuarios podría generar sanciones económicas de hasta 20 millones de euros por incumplimiento del GDPR.

Como conclusión, se expuso una serie de medidas que puede tomar cualquier organización para mitigar este riesgo:

    1. Educación y refuerzo.
    2. Simulación de ataques de Phishing y Ransomware para medir los hábitos seguros en usuarios finales.
    3. Evaluación de conocimiento y opinión.

Por cerrar el evento, el asesor de seguros en ciberriesgo, Arturo Albaladejo, presentó todas las opciones posibles para “garantizar el patrimonio, seguridad y la continuidad de los negocios” transfiriendo el riesgo a través de la contratación de seguros.

La jornada reunió a una treintena de empresas y está previsto repetirla en colaboración con otros institutos y organizaciones.

 

Categorías
Noticias Lãberit Técnica de sistemas

Cuando la amenaza viene de dentro

Si hablamos de delitos informáticos lo habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro, ubicados lejos de la organización, pero no siempre es así…

 

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como pueden ser la malversación de fondos o ataques de venganza tras haber sido despedidos

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”.

Cuando se habla de este tipo de delitos lo más habitual es pensar que quienes los llevan a cabo son desconocidos que residen lejos de nuestro entorno. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos.

Un gran número de delitos informáticos siguen produciéndose por parte de empleados que llevan a cabo acciones malintencionadas como malversación de fondos, ataques de venganza tras haber sido despedidos o robo de información.

Cuando la amenaza viene de dentro¿Para qué se utiliza comúnmente la información robada por los empleados?

En una reciente edición del “Data Breach Investigations Report“ de Verizon, se alertaba de que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el simple chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje.

Pero, ¿cómo suelen los empleados hacerse con la información? La fuente mencionada anteriormente indica que los empleados logran acceder a la información que roban mediante saqueo de bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo, como por ejemplo la fuga de datos. Pero existen medidas eficaces capaces de persuadir y prevenir estos delitos, como la implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación que pueden ser además utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consume algún tipo de delito.

Otra efectiva medida es la correcta implementación de políticas y gestión de contraseñas y controles de acceso, o una estrategia de respaldos y un plan de contingencia bien implantados. Todo ello ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusiones

A la hora de llevar adelante la gestión de seguridad de la información, las organizaciones deberían considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una exposición de riesgo elevado. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas – y es conocedor de ello – y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Matías Daniel Adés. Ingeniero en Sistemas de Información. Experto en Ciberseguridad en Grupo Lãberit.