De acuerdo con un estudio del FBI los delitos relacionados con el hurto de información alcanzarán los 10,500 millones de dólares en el año 2025. Por lo tanto, la pregunta para cualquier empresa es ¿qué puedo hacer?
El delito cibernético representa una amenaza masiva para las pequeñas empresas y los datos de sus clientes; sin embargo, muchas de ellas no tienen los recursos ni el tiempo para dedicarse a fortalecer la seguridad de la información. Como resultado, sus procesos, usos y costumbres y sistemas digitales son vulnerables a ataques, a menudo con consecuencias de gravedad legal o financiera.
En esta entrada haremos una inspección general de los aspectos más importantes de los delitos de información y saber cuál es la información que debe ser protegida.
Con delitos informáticos fundamentalmente nos referimos al ciberdelito, es decir la actividad delictiva que involucra computadoras, redes y otros canales digitales.
Cuando atacan, los ciberdelincuentes suelen apuntar a estos cinco activos de valor, por lo tanto, esta es la información de tu empresa que debes proteger.
Veamos a que nos referimos con cada uno de estos tipos:
Es la información de tu empresa relativa a sus ventas y compras que con frecuencia es confidencial como contratos con clientes y proveedores, adquisiciones y criterios de rentabilidad.
La información de tarjetas de crédito y débito son los más lucrativos para la delincuencia, pero también datos de cuentas de cheques, de facturación, de montos y frecuencia de compras y domicilio, son los que obligatoriamente deben estar protegidos contra el robo. Con frecuencia abren cuentas con minoristas y bancos para obtener préstamos o realizar compras a nombre de ellos.
Información de saldos y cuentas de cheques, préstamos, balances contables, rentabilidad, préstamos, claves de acceso a sistemas bancarios, presupuestos e inversiones. Esta información es la más apetecible de los delincuentes, es la que debes proteger con la mayor prioridad.
Estos datos pueden ser utilizados para extorsionar, fundamentalmente a directivos de alguna forma, o inclusive para planear algún secuestro personal o secuestrar su información.
Por lo tanto, la información de nombres, puestos, salarios y datos personales de tus colaboradores deben ser de uso confidencial sólo para el área de personal y considerada como secreta.
Los datos de tus equipos informáticos, licencias, bases de datos, proveedores de tecnología y el grupo de trabajo de TI debe ser también confidencial y mantenida en secreto tanto dentro como fuera de la empresa.
Realizan ataques de tres maneras principales:
El caso 2 suele deberse a los usos y costumbres de la empresa motivados por la ausencia de procesos rigurosos de manejo de información. Mientras que el caso 3 se debe a la ausencia de valores éticos del personal.
Por lo tanto, puedes ver que proteger la información de tu empresa no es un asunto exclusivamente tecnológico y consecuentemente puedes hacer mucho sin invertir en tecnología atendiendo inicialmente a la implementación de políticas y procesos que regulen el comportamiento de tu personal y el cuidado que deben tener cuando accedan y utilicen información.
Como vimos en el punto anterior, no solo se trata de implementar medidas de seguridad tecnológicas, sino de políticas y procesos.
Aquí te doy las principales recomendaciones para proteger tu empresa de los delitos informáticos:
Por ejemplo, si el director general llama a cuentas por pagar exigiendo dinero para una factura, el colaborador debe notificarlo a su gerente de inmediato. Anima a tu personal a hablar con sus supervisores si reciben solicitudes atípicas de quien sea y por el medio que sea.
Pide al personal que se conecten a la oficina mediante una VPN encriptada o señales 4G o 5G cuando estén fuera de la oficina.
Muchos gerentes y personal en general usan la marca de la empresa a través de plataformas sociales. Exígeles que no compartan información de la empresa ni de sus actividades en la misma por ningún medio o red personal ya que alguien podría usar esa información para hacerse pasar por ellos. Elimina la publicación de cumpleaños, ascensos y demás datos a través de redes sociales o páginas de internet de las que no confíes.
Los equipos de TI a menudo se conectan a las computadoras de los compañeros de trabajo a través de software de acceso remoto para solucionar problemas. Los piratas informáticos lo saben y pretenderán ser parte de tu personal de TI. Obliga a tu equipo que verifique directamente con el administrador de TI para asegurarse de que las solicitudes de acceso sean válidas.
La mayoría del personal no saben cuán devastadores pueden ser los daños financieros y de reputación de una violación de datos. Capacítalos sobre lo que deben tener en cuenta y cuándo hablar. Supervisa su desempeño, pruébalos regularmente y reconoce al personal que da la alarma.
El primero que debe acatar cabalmente y con absoluta disciplina y rigor los procesos y políticas que tengas sobre seguridad, eres tú. Sí, ya sea que seas el dueño o el director general, tu ejemplo logrará que la seguridad de la empresa sea mucho más efectiva y fácil de cumplir.
Si deseas tomar en serio la protección de la información tanto digital como física de tu empresa y no solo protegerla de delitos informáticos, es altamente recomendable que consideres la implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, el estándar internacional para la protección de la información en las empresas.
Una filtración de datos puede dañar tu reputación y hacer que tus clientes no estén dispuestos a confiarte sus datos. Incluso puedes enfrentar una demanda de los clientes afectados por la infracción.
Las amenazas a la información de tu empresa son demasiado grandes para que las pequeñas empresas las ignoren, así que comienza a prepararte ahora mismo, no importa qué presupuesto tengas, será mejor hacerlo, aunque sea paulatinamente que no hacer algo.