El 85% de las brechas de seguridad vinculadas al factor humano
El 85% de las brechas de seguridad vinculadas al factor humano
El 85% de las brechas de seguridad están vinculadas al factor humano, así se hace saber el Informe de investigaciones de violación de datos de 2021 (DBIR), por tanto, es el camino que los ciberdelincuentes seguirán explotando para hacer daño a cualquier entidad.
El procedimiento con el que los ciberdelincuentes utilizan a las personas de una organización es conseguir desde dentro una puerta de acceso a la información corporativa y a sus datos personales, mediante técnicas de Ingeniería Social, como por ejemplo:
Phishing: Generalmente se emplean correos electrónicos con archivos adjuntos infectados o links a páginas fraudulentas con el objetivo de tomar el control de sus equipos y robarles información confidencial.
Deepfake: Manipulando imágenes y o voz de una persona para engañar a los receptores de estos video o audios, con mensajes falsos para obtener un redito económico o información.
Baiting: Mediante un cebo con software malicioso a la vista de sus víctimas para que ellos mismos infecten sus dispositivos.
Pretesting: Creando una historia ficticia el atacante tratará de que la víctima comparta información que, en circunstancias normales, no revelaría.
Sextorsion: Con la amenaza de difundir contenido comprometido a sus contactos (aunque no exista dicho contenido), si no accede a las peticiones del ciberdelincuente, generalmente a realizar un pago.
Dumpster diving: Husmear en la basura para obtener documentos con información personal o financiera.
Smising: Mediante el envío de un SMS, se pide a la víctima que llame a un número de tarificación especial o que acceda a un enlace de una web falsa.
Shoulder Surfing: El atacante observa lo que escribe o tiene en pantalla otro usuario para obtener información relevante
Quid pro quo: Prometen premio, regalos, dinero, a cambio de información personal mediante cumplimentación de formularios.
¿Qué puede hacer una empresa?
Por sacar alguna conclusión que ayude a nuestros clientes y seguidores, entendemos que con los datos disponibles, las medidas de seguridad técnicas no deben descuidarse, pero el 85% de los esfuerzos debería dirigirse a los recursos humanos, en forma de:
Cumplimiento Normativo:
Cualquier empresa independientemente de su tamaño o actividad está obligada a cumplir con el RGPD europeo y la LOPD española, por tanto deberá adecuarse a lo exigido en esta Normativa:
- Elaborar el Registro de Actividades de Tratamiento (RAT).
- Análisis de Riesgo de los tratamientos
- Análisis necesidad de elaborar una Evaluación de Impacto (EIPD).
- Política de Brechas de Seguridad.
- Redactar Contratos de Encargados de Tratamiento (ET)
- Protocolo de Atención al ejercicio de derechos
- Política de Derechos digitales
- Análisis necesidad de designación del Delegado de Protección de Datos (DPD).
Información:
La empresa es la responsable de la información en general y los datos personales en particular, por lo que debe informar al Personal y recordar con cierta frecuencia, todo lo que deben conocer sobre el uso de información:
- Medidas Organizativas aplicables a la protección de datos
- Medidas Técnicas aplicables a la protección de datos
- Normas del uso de la información
- Normas de uso de los sistemas de información corporativos
- Medidas de Seguridad implantadas y aplicables a la información
- Políticas y procedimientos de actuación ante brechas de seguridad
- Disponer de un Canal ético de denuncias interno donde se pueda denunciar delitos, infracciones o malas prácticas laborales
Confidencialidad del Personal
Toda persona trabajadora debe firmar un compromiso corporativo, que regule el deber de secreto durante el tiempo que trabaje en una empresa y después de finalizada su relación laboral con esa empresa.
Sensibilización:
El personal debe conocer los riesgos de un ciberataque o de una mala gestión de la información, también los riesgos de sanción a los que se enfrenta la empresa por incumplir la Normativa de protección de datos personales, Inscribir al personal a:
- Boletines informativos sobre protección de datos
- Con ejemplos de buenas prácticas: Videoconferencias, Teletrabajo, RRHH,
- Con ejemplos de sanciones: imágenes, penales, dpd, biométricos, etc.
- Alertas de ciberataques: INCIBE,
- Noticias relacionadas con seguridad IT
- Programas de concienciación consistentes en envío de correos electrónicos con simulación de fraudes electrónicos, para que el personal siempre esté alerta
Formación:
La formación es el pilar fundamental para la efectiva transmisión de conocimientos al Personal y contribuirá a crear una cultura de compromiso con la protección de datos.
Además de ser obligatoria según el Art. 39.1.b) del RGPD, El artículo 88.3 de la LOPD y la Guía de Relaciones Laborales de la AEPD (apartado 3 b) y c) de la pág. 18).
Una buena solución sería un curso online exprés y tutorado de solo 3 horas. Ver solución formativa
Herramientas tecnológicas
Es necesario disponer del software y hardware adecuado a las necesidades corporativas, pero también al nivel de seguridad que precisan los datos personales e información en general. Para ello:
- Todo el software utilizado debe tener licencia oficial del fabricante
- Todo el software debe estar siempre actualizado de forma que lleven incorporados los últimos parches de seguridad para proteger la información
- Adaptarse a nuevas herramientas que faciliten la seguridad de información: Identificador emails maliciosos, Keepass, etc.
Business Adapter a tu servicio
Si eres cliente y necesitas ayuda, no dudes en contactar a tu consultor o envíanos un email a info@businessadapter.es o deja tu mensaje en este formulario y te contactaremos:
[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]Consúltenos, estaremos encantados de ayudarte[/su_button]
Si aun no eres cliente y necesitas asesoramiento, estamos a tu disposición:
[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]Contáctanos estaremos encantados de ayudarte[/su_button]