“La clave para una buena seguridad sin fricciones es comprender las necesidades y las operaciones de la empresa para desarrollar controles eficientes en torno a ellas. La seguridad debe estar integrada, no añadida superficialmente.”
Ingeniero sénior de seguridad - Dan Perry
¿Qué es infosec?
A menudo parte de la gestión de riesgos de la información, la seguridad de la información (frecuentemente abreviada como 'Infosec') es el proceso de reducir y eliminar el riesgo de acceso, uso, divulgación, interrupción, eliminación, corrupción, modificación, inspección o registro no autorizados.
Para proteger la información, y en el entorno actual una gran cantidad de datos personales, las empresas deben seguir estos principios para gestionar de forma óptima su almacenamiento de datos:
La 'Tríada CIA'
Confidencialidad
El principio de confidencialidad consiste en garantizar que la información privada siga siendo privada y que solo puedan verla o acceder a ella las personas que necesiten dicha información para cumplir con sus obligaciones laborales.
Integridad
El principio de integridad está diseñado para garantizar que se pueda confiar en la exactitud de los datos y que no hayan sido modificados de forma inapropiada.
Disponibilidad
Proteger la funcionalidad de los sistemas de soporte y garantizar que los datos estén totalmente disponibles en el momento (o durante el periodo requerido) en que los usuarios los necesiten. El objetivo de la disponibilidad es asegurar que los datos estén listos para su uso cuando se requieran para la toma de decisiones.
¡Consulte las certificaciones de seguridad de la información de Purple al final de este blog!
“Se tardan 20 años en construir una reputación y unos pocos minutos de un incidente cibernético para arruinarla.”
Tipos de brechas de seguridad
Man-in-the-middle (MitM)
Un ataque MitM se produce cuando un hacker retransmite en secreto y posiblemente altera las comunicaciones entre dos partes que creen estar comunicándose directamente entre sí.
Un ejemplo de ataque MitM es la 'escucha activa' (eavesdropping), en la que el atacante establece conexiones independientes con las víctimas y retransmite mensajes entre ellas para hacerles creer que están hablando directamente a través de una conexión privada.
Phishing
El phishing se produce cuando los atacantes intentan engañar a los usuarios para que hagan 'lo incorrecto', como hacer clic en un enlace malicioso que descargará malware o los dirigirá a un sitio web fraudulento.
El phishing puede llevarse a cabo a través de mensajes de texto, redes sociales o por teléfono, pero el término 'phishing' se utiliza principalmente para describir los ataques que llegan por correo electrónico.
Denegación de servicio (DoS)
Un ataque de denegación de servicio (DoS) es un ataque destinado a apagar una máquina o red, haciéndola inaccesible para sus usuarios previstos. Los ataques DoS logran esto inundando el objetivo con tráfico o enviándole información que provoca un fallo. En ambos casos, el ataque DoS priva a los usuarios legítimos (es decir, empleados, miembros o titulares de cuentas) del servicio o recurso que esperaban.
Las víctimas de los ataques DoS suelen ser servidores web de organizaciones de alto perfil, como empresas bancarias, comerciales y de medios de comunicación, u organizaciones gubernamentales y comerciales. Aunque los ataques DoS no suelen provocar el robo o la pérdida de información importante u otros activos, pueden costar a la víctima una gran cantidad de tiempo y dinero para resolverlos.
“La seguridad no es algo que se compra, es algo que se hace, y se necesita gente con talento para hacerlo bien.”
Consecuencias de una brecha de seguridad
Pérdida de ingresos
Esta consecuencia puede verse muy influenciada por el tipo de ciberataque que el hacker haya decidido utilizar; sin embargo, las fugas de datos se traducirán en costes de seguridad adicionales, pérdida de valor de la cuota de mercado, así como costes para compensar a los clientes afectados.
Reputación
Aunque un impacto a corto plazo en los ingresos de una empresa puede no parecer demasiado perjudicial, el verdadero coste se produce con el tiempo. Una vez que se corre la voz de una brecha de seguridad, es posible que los socios y los clientes actuales o potenciales no se lo piensen dos veces antes de “abandonar el barco”, lo que supone una merma aún mayor en los ingresos de la empresa.
Acciones legales
Multas, multas y más multas.
Existen numerosas normativas en todo el mundo que las empresas deben cumplir, por ejemplo:
- Europa - GDPR (GDPR es un reglamento de la UE y ya no se aplica en el Reino Unido )
- Reino Unido - Ley de Protección de Datos (Data Protection Act)
- China - Ley de Protección de la Información Personal
Según el GDPR y la DPA del Reino Unido, la multa máxima aplicable es de 17,5 millones de libras o el 4 % de la facturación global anual, la cifra que sea mayor. Sin embargo, las empresas que operan bajo el GDPR y la DPA de la UE pueden ser sancionadas con una multa máxima de 20 millones de euros (18 millones de libras).
Interrupción de las operaciones
Ante cualquier intento o brecha de seguridad exitosa, todas las empresas se enfrentarán a un impacto en sus operaciones debido a las exhaustivas investigaciones para informar de los daños, las causas y encontrar el origen.
En algunos casos, las empresas se paralizan por completo para controlar los daños y elaborar un plan de recuperación, y durante este tiempo todos los puntos anteriores empeoran.
La mayor brecha de datos del siglo XXI
En 20 13, Adobe fue hackeada y se obtuvieron más de 153 millones de registros de usuarios, incluyendo identificaciones cifradas, contraseñas e información de tarjetas de débito y crédito.
Adobe tuvo que pagar 1,1 millones de dólares en honorarios legales y, en noviembre de 2016, se informó que la cantidad pagada a los clientes fue de 1 millón de dólares.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“Si no puede permitirse la seguridad, no puede permitirse una brecha.”
Certificación infosec de Purple
ISO/IEC 27001
Purple cumple con la norma ISO/IEC 27001 para el diseño y desarrollo de software WiFi basado en la nube para el tratamiento y almacenamiento de datos personales. Nuestra certificación ISO es algo que hemos mantenido durante varios años y ha garantizado que contamos con los procesos, las personas y la tecnología adecuados para asegurar la entrega segura de nuestro producto en línea con nuestras obligaciones hacia nuestros clientes y sus interesados. La norma ISO 27001 designa un marco de controles que abarca toda la empresa, desde cómo gestionamos nuestros recursos humanos hasta la criptografía.
Al tomar esta base y ampliarla para integrar nuestros objetivos empresariales (requisitos internos) y las expectativas de nuestros clientes (requisitos externos), hemos creado una forma de operar segura y repetible que se adapta a su propósito.
CyberEssentials+
El esquema Cyber Essentials es un programa relativamente nuevo respaldado por el gobierno del Reino Unido y el NCSC, cuyo objetivo es capacitar a las pymes (pequeñas y medianas empresas) como una forma de garantizar una base de seguridad a sus clientes y permitirles presentarse a procesos de contratación pública.
La certificación Cyber Essentials es una herramienta de autoevaluación; sin embargo, debido a la confianza en nuestros controles, especialmente al haber implementado ya el marco más sólido de la norma ISO 27001, dimos un paso más y logramos la certificación Cyber Essentials Plus al hacer que nuestros controles fueran validados por un socio de seguridad independiente acreditado por CE+.
¿Desea obtener más información? Descubra Cómo mantener su empresa segura en Internet: Lea aquí
