TU SEGURIDAD SE ENCUENTRA 100 X 100 SEGURA!!! 

En la actualidad somos testigos de numerosos cambios tecnológicos y cada vez se incrementan. En función a ello, corresponde una reflexión: Ahora que tengo una empresa, la pregunta que cabe formularse es: ¿Es mi información un activo?. Desde allí, uno comienza a pensar, de qué se está hablando cuando se refiere a la información. Por ejemplo, Dato es una representación simbólica de números, letras, situaciones, mientras que la Información es un conjunto de datos procesados y que conllevan un mensaje al usuario final. Sí, a nosotros, dueños de la empresa.

Empresas

 Fuente: Google images

Pensamiento tradicional “….Pero ahora con la tecnología, yo no tengo de qué preocuparme si todo está en mi archivo interno, está en los CDs, o en eso que los tecnológicos llaman servidores. Yo sé que está segura mi información, así que prefiero continuar trabajando, ya que debo seguir resolviendo problemas de mi empresa. Bueno, como dicen: Stop antes de hacer un click, reflexionemos por unos segundos. Lo primero que debemos considerar, es que lo principal que hoy mueve a una empresa es la información que manejamos, de eso dependen proveedores, clientes, nuestro negocio. A eso, le sumamos que para el 2020, se estima que las compañías serán administradas por datos, algo difícil de concebir hoy en día para algunos, sin embargo, la realidad es que aquellos que no estén en sintonía no podrán continuar en el mundo de los negocios. Con estos antecedentes, ¿Podemos seguir sobre el viejo paradigma de no cuidar la información que poseo en mi empresa?

El impacto

La simple obervación de números en la lista negra, tanto en la Provincia de Córdoba, como en el resto de la República Argentina, demuestra un alto nivel de hechos de Ransomware contra empresas y como contrapartida el pedimento de rescate en moneda “bitcoin”. ¿Pero que es todo esto nuevo?, simplemente delincuentes que a través de programas maliciosos infectan a un dispositivo (computadoras, servidores, dispositivos usb, etc.) de la empresa y bloquea el ingreso a la información de la misma, no permitiendo continuar hasta tanto no se transfiera una suma equivalente a moneda virtual. ¿Moneda Virtual? Sí, una nueva forma de realizar pagos, entre otras funciones, que se realiza a través de una tecnología blockchain. No, pero espere, todavía no le hice backup a mis datos de los últimos balances del año en mi empresa y me hablas de toda esta tecnología. Entonces si no cuido los datos, ¿me olvido de tener mi negocio o qué se avecina?

Modelo “ROSI

Lo primero que pensamos, es: empresa, proceso de producción, facturación, elaboración de nuevos proyectos, y así se continúa la cadena. ¿En algún momento pensamos en tener personal destinado a cuidar todos nuestros proyectos que se encuentran guardados en discos rígidos o servidores o los procesos de facturación que los tengo en la nube almacenados y que tradicionalmente pienso que estoy resguardado?.

Sigamos profundizando… ya que necesitamos explicar crudamente lo que significa Invertir en Seguridad. Entonces haciendo un poco de análisis, digo, muchas veces se piensa que tener un técnico que nos arregle sólo las conexiones, ya que con ello tengo salvaguardada mi información. Me toco en algún momento ver una importante empresa de indumentaria conocida en el país, de origen local que su mail de contacto era una cuenta de correo electrónico de acceso masivo, claramente había sufrido un acceso indebido de ciberdelincuentes. Pensemos, mi empresa, mis datos, datos de terceros en manos de esos correos señalados, que en la mayoría de las veces no cuentan con la mínima seguridad para custodiar los mismos. ¿Es lo que yo pretendo?

En fin, ¿continuamos?, pensemos con la calculadora , y al lado nuestro, tengamos una hoja que refiere “ROSI”, Sí, no es el nombre de una mujer, o de la nueva marca de la competencia, simplemente es el acrónimo de “Retorno de inversión en seguridad de la Información”. Guau que nombre tan largo, Sí, es largo, quizás poco atractivo, pero ROSI es aquel nombre que no se lo van a olvidar a la hora de pagar un rescate en bitcoin si no pueden tener acceso a sus datos. Ok, pero ilustrame que es eso. Bueno, comencemos, es algo sencillo y que se resume en 5 pasos: Ok, ahora sé qué es la información y qué es él activo más preciado que tengo, como también reconozco que no tengo una estructura armada; Por ello, lo primero que me pregunto es ¿Cuáles son los departamentos estratégicos dentro de la empresa que manejan la información más sensible?, ya tengo la respuesta!!!, es Juan, mi salvador, él es técnico y nos arregla las máquinas… De acuerdo, está bien, pero no pasa por arreglar la maquinaria en sí, sino va más allá y saber quién maneja mi información, quién la cuida y que protocolos de seguridad y normativa RSA se están siguiendo. Por otro costado, en el segundo paso debemos mirar los costes materiales, es decir ¿Qué podría verse afectado, ¿cuáles serían los costes de su reparación o sustitución?, es decir si se afectó servidores, si se afectó la información contable, ¿teníamos backup y desde cuándo?, ¿se hizo público el incidente?, ¿la imagen de la empresa se encuentra afectada?; Mmm creo que de a poco me está empezando a caer la ficha… pero quiero escuchar más… ok. El tercer paso debo tener en cuenta los costos de personal, es decir, la cantidad de recursos humanos (técnicos, ingenieros, programadores, pentesters etc.) qué, si o si, tenemos que considerar para mitigar y resolver el incidente, todo ello no olvidándonos del costo hora. O sea que, si me roban la cartera de clientes de más de 10 años, lista de proveedores y el trabajo de hace años, ahí en esas famosas computadoras… emmm, por favor no me digas más nada, ya estoy asustado, no sigamos…  vas a ver que al final no lo estarás… sigamos con la cuarta señal, donde están los costes legales y la repercusión en la imagen de la empresa por el incidente, es decir tener armado un plan de contingencia inmediato a fin de evitar que los clientes se comiencen a ir a la competencia, debido a que no confían en la seguridad que se le brindo desde mi empresa por la fuga de información sensible. Ups… pero costos y más costos.. dame un respiro. En el último y quinto ítem, y uno de los más importantes, es el de las pérdidas directas, esto es el volumen de facturación no percibido durante el tiempo en que los equipos y procesos de la empresa están siendo afectados por el mismo hecho. Ohhh! no, el remate que faltaba, creo que con todo ello, hago cálculos, y me llevaron el presupuesto del próximo año o tal vez el de varios años lo más seguro por no haber invertido en seguridad de mi información.

Análisis interno y plan de contingencia

Así, luego de leer la tragicómica historia, nos debemos preguntar: ¿Estoy dispuesto afrontar todos los riesgos que fueron descriptos?, dejar que pase y después vemos cómo se resuelve y cuánto sale, o cambiar de lugar, de paradigma, de silla y pensar en destinar un presupuesto a un departamento IT, que cuide de mi activo más preciado, que me permita seguir facturando, independientemente de que intenten ingresar a mi sistema, pero sin lograrlo.

Tengamos en cuenta que, al hablar de compañía, empresa, no están exentos aquellos que desde el emprendedurismo se generan sus propios negocios. Ahora como frutilla del postre, pensemos ¿qué clavo nos quedó suelto?, y como respuesta se nos viene a la mente el empleado que maneja los datos, la información, ¿pero solamente el Departamento IT?, No, TODOS los empleados, desde el CEO hasta el que le toca la tarea de limpiar. La clave es que todos manejen un mismo idioma, mas allá de la mayor o menor capacitación e independientemente del área que les toque cumplir sus funciones. Se dice que el eslabón más débil de la cadena de seguridad, es el usuario, y dicha frase es una realidad, puesto que a través de éste, sin la debida capacitación se pueden obtener información confidencial a través de técnicas de Ingeniería Social y en detrimento de nuestra propia empresa. En abono de ésto, se puede referir de un ataque a una empresa internacional, en el que los ciberdelincuentes se preguntaron cómo llegar a la información que manejaba el CEO. Luego de trabajar horas y horas, los mismos idearon una estrategia que consistió en crear una imagen falsa igual a la del CEO, en la red social Linkedin, con lo cual, aparentando ser el mismo, le enviaron un mail al departamento IT. En esa oportunidad, uno de los miembros que operaba, al ver dicho mail, no confirmó la identidad, sino que se dejó llevar por ver que era la foto y datos supuestamente reales de dicha autoridad, enviándole cierta información confidencial que sólo ellos como administradores y el CEO real tenían acceso. De esta manera, los ciberdelincuentes lograron obtener información clave que le costó millones de dólares a la empresa en pérdidas. Es decir, si ponemos en la balanza, las consecuencias del incidente siempre van a ser mayores que si generamos un presupuesto anual y serio sobre prevención y resguardo, llevando a que los ciberdelincuentes les cueste el doble o triple acceder a la información que poseemos.

Resumiendo

En conclusión y volviendo a la frase inicial “¡Tu seguridad se encuentra 100 x 100 segura!!!”, no existe un sistema 100 x 100% seguro, ni si quiera que esté en el fondo del mar, en algún lugar del mundo, bajo 7 llaves en una caja hermética, sellada, y sin acceso a internet. Con esto finalizo diciendo que lo más importante, es trabajar anticipadamente y un 100 x 100% en el asesoramiento con profesionales especializados, en la capacitación de su personal y en la seguridad, protegiendo y previniendo riesgos en los datos de mi empresa, imagen, etc., para lograr que el resultado sea mínimo, en la afectación a nuestros activos e intereses y por sobre todas las cosas ahorrando dinero, tiempo y manteniendo calidad y seguridad en nuestra empresa, pyme, emprendimiento o proyecto personal.

By Ab. Luciano Monchiero

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s