Por Andrea Pulgar, especialista en Nuevas Tecnologías y Protección de Datos Personales, abogada a cargo del Área del mismo nombre en CMS GRAU Abogados.
Hace varias semanas hizo noticia la aparición del virus wannacry, que afectó a nivel mundial a varias compañías de diversos sectores. El wannacry es un software malicioso del tipo ransomware, que encriptó bases de datos de diversas organizaciones y personas, obligando a los afectados a pagar para su liberación.
En ese contexto, nos preguntamos: ¿estamos preparados para afrontar un ciberataque? ¿Hay algo que podamos hacer para reducir sus impactos?
En una época en la que dependemos en gran medida de la tecnología, la información de las empresas y personas se encuentra expuesta a ser objeto de un ciberataque. Un ciberataque es cualquier tipo de acción ofensiva cuyo objetivo es atacar sistemas de información (infraestructuras, redes computacionales, bases de datos albergadas en servidores remotos) por medio de actos maliciosos que aprovechan las vulnerabilidades de los sistemas, utilizando la red para concretar su objetivo.
En efecto, nadie cree que le va a pasar hasta que le pasa, y el impacto económico que este puede generar en una organización es enorme, pues podría verse expuesta a incidentes de denegación de servicio, imposibilidad de utilizar su información, ya sea porque es inaccesible o porque esta ha sido dañada, o bien sufrir grandes pérdidas económicas porque su información confidencial (secretos comerciales, investigaciones, información financiera) ha sido expuesta.
Según el reciente informe emitido por Verizone, “2017 Data Breach Investigation Report”, el 61% de los incidentes de vulneración de datos (que comprende tanto datos personales como información confidencial y clave de las empresas) impacta a negocios de 1000 empleados; el 95% de los ataques de phishing que provocaron una vulneración fueron originados por algún tipo de instalación de software y los 9 patrones de ataque más comunes son los mismos que fueron identificados por dicha empresa en el 2014. Los sectores más atacados: salud, hotelería, servicios financieros, educación, información, manufactura, retail y el sector público.
Lo recomendable: Mirar al interior de la propia empresa y preguntarse ¿hemos implementado adecuadas medidas de seguridad de la información para proteger nuestro activo-información?
Ahora, si bien tener un sistema 100% seguro es costoso y probablemente imposible, por lo menos si se pueden tomar medidas que permitan reducir los riesgos a los que se expone la información. A continuación menciono algunas de ellas.
- Utilizar contraseñas fuertes
Se recomienda utilizar contraseñas que combinen caracteres alfanuméricos, mezclando las mayúsculas y minúsculas y símbolos y, obviamente, evitar repetir la misma contraseña para diversos usuarios.
- Utilizar protocolos de seguridad
Las reglas que gobiernan las comunicaciones deben estar diseñadas para que el sistema pueda soportar ataques de carácter malicioso.
- Contar con controles de acceso
Es importante que todos los sistemas y aplicaciones cuenten con controles de acceso. Usuarios y contraseñas únicos asignados de acuerdo a los perfiles y funciones del puesto que desarrolla el personal de la empresa, y sólo otorgar acceso a datos sensibles o confidenciales cuando esto sea estrictamente necesario.
- Actualizar los parches de seguridad
Un parche consta de cambios que se aplican a un programa para corregir errores, agregarle funcionalidad, actualizarlo, entre otros beneficios. Los parches de seguridad solucionan agujeros de seguridad y por lo general sin modificar la funcionalidad del programa. Por esta razón resulta imprescindible tenerlos actualizados.
- Realizar copias de seguridad
Es fundamental contar con un adecuado sistema de respaldo que comprenda no solo realizar copias de seguridad sino realizar pruebas de recuperación, lo cual permitirá a las empresas poder salvar su información en un tiempo adecuado para poder seguir con sus actividades habituales en el menor tiempo posible en caso de sufrir un ciberataque.
- Capacitar al personal
El personal de un empresa, que es finalmente quien procesa y accede a la información, puede ser el mejor aliado para lograr contar con un sistema adecuado de seguridad de la información; sin embargo, también puede significar una gran vulnerabilidad en el caso que no se encuentre debidamente capacitado respecto a las reglas de manejo de información, por lo que de nada servirá invertir millones de soles en infraestructura tecnológica y software.