¿Qué hacer frente al delito cibernético?

Hoy en día se ha incrementado el delito cibernético y el fraude transaccional en un entorno que está en constante cambio, en el cual es necesaria una actualización continua en conocimientos y metodologías, tanto de las amenazas como de las últimas tendencias en convergencia de la seguridad física, la seguridad lógica y la inteligencia, por parte de los empresarios.

Es por esto, que el experto Rafael Ausejo Prieto, gerente de Inteligencia y Ciberseguridad de la compañía española A3Sec, brinda algunas recomendaciones de seguridad para los empresarios:

 

1. El primer paso a la hora de tomar medidas de seguridad, es la realización de un inventario de los activos de información a proteger. Dependiendo del tamaño de la organización y la madurez de su sistema de gestión, esto puede realizarse en una hoja de cálculo simple, enumerando los sistemas, con el mapa actualizado de la arquitectura topológica de sistemas, y aplicaciones o con plataformas de autodescubrimiento que permitan modelar los procesos de negocio. Este proceso suele realizarse mediante una Auditoría de Inventariado y Descubrimiento de Sistemas.

 

2. Una vez se dispone del inventario inicial, se realiza un proceso de análisis de riesgos, que permite determinar las amenazas que afectan a cada activo, la probabilidad de que éste sea afectado y el cálculo de su impacto cualitativo en el negocio, jerarquizando los riesgos hasta establecer los umbrales de negocio en que el riesgo es aceptable. Parte de este proceso de análisis de impacto en el negocio, es de utilidad directa para la realización de Planes de Continuidad de Negocio y sus respectivos Planes de Recuperación ante Desastres.

 

3. Se evalúa la implantación de un Sistema de Gestión de Seguridad de la Información, que formaliza el umbral de riesgo aceptado por la Dirección de la compañía, controlando los riesgos mediante el desarrollo de un Plan de Acciones Correctivas. Así mismo, comience a generar acciones de forma inmediata, como por ejemplo la implantación de un sistema de seguridad perimetral, plataformas de protección antivirus y actualización de versiones de los sistemas. Este proceso suele ser certificable, por ejemplo en la norma ISO 27001, así como la mayor parte de regulaciones nacionales (relacionadas con protección de datos), sectoriales (especialmente en sector financiero, como PCI-DSS 3.1, Basilea III o Solvencia II) o específicas de la organización, como por ejemplo, Sarbanes Oxley o HIPPA en caso de disponer de sedes en Estados Unidos.

4. Cuando la orientación del negocio o servicio de la organización está muy orientada a la Internet, como por ejemplo: Servicios Bancarios Online, Compañías de Seguros, Operadoras de Comunicaciones o Servicios Públicos para la tramitación online de gestiones ciudadanas, el mayor elemento de riesgo puede suponer el fraude transaccional. Para ello, la aplicación de las Nuevas Tecnologías para la Prevención del Delito están siendo muy útiles en estos entornos, así como cuando se maneja información confidencial y un gran número de datos, lo que ha ayudado a desarrollar mejores modelos y esquemas de fraude.

 

5. Cada vez más organizaciones cumplen las recomendaciones anteriores, basadas en información interna, pero olvidando el ecosistema en el que operan. Big Data está ayudando en la generación de inteligencia para algunos sectores, que incluyen: el bancario, industrial y policial. Esta visión holística de la aplicación de la tecnología en la generación de inteligencia, facilitará la toma de decisiones dentro de las organizaciones al conocer con anticipación potenciales amenazas externas que les puedan afectar o, incluso, detectar posibles ventajas competitivas antes que sean aprovechadas por la competencia.