Algunas veces cuando la gente escucha una conferencia sobre seguridad se muestra temerosa y paranoica y dice cosas como “parece que no hay posibilidad de protegerse o ¿cómo puedo protegerme?”. Para esas interrogantes es oportuno el consejo de Christopher Hagdany que en su libro Social Engineering, The Art of Human Hacking, recomienda tener un Plan de Recuperación de desastres y un Plan de Respuesta a incidentes, porque hoy en día parece que no es una cuestión de “sí” le van a atacar sino de “cuándo” lo harán. A estas alturas espero que la información que genera su empresa esté por lo menos al mismo nivel de importancia que la que tiene la imagen de su negocio, las operaciones, su infraestructura y el equipo humano, esto ya es un gran avance para convertir a la información en lo más importante que como activo, tenga su empresa. Espero que conozca que hacen sus empleados con la información de su empresa, ¿está seguro que no tiene un empleado descontento que le puede estar enviando la base de datos de sus clientes a la empresa que es su competencia?, ¿conoce los controles que tiene su empresa para evitar que esto suceda?, ¿está seguro que su gerente o ejecutivo de ventas que acaba de renunciar o de ser despedido, no llevó para su uso la base de datos de sus clientes, proveedores, nómina, etc?, si usted no fue precavido, es posible que esta persona haya borrado toda la información que él consideraba le pertenecía, pero para usted era información vital. Los casos históricos y recientes nos muestran lo crítico que puede resultar la pérdida de información para el futuro del negocio, además de la pérdida de reputación de la empresa afectada, Wikileaks abrió un antes y después sobre fuga de datos, otros hechos de similar o mayor importancia como Stuxnet, la infección con malware a las sistemas informáticos del New York Times, la fuga de millones de datos de Sony (PSN), Equifax, Yahoo, Target, JP Morgan, Dow Jones, el caso Snowden y la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), Mossack Fonseca, entre otros casos mediáticos. Este tipo de acontecimientos nos deben llevar a reflexionar sobre la importancia de la información en nuestra empresa, ¿conocemos quienes la controlan?, ¿qué niveles de seguridad tiene?, ¿quiénes tienen acceso a la información crítica de la empresa?, ¿la inversión en tecnología para asegurar el entorno de red de mi empresa es suficiente?, ¿cree que los usuarios no pueden ser manipulados para que brinden información confidencial a través de un mail engañoso, una llamada falsa e incluso una visita de un atacante haciéndose pasar por un proveedor? Le aseguro que son muchos los métodos con los que hoy en día cuentan los atacantes, la propagación de las diferentes variantes y técnicas de ataques para penetrar una organización, deben ser puestos en conocimiento de todos los empleados, para eso recomiendo efectuar una prueba de auditoría como primer paso para conocer el nivel de seguridad con el que cuenta la empresa, con esos resultados podemos establecer en donde estamos fallando, que tipos de controles necesitamos implementar o mejorar para reducir el riesgo, preguntas como ¿cuenta mi empresa con un plan de actualizaciones de parches de seguridad?, ¿los IPS/IDS están correctamente configurados?, ¿tengo un registro de logs de las actividades diarias?, ¿alguien le ha informado de estos resultados?, ¿conocen sus empleados sobre los ataques de Ingeniería Social?, ¿sabe si efectivamente el visitante que hoy estuvo en su oficina fue efectivamente un proveedor de servicios?, ¿no cree que un atacante pudo haberse saltado los filtros de acceso a su oficina para conseguir algo preciado para él? Las nuevas dinámicas del negocio exponen agujeros en el perímetro de las empresas, haciéndolas más vulnerables a la fuga de información, no solo es útil la implementación de herramientas de seguridad, pero no se debe dejar de lado la educación del personal de la compañía, se debe estar seguro de que todos los activos valiosos hayan sido identificados adecuadamente. La tecnología por sí sola no va a resolver el problema de la seguridad informática, por lo tanto, la recomendación es empezar por una auditoria de seguridad, cómo dice Christopher Hagdany, “si alguna vez ha sufrido la fractura de un miembro, sabrá que como parte de la recuperación el médico le mandará rehabilitación. Estas pruebas permiten a los médicos comprobar si sufre alguna debilidad que deba ser reforzada”. Lo mismo aplica a sus negocios, excepto que, en la auditoría, la prueba se realiza antes de que ocurra la brecha. ¿Qué hacer?, localmente existen capítulos de organizaciones reconocidas internacionalmente que aglutinan en sus filas a profesionales de seguridad de la información, ellos pueden ayudarle ofreciendo recursos y herramientas para mejorar su entorno de seguridad. Isaca Ecuador, ISSA Ecuador, Owasp Ecuador y la recientemente creada Asociación Ecuatoriana de Ciberseguridad (AECI), son algunas organizaciones, consulte si el responsable de seguridad de su empresa pertenece a una de estas organizaciones, su empresa debe estar preparada para enfrentar las amenazas que cada día son más frecuentes, desde algo tan sencillo como contar con una política de activación de un protector de pantalla con contraseña cada vez que un empleado abandone su computador, o una política de escritorios limpios, son dos tips básicos que reducirán en gran medida la exposición de información sensible ante un ataque.