Índice global de Ciberseguridad

El Índice es elaborado por la ITU con indicadores que permiten medir aspectos legales (instituciones y marcos legales para la ciberseguridad y el crimen cibernético), aspectos técnicos (instituciones y marcos técnicos que se encargan de la ciberseguridad de cada país), aspectos organizacionales (instituciones de coordinación de políticas y estrategias para el desarrollo de ciberseguridad a nivel nacional), creación de capacidad (existencia de programas de investigación y desarrollo, programas de educación y capacitación, profesionales certificados y agencias del sector público que promueven el desarrollo de capacidades) y cooperación (existencia de asociaciones, cooperación y redes de intercambio de datos e información).

El Reino Unido ocupa el primer lugar seguido por Estados Unidos, Francia, Lituania y Estonia. El objetivo de la Iniciativa Mundial sobre la Seguridad Cibernética es ayudar a los países a identificar las áreas de actuación en las que es preciso mejorar en el ámbito de la seguridad cibernética, así como motivarlos para que adopten medidas para mejorar su clasificación, contribuyendo así a elevar el nivel general de la seguridad cibernética en todo el mundo.

En los aspectos técnicos se destaca la recomendación de crear marcos y estándares de implementación como sistemas de gestión de la seguridad de la información a nivel macro y de organizaciones y empresas, los mecanismos de protección para niñez y familias y los estándares para formar y certificar programas profesionales en diversas temáticas asociadas a la ciberseguridad.

Les recomiendo consultar nuestra Guía sobre sistemas de gestión de seguridad de la información y la importancia de la formación como auditor de TI y líder implementador.

El ITU es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación – TIC

Computación Cuántica

Los computadores normales funcionan bajo el enfoque binario, que es la menor cantidad de datos disponibles para las computadoras y está representado por ceros y unos, los llamamos bits; los datos son procesados usando lógica binaria (AND, OR, NOT, XOR), estas operaciones lógicas se implementan utilizando interruptores electrónicos controlables.

El equivalente de un bit en la computación cuántica se denomina quantum bit o qubit, en lugar de ser una pequeña pieza de datos como para una computadora normal, los científicos usan objetos cuánticos como electrones, moléculas, fotones o incluso pequeños circuitos electrónicos que muestran efectos cuánticos. Con esta capacidad un computador cuántico podría multiplicar por ejemplo dos números primos de hasta más de 20 dígitos cada uno.

Les recomiendo este video sobre el tema, que dimensiona el concepto y las inversiones cuantiosas que se están haciendo a nivel mundial para liderar y avanzar en la computación cuántica, la comunicación cuántica y los sensores cuánticos; además de empresas y entes gubernamentales como IBMGoogle, el gobierno de Estados Unidos, los europeos y China.

La computación cuántica impactará y logrará, avances generosos de la inteligencia artificial, el modelado molecular, los modelamientos financieros, la criptografía, las predicciones del tiempo y las partículas físicas y químicas como lo señala Singularity University.

Se espera que estos avances impacten: La seguridad cibernética, el desarrollo de fármacos, el modelamiento financiero, mejores baterías, fertilización más limpia, optimización de tráfico, pronóstico del tiempo y cambio climático, inteligencia artificial, captura de energía solar y descubrimiento de materiales electrónicos.

Como lo señala Nicolas Negroponte esta evolución también requiere centrar los esfuerzos en energía nuclear para actuar de forma amigable con el medio ambiente y garantizar la energía para todas estas promesas tecnológicas que deben estar centradas en calidad de vida, sostenibilidad y desarrollo social y humano para todos.

Fuente de la Imagen: Smart Energy.

Cuidado de los datos personales

Los datos personales en la era de la transformación y de la sociedad digital son un activo intangible de valor exponencial por el uso masivo de lo digital, es por ello que desde el 17 de octubre de 2012 el Gobierno de Colombia expidió la Ley Estatutaria 1581 de 2012 por el derecho a la información y el Habeas Data, estas leyes vienen adelantándose por toda Latinoamérica o a nivel mundial (consulte aquí el mapa de la situación de cada país del mundo)

Los datos personales cuando se asocian a lo biométrico incluyen: huellas dactilares, geometría de la mano, análisis del iris, análisis de retina, rasgos faciales, patrón de voz, firma manuscrita, análisis gestual y análisis del ADN. Existen también datos sensibles asociados a la salud, opiniones políticas y-o religiosas, vida sexual, entre otros o datos semiprivados asociado a la trayectoria académico y-o profesional, por ejemplo.

A nivel de las empresas se recomienda: definir claramente cuales son los fines de la información personal que trata por su cuenta y asociado a sus grupos de interés, contar con un área interna o externa de protección de datos, tener procedimientos de atención, clasificar y proteger la información de las bases de datos identificando procedimientos y riesgos, incluir clausulas de confidencialidad en los contratos y tener procedimiento y responsables frente a incidencias.

Para proteger los datos personales se recomienda: controlar acceso a buzones de correo electrónico, usar contraseñas difíciles de descubrir, evitar llenar formularios en computadores en espacios públicos, evitar compartir datos por dispositivos digitales, protegerse frente al robo de identidad (manipular correos fraudulentos o sospechosos), u otras valiosas recomendaciones para teléfonos móviles que puede consultar aquí.

Estamos apenas comenzando a incrementar nuestra capacidad de gobernar los datos.

Gestión de la Ciberseguridad

La Ciberseguridad es la capacidad de proteger el uso del ciberespacio de los ataques cibernéticos mientras que la seguridad de la información pretende la protección de la información y de los sistemas de información tanto en acceso, como en uso y apropiación evitando interrupciones, modificaciones o destrucciones no autorizados de datos e información, de manera que se garantice integridad, disponibilidad y confidencialidad.

La Norma ISO 27032 de Gestión de la Ciberseguridad es un estándar para gestionar la Seguridad de la información y la Seguridad en las Redes en el ciberespacio, seguridad en Internet y Protección de las Infraestructuras cibernéticas, para lo que empresas y organizaciones deben gestionar su marco de referencia de ciberseguridad.

Este marco de referencia NIST (National Institute of Standards and Technology of USA) propone gestionar las siguientes funciones en las empresas y organizaciones: identificar, proteger, detectar, responder y recuperar. Para la funcionalidad de identificar se propone gestionar las categorías: Gestión de Activos, Entorno de negocios, Gobierno, Evaluación de riesgos y Estrategia de gestión de riesgos.

Para la función de proteger: Gestión de Identidad y Control de Acceso, Sensibilización y Formación, Seguridad de Datos, Procesos y Procedimientos de Protección de la Información, Mantenimiento y Tecnología de Protección. Para la función de detectar: Anomalías y Eventos, Monitoreo Continuo de la Seguridad y Procesos de Detección.

Para la función de respuesta: Planificación de la respuesta, Comunicaciones, Análisis, Mitigación y Mejoras. Para recuperar: Planificación de la recuperación, mejoras y comunicaciones.

Ahora bien para hacer realidad este marco en las organizaciones se debe establecer una hoja de ruta que incluya: evaluar el estado actual de la empresa y organización frente a la ciberseguridad, analizar las brechas e identificar las acciones necesarias de intervención, formular e implementar el plan de acción.

La temática se vuelve mas critica con la extensión del ciberespacio dado por la computación ubicua y las ciudades inteligentes y por tanto además de cumplir con las normas se deben gestionar marcos y modelos para esta supra-infraestructura cibernética.

La protección de los Datos en la Transformación Digital

Para entender la protección partamos de lo que son los datos personales que es aquella información relacionada a una persona y que permite su identificación, el documento de identidad, el sitio de nacimiento, la edad, trayectoria académica o profesional, de igual manera serían los datos empresariales; ahora bien los datos públicos son los que cada ley o Constitución Política determinan como tales, los datos semiprivados no tienen naturaleza íntima o reservada y pueden divulgarse a cierto sector o grupo de personas, los datos privados son los que solo son relevantes para el titular de la información y los datos sensibles son los que afectan la intimidad del propietario por un uso indebido.

En Colombia la Superintendencia de Industria y Comercio cuenta con una serie de cartillas alrededor de la protección de datos. Para las empresas en la era de la Transformación Digital se requiere de una administración automatizada de los datos para lo que debemos definir y revisar las políticas de protección de datos y los instrumentos de consentimiento, finalidad, obligación y reciprocidad, además de generar estrategias y acciones de apropiación de una cultura de protección de los datos y designación de responsabilidades.

En la Transformación Digital se podrá contar con tecnologías digitales para recuperación operativa, recuperación de desastres, retención y archivado histórico, procesamiento de big data y analítica de datos, recuperación de bases de datos para pruebas y desarrollo y procesos de auditoría continua y descubrimiento de conocimiento.

De esta manera se genera confianza por el buen manejo de los datos personales, se da ejemplo de cómo gestionar los datos para acceder a también a información valioso y de manera adecuada para el análisis de datos y se potencian las relaciones comerciales. Existen en todos los países de Latinoamérica un reglamento general de protección de datos que puede consultar aquí.

Consúltenos para tener el gusto de atenderlos.

Seguridad de la información en PyMES

En Colombia la definición y clasificación de empresas tipo PyMES se encuentra reglamentada por la Ley 590 de 2000 y sus modificaciones en la Ley 905 de 2004 en las que se define y categorizan según el número de trabajadores y el valor de los activos, siendo las microempresas una unidad de explotación económica con menos de 10 trabajadores, la pequeña empresa comprende entre los 11 y 50 trabajadores y la mediana empresa es la que cuentan con un personal entre 51 y 200 trabajadores.

Este tipo de empresas pueden pertenecer al sector económico de servicios, manufactura, comercio, entre otros. Según la revista dinero, en el 2017 en Colombia las PyMES tuvieron una gran influencia en el PIB, de las 25.000 empresas que reportan los estados financieros en la superintendencia de sociedades el 80% son PyMES. Tras una breve contextualización es evidente el peso que tienen las PyMES en la economía nacional, pero es necesario aclarar que las PyMES son unidades productivas importantes para el sector económico de cualquier país al que pertenezcan.

Aunque los indicadores parecen positivos, el presente blog pretende abarcar otro tema, el cual es la situación actual de la Seguridad Informática en las PyMES. Como se nombró en el blog anterior ¿Por qué es importante la seguridad informática en las empresas?. La seguridad informática se debe ver como un proceso preventivo y defensivo dentro del negocio y sería ideal que se convirtiera en un proceso transversal en cualquier negocio, ya que en esta era de transformación digital las empresas, ya sean grandes o PyMES, hacen uso de la tecnología como una herramienta laboral para potenciar la competitividad y se sabe que la incorporación de tecnología a un negocio genera automáticamente la necesidad de protección.

En el anterior blog también se habló de los errores que cometen las empresas al momento de proteger los datos, por ejemplo, el desconocimiento sobre el tema, malas prácticas, falta de consciencia, exceso de confianza al pensar que no serán atacados, pero la realidad es otra, ya que estar conectado a Internet genera un riesgo sin importar el tipo de empresa. Estos errores son conocidos por los atacantes y al saberlo buscan empresas pequeñas que tiene una infraestructura tecnológica débil y que no cuentan con mecanismo de seguridad, por esta razón es tan importante que los empresarios de las PyMES reconozcan y se den cuenta de lo necesario que es invertir para proteger los datos, sin embargo, se debe ser consciente que las PyMES tienen limitaciones de recursos y por temas de costos no realizarán inversiones en algunos aspectos, en este caso en contratar personal calificado para proteger sus datos, pero para un tema tan delicado deben existir alternativas, al menos para cumplir con algunos niveles mínimos y empezar a avanzar de a poco con este tema.

Con las siguientes recomendaciones no se alienta a las PyMES a que se queden con soluciones gratuitas y se conformen con eso, lo ideal es que evalúen la capacidad de inversión, a pesar de sus limitaciones es importante recordar que no requieren las mismas soluciones de seguridad que empresas grandes, debido a que las PyMES también tienen una infraestructura limitada, es decir, el número de computadores y servidores será menos que el de una empresa grande, por lo que la solución será más económica.

Muchas de las recomendaciones pueden ser parte de políticas y buenas prácticas que se pueden implementar en las PyMES:

  • Es bueno socializar con los empleados la importancia de tener buenas prácticas al hacer uso de los computadores, celulares y al navegar en la web para no incurrir en comportamientos riesgosos para la seguridad de los datos.
  • No descargar y/o instalar software no autorizado, software pirata o de fuentes no confiables, ya que pueden contener malware.
  • Realizar actualizaciones constantes de software y/o sistemas operativos.
  • No brindar información confidencial a cualquier persona.
  • No abrir correos electrónicos sospechosos.
  • En caso de ser posible activar el firewall de los equipos de trabajo y configurar las conexiones autorizadas.
  • Se debe ser responsable con el manejo de las contraseñas, por ejemplo, no se deben utilizar datos personales como contraseña, no se deben escribir en un papel y guardarlas físicamente en lugares que pueden ser accesibles por otras personas, se deben cambiar periódicamente.
  • Se debe regular el uso de dispositivos móviles y redes sociales, aunque éstos son importantes en muchos casos para empresas que los utilizan para hacer marketing, se debe limitar que tanta información manejan, por ejemplo, información confidencial de la empresa no se debería compartir a través de redes sociales, así sea entre personal de la empresa, debido a que deben existir canales más adecuados y protegidos por protocolos de seguridad.
  • Hacer uso de los sistemas de almacenamiento en la nube, ya que de esta manera se está garantizando almacenar los datos en un servidor que cuenta con servicios de mantenimiento y seguridad de terceros, este tipo de servicios se pueden utilizar para realizar copias de seguridad.
  • Las copias de seguridad, independiente del medio donde se realicen deben ser llevadas a cabo de manera periódica.
  • Contratar un cloud server con un proveedor de hosting es una buena alternativa al momento de tener un servidor, debido a su escalabilidad, rendimiento y bajo costo, además de que su administración es realizada en gran parte por el proveedor, por lo que se pueden ahorrar algunos costos de personal.
  • En caso de que la PyMES tenga una página web con transacción de datos, es decir, sistemas de autenticación, sistemas de pago, entre otros, se recomienda implementar el protocolo SSL en dicha página. Existen alternativas gratuitas o económicas para implementar el protocolo SSL dependiendo de la necesidad de la empresa.
  • Se recomienda que todos los equipos de trabajo tengan instalado un antivirus con la base de virus actualizada y se realicen escaneos periódicamente.
  • Los datos no sólo se filtran a través de la tecnología, las personas son un eslabón débil en la cadena de la seguridad por lo que se recomienda que la empresa realice clausulas y acuerdos de confidencialidad con los clientes, empleados y proveedores.

Es momento de que las PyMES sean conscientes de la necesidad que tienen, de lo importante que es incorporar esquemas de seguridad de la información en sus empresas, ya que es mejor prevenir que lamentar, se debe dejar de ver la seguridad de la información como un gasto cuando realmente es una inversión necesaria, para ver más sugerimos consultar esta iniciativa de Andalucía en España.

También puede consultarnos a través de esta Petición de Servicios.

¿ Por qué es importante la seguridad informática en las empresas ?

Actualmente la sociedad está viviendo una transformación digital, en la que se involucran tanto personas particulares como empresas, se evidencia el uso cada vez mayor de herramientas TIC para realizar labores comunes y cotidianas que benefician en términos de tiempo y esfuerzo, sin embargo, aunque existen numerosas ventajas, también existen demasiados riesgos, los cuales están asociados por ejemplo con el desconocimiento, el tener hábitos inseguros e inadecuados de uso de la tecnología o cuando se dejan datos críticos a disposición pública en Internet.

Este blog busca resaltar la fuerte relación que debería existir entre la seguridad informática y las empresas, según datos de Kaspersky Lab en los primeros ocho meses del 2017 en América Latina se presentaron casi 7 millones de ataques malware, centrados principalmente en Brasil con un 53%, México 17% y Colombia 9%.

Las empresas son objetivo de ataques debido al valor de sus datos, en la actualidad los datos son el activo más crítico de una empresa, ya que representan información de clientes, información del negocio e información financiera, en resumen es información vital para la continuidad del negocio, por lo tanto debe ser administrada por la persona correspondiente, pero ¿qué pasa cuando cae en manos indebidas?, la respuesta a la pregunta es que la empresa se ve afecta en términos económicos, judiciales o de reputación. Los ataques informáticos se pueden llevar a cabo por diversos motivos, ya sea que quiere beneficiarse económicamente al secuestrar los datos y pedir rescate, incluso algunos ataques son por diversión y realizados al azar.

Las empresas juegan un papel importante en la incidencia de los ataques, ya que no son conscientes de los riesgos, no le dan importancia, consideran que no serán atacadas y por lo tanto no escatiman esfuerzos en proteger sus activos de información, haciendo una analogía, están dejando la casa sola y con las puertas abiertas. Al revisar los hechos es evidente que los ataques informáticos no son una problemática aislada, tanto empresas grandes como pequeñas están expuestas, ya que estar conectado a Internet supone un riesgo durante las 24 horas del día y los 7 días de la semana. Se requiere por tanto ver la seguridad informática como un proceso preventivo y defensivo dentro del negocio. Consulta YA la petición del servicio de seguridad de la información.