El riesgo de la información es auténtico,  la mayoría de la gente pensaba que los delitos cibernéticos eran algo que solo afectaba a las instituciones gubernamentales.

Sin embargo, cada año que pasa, la ciberdelincuencia se acerca más a nuestra puerta. En la mayoría de las ocasiones no somos conscientes de que existe una amenaza hasta que la sentimos llegar.

Pese a que las “vulnerabilidades más pequeñas” pueden verse como algo que no produce un impacto importante, cada una de ellas proporcionan información a los atacantes, para que se perpetren más ataques posteriores, puesto que la mayoría de las personas realiza pequeñas modificaciones o ninguna a las contraseñas de sus distintas cuentas.

TÓMESE EN SERIO EL ASUNTO DE LA SEGURIDAD

Una vulnerabilidad se convierte en la semilla de muchas otras

El riesgo de seguridad en la información es una combinación de tres factores: Activos, Vulnerabilidades y Amenazas (los activos quedan expuestos por las vulnerabilidades que pueden estar expuestas a las amenazas).

Estos tres factores han aumentado considerablemente en los últimos años. Aquí tenemos el motivo:

1. A medida que Internet se vuelve más ubicua, nuestra vida está aún más expuesta en la red, y damos por sentado que nuestra información y datos personales no están en riesgo. Mientras nos limitemos a acceder a sitios Web legítimos o conocidos y no facilitemos nuestras contraseñas estaremos a salvo ¿verdad? Error.
2. Cuanto más cómodos nos sintamos interactuando y haciendo negocios online, más huellas digitales dejaremos — y eso puede llevarnos a exponernos a más vulnerabilidades.
3. La ciberdelincuencia se ha convertido en una industria en sí misma. El volumen de amenazas ha alcanzado proporciones asombrosas, y continúa creciendo y evolucionando.

Un estudio de Rand3 afirma que la ciberdelincuencia es en muchas situaciones más rentable que el tráfico de drogas, porque es más fácil de gestionar con pocas personas, tiene un riesgo de detección mucho menor, e incluso un riesgo menor de ser juzgado o acusado.

La ciberdelincuencia en muchas situaciones es más rentable que el tráfico de drogas, porque es más fácil de gestionar, tiene un riesgo de detección y de ser acusado mucho menor. Click To Tweet

Abordar el problema

El crecimiento explosivo de las amenazas nos ha llevado a un nuevo nivel más elevado de sensibilización, y a tomar medidas y aplicar acciones para abordar el problema.

Los gobiernos cada vez tienen más peso en esta materia, al igual que las fuerzas del orden. Es el momento de que las empresas intensifiquen sus esfuerzos proactivos en materia de seguridad.

Las empresas más conscientes de este riesgo — desde las más pequeñas a las más grandes, — están vislumbrando la necesidad de llevar el asunto de la seguridad al centro de atención. No se trata solo de proteger, se trata de habilitar.

Con los años, las empresas han empezado a reconocer la necesidad de tratar la ciberseguridad al mismo nivel que la seguridad física.

Las violaciones o ataques físicos requieren mano de obra y proximidad; es más fácil hacer un inventario y hacer un seguimiento de las pérdidas.

Un ciberdelincuente por el contrario, puede atacar desde el otro lado del mundo en cuestión de segundos. Puede llevar semanas descubrir qué han robado, por no mencionar lo difícil que será seguir la pista a los ladrones.

Es más, la ciberdelincuencia produce un impacto mucho mayor en la cifra de resultados de la mayoría de compañías que el de los robos físicos.

Pese a que ahora la mayoría de ejecutivos califican el riesgo de la seguridad cibernética igual de alto que el de la seguridad física, no han estado sin embargo muy rápidos en llevar este asunto a las reuniones de sus consejos — no lo han hecho hasta que no se haproducido una violación de la seguridad. La nueva norma que hay que seguir es pensar en la seguridad de forma proactiva.

Cuando una empresa está en el negocio de manejar y gestionar datos personales, la apuesta es más alta y deben seguirse ciertas regulaciones legales.

Hay que aplicar políticas de acceso y es necesario tomar determinadas precauciones. Los datos personales
necesitan tratarse como información confidencial.

En el año 2014, el valor medio de una identidad estaba valorado en 188 dólares. Aunque eso pueda parecer poco, la información de identidades se almacenanormalmente, y roba, en lotes de decenas de miles a millones de una vez. Todo esto suma al final unas pérdidas bastante significativas.

El acceso a la información sensible debería restringirse únicamente a aquellas que la necesitan. De esta forma puede seguir y supervisar cualquier violación de forma más eficiente. El resultado es que
es más fácil gestionar las protecciones.

Asignar responsabilidades

La razón de que haya mucha gente que no está concienciada con el problema de la ciberdelincuencia  es que no comprenden por completo las implicaciones que supone. La mayoría de la gente no valora que podría quedarse sin su trabajo si un ciberdelincuente  robara los diseños de la empresa; o que robando la información de inicio de sesión de un juego online se podrían hackear las cuentas bancarias porque los ciberdelincuentes saben que los usuarios reúsan sus contraseñas en múltiples cuentas.

Divulgar que la protección de la información de la compañía es responsabilidad de todo el mundo no es suficiente. La gente necesita ser responsable a nivel individual y hacerle sentir que está involucrada en la seguridad de la compañía. Y la seguridad necesita ser una parte integrada y planificada de la infraestructura, no un añadido como resultado de una ocurrencia tardía.

Crear una cultura de la seguridad de la información requiere:

1. Sumergirse en el concepto. Prestar un cuidado especial a cómo quiere que opere su compañía y sus empleados. Luego crear una cultura que permita que esa visión se haga realidad, usando la seguridad como un habilitador.
2. Preveer. Conocer las regulaciones requeridas, las amenazas y vulnerabilidades. Pero no olvidarse de mirar con perspectiva al panorama general para asignar una política de seguridad que le ayude a conseguir eso — no solo ahora, sino más adelante.
3. Cuidar los detalles. Fortalezca la ejecutiva alrededor de la política de seguridad y póngala en marcha con responsabilidades claramente definidas.
4. Por encima de todo no complique demasiado las cosas. Cuando su política de seguridad es sencilla y clara, puede lograr una mayor tasa de éxito con la gente que se adhiere a su política.