Skip to content
map-marker-alt icon

👋 Guadalajara | Ciudad de México

1

Blog de Innevo

Profesionales de TI analizando los tipos de riesgos de seguridad informática

4 Tipos de Riesgos Informáticos Prioritarios en las Empresas

Hoy, las empresas enfrentan riesgos informáticos en constante crecimiento, y la gestión de estos riesgos es clave para proteger la información y ganar una verdadera ventaja competitiva. Este artículo es una guía esencial para encargados de sistemas y CEOs que buscan mitigar vulnerabilidades y fortalecer la seguridad en sus organizaciones, conocerás los cuatro tipos de riesgos informáticos más importantes y cómo abordarlos para fortalecer la seguridad de la información en tu organización.

¿Ya conoces nuestro servicio de ISO 27001 para empresas?

La realidad de los riesgos informáticos

El sitio web Secureframe, en su más reciente informe comunica que:

  1. El 41% de las organizaciones informaron que experimentaron tres o más eventos de riesgo crítico en los últimos 12 meses.
  2. El 41% de las organizaciones que habían sido atacadas durante el año anterior afirmaron que su exposición al riesgo había aumentado.
  3. La mayoría de los ejecutivos de riesgos evaluaron sistemáticamente el cibercrimen como uno de los cinco riesgos principales (58 % y en aumento), ahora y en los próximos tres años.
  4. Casi dos tercios (63%) de los ejecutivos creen que los procesos de gestión de riesgos de su organización no ofrecen ninguna ventaja competitiva u ofrecen una ventaja competitiva mínima.
  5. Menos profesionales de riesgos afirman que están viendo resultados de "eficiencia" significativos, como menores costos de cumplimiento (30%) y costos de personal (25%) como resultado de las aplicaciones tecnológicas.
  6. El 20.98 % de las organizaciones tienen relaciones con al menos un tercero que ha sufrido una infracción de seguridad en los últimos dos años.

Y muchos más datos. En resumen, la ciberseguridad es cada vez más un tema preocupante debido al incremento de las violaciones a los sistemas de las empresas.

¿Por qué entonces si también cada vez más empresas abordan este problema, ya sea o no que hayan sufrido una intromisión no autorizada en sus sistemas, se están dando más casos de vulneraciones?

La respuesta es que no han realizado una correcta identificación y evaluación de riesgos informáticos.

Entonces, ¿qué hacer?

Tomando en cuenta la información que mundialmente está disponible sobre las causas de estos ataques y para eficientar tus esfuerzos en Innevo te recomendamos enfocarte en los siguientes cuatro tipos de riesgos, inicialmente, y luego abarcar otros, ya que estos riesgos son las principales grietas a través de las cuáles se infiltran el 90% de los ataques:

  1. Riesgos de seguridad cibernética.
  2. Riesgos de fallas en infraestructura y sistemas.
  3. Riesgos de errores humanos.
  4. Riesgos de cumplimiento.

Riesgos de seguridad cibernética

Probablemente sea el más común porque comprende cualquier tipo de amenaza o ataque de entidades externas a la empresa, como el malware, el ransomware, el phishing y el DDoS.

Que característica tienen en común: que son automáticos. Un sistema está “observando” constantemente tu red y diagnosticándola. Evalúa quienes se firman, dónde se firman, descubren en general patrones de uso de sistemas e información y van construyendo un patrón de comportamiento que finalmente van a comprender en su totalidad y si el cumplimiento de políticas de seguridad por tu personal es deficiente o tus políticas de seguridad de la información están pobremente actualizadas, estos componentes de software descubren la vulnerabilidad y por ahí se filtran. Roban datos sensibles, secuestran sistemas o en el mejor de los casos causan interrupciones en los servicios.

Solución: políticas de seguridad de la información rigurosas y cabalmente cumplidas, por ejemplo, el tan citado tema de la actualización frecuente de contraseñas.

➡️ Te recomendamos leer: Seguridad de la Información y Ciberseguridad en la ISO 27001.

 

Riesgos de fallas en infraestructura y sistemas

Las fallas en servidores, redes y hardware en general afectan la continuidad operativa y la productividad.

Hay diversas causas para estas fallas:

La primera, una mala administración de cambios. La urgencia de atender una modificación en la infraestructura no involucra a la gente seguridad dejando vulnerabilidades que con sistemas de ataque como los mencionados en el punto anterior encuentran la falla con relativa facilidad.

Solución: un proceso de cambios eficiente y cabalmente cumplido.

➡️ Si eres un profesional de TI o estás encargado del área de Sistemas, te recomendamos leer 3 Problemas y errores comunes en la Gestión de TI en donde hablamos de la administración de cambios y donde también encontrarás un recurso gratuito de este tema.

La segunda, falta de supervisión en la actividad dentro de la red. Es necesario evaluar permanentemente comportamientos atípicos en redes, ruteadores, switches, servidores, bases de datos, tipo de tráfico en la red y sobre todo peticiones desde Internet.

Solución: monitoreo automático las 24 horas con alarmas a umbrales de comportamiento.

La tercera, la falta de auditoría internas de seguridad de la información. Esta última es la causa de más del 60% de las fallas de seguridad.

Solución: Un plan anual de auditoría ejecutado con eficacia descubrirá potenciales riesgos en la configuración de políticas en la infraestructura, así como comportamientos del personal que violen las políticas de uso.

➡️ Para más información sobre cómo coordinar la infraestructura de sistemas y la seguridad de la información puedes leer Seguridad en Tecnologías de la Información: Combinar ISO 27001 e ISO 20000.

 

Riesgos de errores humanos

Esta fuente de riesgos va ligada con la tercera causa mencionada anteriormente y se debe a tres comportamientos, básicamente:

Mal uso de herramientas: las herramientas, sobre todo la computadora y el wifi, son utilizados con poca responsabilidad violando con frecuencia las políticas de uso. Sin un monitoreo de la red y un plan de auditorías internas, la probabilidad de que te enteres de este fenómeno es casi nula. En general la gente adopta el criterio de que “urgencia mata política” y dime ¿quién no tiene urgencias en su trabajo?

Solución: Capacitación continua en seguridad a los empleados para fomentar el uso responsable de las herramientas e infraestructura y reforzar las actitudes y valores con respecto a la protección de datos.

Configuración incorrecta: las políticas de acceso, contraseñas, periféricos y demás son configuradas para un avatar general, pero no se profundiza en cada tipo de puesto para asegurar que la configuración de su trabajo responda a los criterios de seguridad de sus responsabilidades. De pronto a directores de área se les da una gama amplia de acceso sólo para facilitarles la utilización del equipo sin que exista una justificación real. Este es un error común y muy grave en el contexto actual de seguridad informática.

Solución: Aplicación de políticas de acceso y control de permisos personalizados para las funciones y datos necesarios, minimizando el riesgo de configuración incorrecta o acceso indebido.

Errores en el manejo de datos: tanto la información digital como escrita hay descuidos frecuentes. Por ejemplo, la digital compartiéndola por correo o alguna mensajería instantánea y la escrita dejándola a la vista de cualquiera o desechándola sin destruirla. Es común no cerrar sesión cuando se ha concluido de usar una herramienta de trabajo, no apagar la computadora al final del día laboral, o utilizar dispositivos móviles en cualquier red pública para acceder a sistemas y datos de la empresa.

Solución: Implementación de auditorías internas de seguridad para detectar malas prácticas y permitir tomar medidas correctivas de inmediato.

Riesgos de cumplimiento

Al no imponerse en la empresa el cumplimiento estándares que facilitan la operación de un Sistema de Gestión de Seguridad de la Información (SGSI), como la norma ISO 27001, o al no evaluar si por el tipo de empresa se le aplica cierta normatividad de seguridad informática, puedes terminar sufriendo un evento de seguridad que te consumirá significativamente más tiempo y costo en recuperarte, de lo que habría sido la implementación del estándar.

Como hablamos en nuestra reciente serie de Charlas sobre la Seguridad de la Información (puedes ver las grabaciones aquí), el estándar ISO 27001 es un camino probado para darle orden y estrategia a la seguridad de la información, sistematizarla y garantizarla en el corto, mediano y largo plazo. 

¿Sabes qué tipos de riesgos informáticos hay en tu empresa?

Son tan comunes este tipo de riesgos que casi en todos nuestros clientes se cumplen y todo por no querer dedicar tiempo a la evaluación de la seguridad en la empresa.

Te recomiendo la sugerencia de Andy Groove el CEO de Intel: más le vale a cualquier directivo ser un paranoico y empezar nuevamente cada día. Es decir, no confiarse, siempre evaluar, monitorear y auditar.

En Innevo, te guiamos en la realización de tu evaluación de riesgos de seguridad de la información, así como en el diseño e implementación de un SGSI y controles de seguridad óptimos para el tamaño y tipo específico de empresa. A través de sesiones prácticas de acompañamiento personalizado para tu equipo y directivos, sistematizamos la seguridad informática de tu organización.

ISO 27001 para empresas

Adolfo Navarro

Adolfo Navarro | Sobre el autor

Director de Operaciones y Consultoría en Innevo.

Follow me on LinkedIn

¿Qué te pareció el contenido?

También te podría gustar