Inicio / Protege tu empresa / Blog / Decálogo hacia la ciberseguridad en las empresas

Decálogo hacia la ciberseguridad en las empresas

Publicado el 30/10/2014, por INCIBE
Decálogo hacia la ciberseguridad en las empresas

Hoy en día los procesos de negocio de cualquier empresa son impensables sin los sistemas de información y sin la tecnología que los soporta.

Pero no sólo los sistemas de información han adquirido un protagonismo evidente en los procesos de negocio. Debemos tener presente que las amenazas cambian y evolucionan, y aparecen nuevos riesgos a los que se exponen los procesos, los activos y la información de la empresa. Por ese motivo es importante conocerlos y gestionarlos bajo un planteamiento global y coordinado que asegure que la estrategia corporativa cumple con los objetivos de negocio de la organización.

Además, el control del acceso a la información, el aseguramiento de la disponibilidad de los distintos recursos y la gestión de la seguridad asociada a la información corporativa, son aspectos fundamentales para el desarrollo de cualquier organización con aspiraciones de futuro.

La ciberseguridad de una empresa no puede entenderse como un conjunto de acciones inconexas que resuelvan problemas concretos. Las organizaciones deben valorar la seguridad de su información corporativa desde un enfoque global, que tenga en cuenta no sólo aspectos técnicos, sino también físicos, organizativos e incluso legales.

La naturaleza de los riesgos existentes requiere la definición de una estrategia en materia de seguridad alineada con los objetivos de la empresa.

¿Y cómo definimos esa estrategia?

Para ello será necesario determinar cuál es el punto de partida de la empresa -en qué situación nos encontramos en este momento en materia de seguridad- y cuál debería ser el nivel de seguridad de la organización, en función de una serie de factores, como el sector de negocio al que pertenecemos, los objetivos estratégicos o los requisitos que define el mercado, entre otros.

Deberemos analizar honestamente dónde nos encontramos, y detectar todos los riesgos que afectan o pueden afectar a corto o medio plazo a nuestros procesos de negocio, para ver si los tenemos adecuadamente contemplados.

Ese camino entre nuestro punto de partida y nuestro objetivo de seguridad determinarán cuál es nuestra hoja de ruta hacia la ciberseguridad.

Para ayudarle a definir la hoja de ruta de su empresa, INCIBE ha creado el decálogo hacia la ciberseguridad , un conjunto de 10 pasos orientados a mejorar el nivel de seguridad de su empresa y, por tanto, a proteger su negocio.

Porque todo viaje, por largo que sea, comienza por un solo paso.

10 pasos para garantizar la seguridad en su empresa

Subestimar los riesgos a los que estamos expuestos es uno de los mayores errores que cometemos cuando los analizamos. La sensación de “eso no me va a pasar a mí” a veces es demasiado frecuente en las organizaciones y dan lugar a situaciones indeseadas como las que se describen a continuación.

Historias sobre incidentes de seguridad ocurridos en empresas reales, fruto del incumplimiento de algunos de los  puntos del decálogo  hacia la ciberseguridad realizado por INCIBE y  que podrían haberse evitado mejorando el nivel de seguridad de su empresa.

 

HISTORIAS REALES

HISTORIA REAL 1:

Una llamada telefónica descubre una red de ciberdelincuentes y evita un fraude a gran escala

" Una llamada telefónica descubre una red de ciberdelincuentes y evita un fraude a gran escala"

Un grupo de ciberdelincuentes organizado interceptaba las líneas de comunicación entre empresas y proveedores, para estudiar sus hábitos y poder cometer actos fraudulentos.

 Tras interceptar las líneas y realizar un estudio sobre los hábitos entre los clientes y proveedores a la hora de realizar transacciones, solicitaban, haciéndose pasar por éstos, que los ingresos se realizasen en otra cuenta, alegando problemas con la entidad financiera habitual. Una llamada de un proveedor al cliente para realizar una comprobación poco después de realizar el pago, desenmascaró esta red de ciberdelincuentes y evitó que se realizara un fraude a gran escala.

¿Cómo podría haberse evitado?

Una medida de seguridad fundamental para evitar este tipo de fraudes, es cifrar toda la información confidencial que  se envía por correo electrónico a clientes/proveedores, para evitar que terceros no autorizados puedan tener acceso a ésta.

Además, debemos ser cautelosos con las nuevas direcciones de correo, nuevos números de cuenta, supuestos problemas técnicos con el banco o con el proveedor de correo electrónico. Ante la duda, utilicemos medios alternativos para confirmar que todo es correcto.

Incumplimientos del decálogo:

Paso 3. La seguridad en el puesto de trabajo

Paso 4. Protección de la información

Pasio 8. La seguridad de la red

HISTORIA REAL 2:

Una consultora local es víctima de una estafa telefónica a través de VoIP

"Una consultora local es víctima de una estafa telefónica a través de VoIP"

Un fallo de seguridad en la configuración de la centralita permite a un grupo de ciberdelincuentes acceder a ella y realizar llamadas a números de tarificación especial de un país extranjero. Una revisión de los registros de los sistemas tras la llegada de una factura desorbitada, desvela el fraude telefónico.

Grupos organizados de ciberdelincuentes rastrean Internet en busca de centralitas de VoIP  con configuraciones incorrectas para poder explotarlas. Una vez consiguen el acceso, a través de un dialer, de un teléfono software o de cualquier otro mecanismo, se conectan a la centralita  para realizar llamadas a números de tarificación especial.

¿Cómo podría haberse evitado?

Una configuración correcta de nuestros sistemas de telefonía evitará situaciones similares. Esta configuración implicará de manera obligatoria que la centralita no pueda ser accedida directamente desde Internet bajo ningún concepto.

En función del modelo o software utilizado para la gestión de la telefonía IP, deberemos aplicar guías y plantillas de seguridad que permitan minimizar el acceso no controlado y el abuso del sistema. Además debemos establecer contraseñas de accesos robustas, ya que en ocasiones es el último eslabón de nuestra protección ante estos ataques.

Incumplimientos del decálogo:

Paso 1. Analizar los riesgos

Paso 4. Protección de la información

HISTORIA REAL 3:
Un ciberdelincuente secuestra todos los equipos informáticos de una organización durante el acto de inauguración de la compañía

¡Manos arriba, esto es una botnet!

"Un ciberdelincuente secuestra todos los equipos informáticos de una organización durante el acto de inauguración de la compañía"

Aprovechan una visita guiada al centro de procesamiento de datos de una empresa durante su inauguración, para desplegar una botnet y acceder a las cuentas bancarias de los clientes.

Durante el evento conectan a una máquina un disco USB con un  proceso bot que se replica rápidamente y toma el control del resto de equipos y máquinas. El uso de una herramienta de detección de amenazas persistentes avanzadas, capaz de analizar comportamientos sospechosos y llegar más allá que una solución antimalware tradicional, las claves para descubrir la infección.

¿Cómo podría haberse evitado?

Un control de conexión de dispositivos extraíbles podría haber detectado la inyección del disco USB en el servidor y habría bloqueado esa conexión.
Ante la sofisticación de los ataques y el alcance que puede llegar a tener una infección de este estilo, lo necesario a día de hoy es realizar una correcta protección de la red. Para ello es conveniente implementar sistemas de control de dispositivos extraíbles, prevención de fuga de información, soluciones antimalware actualizadas en tiempo real, herramientas de clasificación e identificación de amenazas persistentes avanzadas, etc.

Incumplimientos del decálogo:

Paso 6. Protección antimalware

Paso 8. La seguridad de la red

Paso 10 Ciberseguridad gestionada

HISTORIA REAL 4

 La AEPD sanciona a una empresa de alquiler de vehículos tras la denuncia de una clienta que encontró sus datos en Google

 “La AEPD sanciona a una empresa de alquiler de vehículos tras la denuncia de una clienta que encontró sus datos en Google

Encuentra tras una búsqueda casual en Google, la ficha de reserva del vehículo que había realizado el verano pasado. La afectada interpone una denuncia ante la AEPD que sanciona a la empresa de alquiler de vehículos con una multa de 6000€.

La empresa que cuenta con medidas de seguridad en cumplimiento de la normativa de protección de datos, al conocer la exposición de esta información en internet, procedió inmediatamente a la retirada de la ficha donde aparecían los datos de la reserva de la denunciante. Además aportó ante la AEPD pruebas acreditando que era la primera vez que sucedía una incidencia de estas características y que se había producido desafortunadamente un fallo aislado y fortuito en los sistemas.

¿Cómo podría haberse evitado?

Aparte de establecer efectivas medidas de control periódicas exigidas en el RLOPD, es conveniente que se adopten otras adicionales que ayuden a prevenir y sobre todo a alertar sobre esta clase de incidencias.

Incumplimientos del decálogo:

Paso 4. Protección de la información 

Paso 9. Monitorización.