Cuando se piensa en ciberseguridad tendemos a pensar en vulnerabilidades de los sistemas, sin embargo los ataques se dan también debido a las personas, en el mundo real. Dejar información clave a la vista que permita a extraños acceder a los sistemas es una de las formas de propiciar un ciberataque. Por lo tanto, las medidas de seguridad física y adminstrativas son tan importantes para tener una buena ciberseguridad como contar con buenos sistemas de protección.

Te puede interesar: Colombia, el sexto país con más ataques cibernéticos en A. Latina.

En consecuencia, Pablo Corona, director de NYCE Sistemas de Gestión, nos comparte las siguientes recomendaciones en materia de seguridad física:

• Llevar bitácoras del personal con acceso al entorno de trabajo.
• Emplear cerraduras y candados para las gavetas y archiveros físicos.
• Usar mensajería certificada, según lo requiera el tipo de información a enviar.
• Realizar el bloqueo de los equipos cuando no estén en uso.
• Evitar que pantallas o expedientes con información sensible o confidencial estén a la vista de visitantes y clientes.
• Utilizar equipos de video vigilancia donde exista tratamiento de información sensible o confidencial.
• Limitar el acceso al personal interno y externo a las áreas que utilizan información personal, sensible o confidencial.
• Controlar el acceso de dispositivos con cámara, grabadora o video a las áreas que tratan información sensible o confidencial.
• Evitar que personas externas puedan manipular las bitácoras de acceso a las instalaciones y al registro de equipos.
• Utilizar elementos disuasorios como alarmas, guardias de seguridad, rejas, maletines de seguridad, entre otros.

Te puede interesar: Recomendaciones de ciberseguridad para emprendimientos – Parte I.

Y en cuanto a las medidas administrativas, sus sugerencias son las siguientes:

• Contar con contratos que establezcan claramente las responsabilidades de los proveedores y el personal que tendrá acceso a la información.
• Definir y hacer cumplir una política de escritorio limpio.
• Establecer procesos de cierre y resguardo de información.
• Garantizar que impresoras, escáneres, copiadoras y buzones permanezcan limpios.
• Controlar las bitácoras, los usuarios y el acceso a instalaciones y puestos de trabajo, especialmente los que usen información sensible o confidencial.
• Establecer mecanismos para la destrucción segura de documentos.
• Capacitar y concientizar a todo el personal en torno a estas medidas y según sus funciones y acceso a información sensible y confidencial.
• Contar con políticas para retención y destrucción de información, protección de datos personales, atención y notificación de vulneraciones de seguridad y contratación de terceros.
• Realizar revisiones y auditorías internas y externas, que por ejemplo cuenten con una certificación en una norma como ISO/IEC 27001.

Te puede interesar: Confianza cero, batalla de tendencias de ciberseguridad.

En conclusión, lo más importante en ciberseguridad, en relación a medidas físicas y administrativas, es garantizar que solo las personas encargadas tengan acceso a la información correspondiente a su rol. Nadie debe poder acceder a información sensible o confidencial de otra persona o área. Por lo tanto es importante seguir las recomendaciones de uso de los dispositivos personales y hacer cumplir las políticas y proceso de la organización para evitar vulnerabilidades. De no hacerlo, las empresas están habilitando una entrada para los ataques cibernéticos.

Puede que como emprendedor, esto no parezca una prioridad, pero recibir un ataque criminal puede ser catastrófico para el negocio. Por ejemplo, que un cibercriminal robe la plataforma en la que una startup ha venido trabajando, o que la destruya, puede hacer que la empresa no se recupere.

Imagen: Gino Crescoli en Pixabay.

Por medio de la encuesta se permite tener datos reales del estado de la seguridad en distintos profesionales y empresas. Son preguntas para contestar de forma múltiple, entre las cuales se encuentra: el tipo de sector, cargo y rol en temas de seguridad, responsabilidades, funciones y objetivos en el aérea de seguridad informática. Las empresas deben diferenciar entre protección de datos personales, seguridad informática y seguridad de la información. Y entender que la seguridad tiene temas culturales, técnicos y de procesos.

Te puede interesar: 10 claves seguridad de la información en la era del COVID-19

La empresa o profesionales en la encuesta deben responder preguntas de forma sencilla y deben responder si cuenta con una persona o cargo para cumplir con temas de seguridad de la información. Algunas empresas cuentan con equipos internos o externos, o con cargos como director o jefe de seguridad, CISO (Chief Information Security Officer), oficiales de cumplimiento, oficiales de protección de datos, oficial de seguridad informática, consultores en seguridad, auditor interno, equipos de pentesting, entre otros. Otras empresas no cuentan con una aérea o proceso y lo de seguridad informática recae sobre el director de tecnología o sobre personal administrativo o de apoyo.

La encuesta de ACIS, es un buen instrumento para establecer un modelo de madurez en seguridad, y es un referente desde hace varios años. Se puede acceder a la encuesta en el siguiente enlace. Los resultados serán publicados próximamente.

Imágenes: Pixabay

Una pregunta fácil, como ‘cuál es tu comida favorita’ o ‘cuál es el segundo nombre de tu papá’ puede ser adivinada una cantidad bastante alta de veces, por lo que no son muy seguras: un atacante tiene una posibilidad significativa de ‘abrir’ una cuenta introduciendo la respuesta correcta.

Cuando tiene un intento, un atacante puede adivinar la comida favorita de un usuario estadounidense que hable inglés el 19,7% de las veces. Y cuando tienen 10 intentos –una práctica que tienen algunos servicios web dada la mala memoria de sus usuarios–, un atacante coreano puede adivinar la comida favorita de un usuario el 43% de las veces, o uno español puede acertar el segundo nombre del padre el 21% de las veces.

O son fáciles, o son seguras

El otro lado son las preguntas rebuscadas, que tienen el mérito de ser casi imposibles para los atacantes pero, también, son bastante difíciles para los usuarios. Cuando se les pregunta por el número de su tarjeta de biblioteca, solo el 20% puede recordarla. Y cuando se trata del número de tarjeta de viajero frecuente, solo el 9% logran responder con éxito.

Algunos usuarios, para facilitarse la vida, ponen la misma respuesta en todas las preguntas. Esta práctica, que según Google es realizada por el 37% de las personas, disminuye su seguridad y aumenta la posibilidad de que sean adivinadas.

El problema, más allá de esto, es que las preguntas tienen una de las dos fortalezas, “pero pocas veces las dos” –según Google–. Por eso, la empresa concluye que “las preguntas no son lo suficientemente seguras ni confiables como para ser usadas como un mecanismo único de seguridad”, y sugiere usarlas en conjunto con otras medidas, como verificación por correo electrónico o SMS.

Imagen: Lightspring (vía Shutterstock)

Canadá siguió los pasos de Estados Unidos y de la Unión Europea: este lunes 26 de mayo flexibilizó oficialmente las restricciones para los dispositivos móviles durante el vuelo, cuyo uso estaba prohibido.

Imagen: BriYYZ (vía Flickr)