La información que es relevante para la empresa se vuelve un objeto de valor para los ciberatacantes. No estamos hablando de un virus que destruye la data; sino de nuevas tecnologías que bloquean la información para poder extorsionar a las empresas. Esta información puede ser vendida a otras empresas o, en el peor de los casos, utilizarla para actividades ilegales. Las empresas más grandes, como los operadores telefónicos, tienen la responsabilidad de proteger la información de sus millones de clientes.
En mayo de 2017 se registró uno de los ataques informáticos más grandes de la historia. El virus denominado WannaCry bloqueó los datos de más de 100’000 ordenadores en todo el mundo. Una de las compañías directamente afectadas fue Telefónica, en su headquarter en España.
¿Cuánto ha crecido el riesgo? Según el FBI: Del 2013 al 2016, 12’000 empresas del mundo fueron extorsionadas por 2’000 millones de $ aproximadamente. Además, según Juniper Research, entre el 2017 y el 2021 las pérdidas de información le costará a las empresas 8 billones en total.
¿Cuáles son las amenazas más comunes?
- Ransomware: llegan como archivos adjuntos al mail corporativo. Los datos del disco duro quedan cifrados y se pide un rescate. Este fue el caso del virus WannaCry, en el que se pidió 300$ en Bitcoins para descifrar la información comprometida.
- Phishing: Páginas Webs y correos falsos en los que se piden contraseñas para entrar a un sitio Web. Los riesgos más altos pueden ser brindar cuentas bancarias o acceso a la información de la empresa. Al 2016, se registraron 92mil casos mensuales.
- Intervención de las redes corporativas: Los hackers atacarán las redes más vulnerabels de una organización. Esto es aún más peligroso considerando que en muchas empresas los ordenadores están conectados por la red local.
Recomendaciones para las empresas
Estas son 5 acciones que uno puede realizar para preveer los casos mencionados. Estas recomendaciones toman en cuenta que existe la pérdida de información por parte de un trabajador interno. Es necesario establecer políticas de seguridad para amenazas externas e internas:
- Diferenciar: Datos sensibles y Datos Críticos
- Controlar el acceso a las Bases de Datos
- Maquillar las Bases de datos cuando no se use la información
- Codificar la información
- Supervisar y registrar la actividad de la base de datos
Certificaciones en Seguridad de la información: ISO 27001
La ISO 27001 es una norma internacional para la seguridad de la información, aprobada y publicada como estándar internacional en octubre de 2005 por la International Organization for Standardization (ISO). Permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. En la norma se especifican los requisitos para los Sistemas Gestión de la Seguridad de la Información (SGSI). Es un estándar para la evaluación del riesgo y la aplicación de los controles necesarios para eliminarlos. Su última versión fue publicada en el 2013.
La aplicación de esta significa una diferenciación que mejora la competitividad y la imagen de una organización. En GMC Soft, contamos con la certificación ISO 27001:2013; bajo el nombre de Information Security Management System for own and third-party platforms’ support processes.
Nos comprometemos a desarrollar, implantar, mantener y mejorar continuamente el SGSI, con el objetivo de asegurar la confidencialidad, disponibilidad e integridad de la información. Por esta razón, nuestra política se basa en estos aspectos:
- Proporcionar los recursos necesarios para la protección de los activos de información en la implementación de las medidas de control necesarias para evitar que los riesgos de la seguridad de la información se materialicen.
- Mantener y mejorar continuamente la eficacia del SGSI a fin de minimizar los riesgos de la seguridad de la información.
- Cumplir los requisitos legales y regulatorios que afectan a la organización respecto a la seguridad de la información.
Las empresas deben velar por la seguridad de los datos que están en su poder. Esperamos que más empresas se animen a tomar este tema como uno de los más importantes.
[Para más información, puede revisar la nota de TIC News: http://ticnews.net/5-consejos-para-mantener-seguras-las-bases-de-datos/]
La información que es relevante para la empresa se vuelve un objeto de valor para los ciberatacantes. No estamos hablando de un virus que destruye la data; sino de nuevas tecnologías que bloquean la información para poder extorsionar a las empresas. Esta información puede ser vendida a otras empresas o, en el peor de los casos, utilizarla para actividades ilegales. Las empresas más grandes, como los operadores telefónicos, tienen la responsabilidad de proteger la información de sus millones de clientes.
En mayo de 2017 se registró uno de los ataques informáticos más grandes de la historia. El virus denominado WannaCry bloqueó los datos de más de 100’000 ordenadores en todo el mundo. Una de las compañías directamente afectadas fue Telefónica, en su headquarter en España.
¿Cuánto ha crecido el riesgo? Según el FBI: Del 2013 al 2016, 12’000 empresas del mundo fueron extorsionadas por 2’000 millones de $ aproximadamente. Además, según Juniper Research, entre el 2017 y el 2021 las pérdidas de información le costará a las empresas 8 billones en total.
¿Cuáles son las amenazas más comunes?
- Ransomware: llegan como archivos adjuntos al mail corporativo. Los datos del disco duro quedan cifrados y se pide un rescate. Este fue el caso del virus WannaCry, en el que se pidió 300$ en Bitcoins para descifrar la información comprometida.
- Phishing: Páginas Webs y correos falsos en los que se piden contraseñas para entrar a un sitio Web. Los riesgos más altos pueden ser brindar cuentas bancarias o acceso a la información de la empresa. Al 2016, se registraron 92mil casos mensuales.
- Intervención de las redes corporativas: Los hackers atacarán las redes más vulnerabels de una organización. Esto es aún más peligroso considerando que en muchas empresas los ordenadores están conectados por la red local.
Recomendaciones para las empresas
Estas son 5 acciones que uno puede realizar para preveer los casos mencionados. Estas recomendaciones toman en cuenta que existe la pérdida de información por parte de un trabajador interno. Es necesario establecer políticas de seguridad para amenazas externas e internas:
- Diferenciar: Datos sensibles y Datos Críticos
- Controlar el acceso a las Bases de Datos
- Maquillar las Bases de datos cuando no se use la información
- Codificar la información
- Supervisar y registrar la actividad de la base de datos
Certificaciones en Seguridad de la información: ISO 27001
La ISO 27001 es una norma internacional para la seguridad de la información, aprobada y publicada como estándar internacional en octubre de 2005 por la International Organization for Standardization (ISO). Permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. En la norma se especifican los requisitos para los Sistemas Gestión de la Seguridad de la Información (SGSI). Es un estándar para la evaluación del riesgo y la aplicación de los controles necesarios para eliminarlos. Su última versión fue publicada en el 2013.
La aplicación de esta significa una diferenciación que mejora la competitividad y la imagen de una organización. En GMC Soft, contamos con la certificación ISO 27001:2013; bajo el nombre de Information Security Management System for own and third-party platforms’ support processes.
Nos comprometemos a desarrollar, implantar, mantener y mejorar continuamente el SGSI, con el objetivo de asegurar la confidencialidad, disponibilidad e integridad de la información. Por esta razón, nuestra política se basa en estos aspectos:
- Proporcionar los recursos necesarios para la protección de los activos de información en la implementación de las medidas de control necesarias para evitar que los riesgos de la seguridad de la información se materialicen.
- Mantener y mejorar continuamente la eficacia del SGSI a fin de minimizar los riesgos de la seguridad de la información.
- Cumplir los requisitos legales y regulatorios que afectan a la organización respecto a la seguridad de la información.
Las empresas deben velar por la seguridad de los datos que están en su poder. Esperamos que más empresas se animen a tomar este tema como uno de los más importantes.
[Para más información, puede revisar la nota de TIC News: http://ticnews.net/5-consejos-para-mantener-seguras-las-bases-de-datos/]
