“La clave para una seguridad buena y sin fricciones es comprender las necesidades y las operaciones de la empresa para crear controles de manera eficiente a su alrededor. La seguridad debe hornearse, no rociarse”.
Ingeniero de seguridad sénior, en Purple -Dan Perry
¿Qué es infosec?
Muy a menudo, una parte de la administración de riesgos de la información, la seguridad de la información (a menudo abreviada como “Infosec”) es el proceso de reducir y eliminar elriesgo de acceso, uso, divulgación, interrupción, eliminación, corrupción, modificación, inspección o grabación no autorizados.
Para proteger la información, y en el clima actual una gran cantidad de datos personales, las empresas deben seguir estos principios para manejar mejor su almacenamiento de datos:
La “Tríada de la CIA“
Confidencialidad
El principio de confidencialidad es garantizar que la información privada permanezca privada y que solo puedan verla o acceder a ella las personas que la necesiten para cumplir con sus obligaciones laborales.
Integridad
El principio de integridad está diseñado para garantizar que se pueda confiar en que los datos son precisos y que no se han modificado de manera inapropiada.
Disponibilidad
Proteger la funcionalidad de los sistemas de soporte y garantizar que los datos estén completamente disponibles en el momento (o según los requisitos del período) cuando los usuarios los necesiten. El objetivo de la disponibilidad es asegurar que los datos estén disponibles para ser utilizados cuando se necesiten para tomar decisiones.
Consulta las calificaciones de seguridad de la información de Purple al final de este blog.
“Se necesitan 20 años para construir una reputación y pocos minutos de un incidente cibernético para arruinarla”.
Formas de brechas de seguridad
Un hombre en el medio (MitM)
Unataque de MitMocurre cuando un pirata informático transmite en secreto y posiblemente altera las comunicaciones entre dos partes que creen que se están comunicando directamente entre sí.
Un ejemplo de un ataque MITM es el “espionaje” activo, en el que el atacante establece conexiones independientes con las víctimas y transmite mensajes entre ellas para hacerles creer que están hablando directamente entre sí a través de una conexión privada.
Suplantación de identidad (Phishing)
Phishinges cuando los atacantes intentan engañar a los usuarios para que hagan “algo incorrecto”, como hacer clic en un enlace incorrecto que descargará malware o dirigirlos a un sitio web poco fiable.
El Phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono, pero el término “phishing” se usa principalmente para describir los ataques que llegan por correo electrónico.
Denegación de servicio (DoS)
Un ataque de denegación de servicio (DoS)es un ataque destinado a apagar una máquina o red, haciéndola inaccesible para los usuarios previstos. Los ataques DoS logran esto inundando el objetivo con tráfico o enviándole información que desencadena un bloqueo. En ambos casos, el ataque DoS priva a los usuarios legítimos (es decir, empleados, miembros o titulares de cuentas) del servicio o recurso que esperaban.
Las víctimas de ataques DoS a menudo se dirigen a servidores web de organizaciones de alto perfil, como empresas bancarias, comerciales y de medios, u organizaciones gubernamentales y comerciales. Aunque los ataques DoS no suelen resultar en el robo o la pérdida de información importante u otros activos, su manejo puede costarle a la víctima una gran cantidad de tiempo y dinero.
“La seguridad no es algo que se compra, es algo que se hace y se necesitan personas con talento para hacerlo bien”.
Consecuencias de una brecha de seguridad
Pérdida de ingresos
Esta consecuencia puede ser fuertemente influenciada por el tipo de ataque cibernético que un hacker ha optado por utilizar, sin embargo, las fugas de datos adicionales resultarán en los costos de seguridad, la pérdida de valor de la cuota de mercado, así como los costos para compensar a los clientes afectados.
Reputación
Si bien un impacto a corto plazo en los ingresos de una empresa puede no parecer tan perjudicial, el costo real llega con el tiempo. Una vez que se conoce la noticia de una violación de la seguridad, los socios y los clientes potenciales/existentes no pueden pensarlo dos veces antes de “saltar del barco” y sacar una parte aún mayor de los ingresos de la empresa.
Accion legal
Multas, multas y más multas.
Existen numerosas regulaciones en todo el mundo que las empresas deben seguir, por ejemplo:
- Europa – GDPR (GDPR es una regulación de la UE y ya no se aplica al Reino Unido)
- Reino Unido– Ley de protección de datos
- China– Ley de protección de la información personal
Según el GDPR y la DPA del Reino Unido, la multa máxima que se puede aplicar es de £17,5 milloneso el 4% de la facturación global anual, lo que sea mayor. Sin embargo, las empresas que operan bajo el GDPR de la UE y la DPA pueden pagar una multa máxima de €20 (18 millones de libras esterlinas).
Interrupción de operaciones
Con cualquier intento o incumplimiento exitoso, todas las empresas enfrentarán un impacto en las operaciones como investigaciones exhaustivas para informar el daño, la causa y encontrar la fuente.
En algunos casos, las empresas se detienen por completo para controlar los daños y diseñar un plan de recuperación, y durante este tiempo todos los puntos anteriores empeoran.
La mayor violación de datos del siglo XXI
En el 2013 Adobe fue pirateado y se obtuvieron más de153 millones de registros de usuarios, incluidos ID cifrados, contraseñas e información de tarjetas de débito y crédito.
Adobe tuvo que pagar $1,1 millones en honorarios legales y en noviembre de 2016, la cantidad pagada a los clientes se informó en $1 millón.
“Si no puede pagar la seguridad, no puede permitirse una infracción”.
Certificación infosec de Purple
ISO/IEC 27001
Purple cumple con la norma ISO/IEC 27001 para el diseño y desarrollo de software de wifi basado en la nube para el manejo y almacenamiento de datos personales. Nuestra certificación ISO es algo que hemos mantenido durante varios años y nos ha asegurado que tengamos los procesos, las personas y la tecnología correctos para garantizar la entrega segura de nuestro producto de acuerdo con nuestras obligaciones con nuestros clientes y sus interesados. ISO 27001 designó un marco de controles que abarca todo el negocio, desde cómo administramos nuestros recursos humanos hasta la criptografía.
Al tomar esta línea de base y ampliarla para alimentar nuestros objetivos comerciales (requisitos internos) y las expectativas de nuestros clientes (requisitos externos), hemos construido una forma de operar segura y repetible que se adapta a su propósito.
CyberEssentials+
El esquema de Cyber Essentials es un esquema relativamente nuevo respaldado por el gobierno del Reino Unido y el NCSC que tiene como objetivo habilitar a las pymes (pequeñas y medianas empresas) como una forma de garantizar una línea de base de seguridad para sus clientes y permitirles solicitar procesos de contratación pública.
La certificación Cyber Essentials es una herramienta de autoevaluación, sin embargo, debido a la confianza en nuestros controles, especialmente al haber implementado ya el marco ISO 27001 más robusto, dimos un paso más y logramos la Certificación Cyber Essentials Plus al tener nuestros controles validados frente a un socio de seguridad CE+ acreditado independiente.
¿Estás ansioso por aprender más? Aprende Cómo mantener tu negocio seguro en línea –Lee aquí