“La clave para una buena seguridad sin fricciones es comprender las necesidades y las operaciones de la empresa para crear controles eficientes en torno a ellas. La seguridad debe estar integrada, no añadida superficialmente.”
Ingeniero sénior de seguridad - Dan Perry
¿Qué es la seguridad de la información?
A menudo parte de la gestión de riesgos de la información, la seguridad de la información (frecuentemente abreviada como 'Infosec') es el proceso de reducir y eliminar el riesgo de acceso, uso, divulgación, interrupción, eliminación, corrupción, modificación, inspección o registro no autorizados.
Para proteger la información, y en el entorno actual una gran cantidad de datos personales, las empresas deben seguir estos principios para manejar de la mejor manera el almacenamiento de sus datos:
La 'Tríada CIA'
Confidencialidad
El principio de confidencialidad garantiza que la información privada siga siendo privada y que solo puedan verla o acceder a ella las personas que necesiten dicha información para cumplir con sus obligaciones laborales.
Integridad
El principio de integridad está diseñado para garantizar que se pueda confiar en la exactitud de los datos y que no hayan sido modificados de forma inapropiada.
Disponibilidad
Proteger la funcionalidad de los sistemas de soporte y garantizar que los datos estén totalmente disponibles en el momento (o período requerido) en que los usuarios los necesiten. El objetivo de la disponibilidad es garantizar que los datos estén disponibles para su uso cuando se necesiten para tomar decisiones.
¡Consulta las certificaciones de seguridad de la información de Purple al final de este blog!
“Se necesitan 20 años para construir una reputación y unos pocos minutos de un incidente cibernético para arruinarla.”
Tipos de brechas de seguridad
Ataque de intermediario (MitM)
Un ataque MitM ocurre cuando un hacker retransmite en secreto y posiblemente altera las comunicaciones entre dos partes que creen que se están comunicando directamente entre sí.
Un ejemplo de un ataque MitM es la 'escucha activa' (eavesdropping), en la que el atacante establece conexiones independientes con las víctimas y retransmite mensajes entre ellas para hacerles creer que están hablando directamente a través de una conexión privada.
Phishing
El phishing ocurre cuando los atacantes intentan engañar a los usuarios para que hagan 'lo incorrecto', como hacer clic en un enlace malicioso que descargará malware o los dirigirá a un sitio web fraudulento.
El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono, pero el término 'phishing' se utiliza principalmente para describir los ataques que llegan por correo electrónico.
Denegación de servicio (DoS)
Un ataque de denegación de servicio (DoS) es un ataque destinado a apagar una máquina o red, haciéndola inaccesible para sus usuarios previstos. Los ataques DoS logran esto inundando el objetivo con tráfico o enviándole información que provoca un bloqueo. En ambos casos, el ataque DoS priva a los usuarios legítimos (es decir, empleados, miembros o titulares de cuentas) del servicio o recurso que esperaban.
Las víctimas de los ataques DoS suelen ser servidores web de organizaciones de alto perfil, como empresas bancarias, comerciales y de medios de comunicación, u organizaciones gubernamentales y comerciales. Aunque los ataques DoS no suelen provocar el robo o la pérdida de información importante u otros activos, pueden costar a la víctima una gran cantidad de tiempo y dinero para resolverlos.
“La seguridad no es algo que se compra, es algo que se hace, y se necesita gente talentosa para hacerlo bien.”
Consecuencias de una brecha de seguridad
Pérdida de ingresos
Esta consecuencia puede verse fuertemente influenciada por el tipo de ciberataque que un hacker haya elegido utilizar; sin embargo, las fugas de datos resultarán en costos de seguridad adicionales, pérdida de valor de participación de mercado, así como costos para compensar a los clientes afectados.
Reputación
Si bien un impacto a corto plazo en los ingresos de una empresa puede no parecer demasiado perjudicial, el costo real se presenta con el tiempo. Una vez que se corre la voz de una brecha de seguridad, los socios y los clientes potenciales o existentes pueden no pensarlo dos veces antes de “abandonar el barco”, lo que reduce aún más los ingresos de la empresa.
Acciones legales
Multas, multas y más multas.
Existen numerosas regulaciones en todo el mundo que las empresas deben cumplir, por ejemplo:
- Europa - GDPR (GDPR es un reglamento de la UE y ya no se aplica al Reino Unido )
- Reino Unido - Ley de Protección de Datos (Data Protection Act)
- China - Ley de Protección de Información Personal
Bajo el GDPR y la DPA del Reino Unido, la multa máxima aplicable es de £17.5 millones o el 4% de la facturación global anual, lo que sea mayor. Sin embargo, las empresas que operan bajo el GDPR y la DPA de la UE pueden recibir una multa máxima de €20 millones (£18 millones).
Interrupción de las operaciones
Con cualquier intento o brecha exitosa, todas las empresas enfrentarán un impacto en sus operaciones debido a las exhaustivas investigaciones para reportar los daños, las causas y encontrar el origen.
En algunos casos, las empresas se detienen por completo para controlar los daños y diseñar un plan de recuperación, y durante este tiempo todos los puntos anteriores empeoran.
La mayor brecha de datos del siglo XXI
En 20 13, Adobe fue hackeado y se obtuvieron más de 153 millones de registros de usuarios, incluyendo identificaciones encriptadas, contraseñas e información de tarjetas de débito y crédito.
Adobe tuvo que pagar $1.1 millones en honorarios legales y, en noviembre de 2016, se informó que el monto pagado a los clientes fue de $1 millón.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“Si no puedes permitirte la seguridad, no puedes permitirte una brecha.”
Certificación de infosec de Purple
ISO/IEC 27001
Purple cumple con la norma ISO/IEC 27001 para el diseño y desarrollo de software WiFi basado en la nube para el manejo y almacenamiento de datos personales. Nuestra certificación ISO es algo que hemos mantenido durante varios años y ha garantizado que contamos con los procesos, las personas y la tecnología adecuados para asegurar la entrega segura de nuestro producto, en línea con nuestras obligaciones hacia nuestros clientes y sus sujetos de datos. La norma ISO 27001 designa un marco de controles que abarca toda la empresa, desde cómo gestionamos nuestros recursos humanos hasta la criptografía.
Al tomar esta base y ampliarla para alimentar nuestros objetivos comerciales (requisitos internos) y las expectativas de nuestros clientes (requisitos externos), hemos construido una forma de operar segura y repetible que es adecuada para su propósito.
CyberEssentials+
El esquema Cyber Essentials es un programa relativamente nuevo respaldado por el gobierno del Reino Unido y el NCSC, cuyo objetivo es capacitar a las pymes (pequeñas y medianas empresas) como una forma de garantizar una base de seguridad para sus clientes y permitirles postularse a procesos de contratación pública.
La certificación Cyber Essentials es una herramienta de autoevaluación; sin embargo, debido a la confianza en nuestros controles, especialmente al haber implementado ya el marco más robusto de la norma ISO 27001, dimos un paso más y logramos la certificación Cyber Essentials Plus al hacer que nuestros controles fueran validados por un socio de seguridad acreditado e independiente de CE+.
¿Deseas obtener más información? Descubre Cómo mantener tu empresa segura en línea: Lee aquí
