Hoy, la información es el activo más importante de gran parte de las organizaciones, en especial a aquellas que tienen un nivel de digitalización continua. Hoy aprenderás sobre la Seguridad de la información en las Pymes. 

La seguridad de la información, se transforma en un aspecto clave de todas las acciones llevadas a cabo dentro de las Pymes. En AVLA, conocemos el impacto positivo que la seguridad de información puede tener en el crecimiento de tu negocio, sigue leyendo para saber más cómo protegerte de ataques y disminuir tu riesgo de ser hackeado.

¿Qué es la Seguridad de Información?

La seguridad de información alude a métodos para controlar todos los datos que se manejan dentro de una institución o compañía y asegurar que no salgan de ese sistema establecido por la empresa. Aunque suele confundirse con el término “seguridad informática”, hay que tener en cuenta que esta última solo se centra en salvaguardar los datos dentro de un sistema informático, mientras que la información en general puede darse en otros muchos contextos entre los usuarios.

8 errores que amenazan la Seguridad de la Información

1. Crear contraseñas fáciles de adivinar.

2. Compartir contraseñas.

3. Crear carpetas y compartirlas en modo “Todos”.

4. No mantener los escritorios limpios (de información).

5. No bloquear la computadora (cuando vas a ausentarte por un corto tiempo).

6. Hacer “clic” en los correos que te piden “actualizar información” para “ganar premios” u otro tema similar.

7. No usar el fotocheck (credencial) en la institución.

8. USAR la credencial FUERA de la institución.

¿Cómo se producen los ataques?

La mayoría de los ataques a la seguridad de la información se producen a través de métodos de Ingeniería Social, la cual se define como: la inteligente manipulación de la tendencia social humana a ser confiados. A continuación, veremos un listado de los 5 ataques más comunes de ingeniería social, sumado de un par de formas que también son usadas por hackers.

1.     Impersonation: el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima. Trata de generar empatía para ganar credibilidad, para luego comunicar de un falso problema en el equipo de la víctima, el cual “necesita” su intervención. Así puede dar instrucciones a la víctima, que terminan en la instalación de un malware (programa maligno), pudiendo así tomar el control del equipo, obtener información sensible, etc.

2.     Shoulder Sourfing: en español significa mirar por encima del hombro. En la mayoría de los casos se hace para poder observar lo que está tecleando la víctima y así poder dilucidar su password, PIN o patrones de desbloqueos en teléfonos.

3.      Dumpster Diving: su traducción directa es buceo de basureros, alude a la búsqueda de información sensible o de utilidad en la basura de la víctima por parte del atacante.

4.      Phishing: el atacante busca “pescar” a las víctimas. Generalmente se hace a través de correos electrónicos con archivos adjuntos que contienen un malware, o links a páginas falsas con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la misma jugando con sus sentimientos. Un ejemplo clásico es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y una importante suma de dinero que desea donar a caridad, y que beneficiará al usuario por ayudarla en esta gestión. A la víctima se le piden sus documentos personales y una pequeña suma de dinero que deberá transferir para gastos de escrituras, notaría, etc.

El phishing es especialmente peligroso cuando se logra en empleados que tienen acceso a diferentes sistemas dentro de su empresa.

5.      Piggybacking: este sistema de ataque se trata de escuchas telefónicas. Se monitorean ilícitamente conversaciones telefónicas de otra persona por medio de un tercero, o incluso por medios físicos de sabotaje u operaciones encubiertas.

6.     Redes Sociales: en redes como Facebook, Instagram, Linkedin y Twitter, suelen darse ataques por entregar demasiada información, comentar que pagaron los sueldos, ubicaciones, signos exteriores de riqueza, etc.

7.     Otros: tus contraseñas al salir de vacaciones, jefes compartiendo contraseñas con secretarias, carpetas compartidas y curiosidad ajena y el fotocheck.

Incidentes de seguridad de información

Un incidente de seguridad de información es cualquier problema que afecte la confidencialidad, integridad y disponibilidad de la información de la institución. Virus en los computadores, pérdida de archivos con información importante, errores de sistemas que permiten acceso a más información de la debida, o conocer a alguien que haya vulnerado la seguridad de la institución son ejemplos de incidentes del día a día. Lo recomendado al darse cuenta de un incidente es reportarlo lo antes posible con la unidad o el encargado de tecnologías de información de la empresa.

Protección de datos personales y recomendaciones finales

Datos tales como tu nombre, rut, dirección, fotos, videos, datos médicos y financieros personales debes siempre protegerlos. En Chile existe la ley N° 19.628 que busca proteger la identidad de las personas. Existen multas por no cumplir con esta ley, por lo tanto, toda entrega de datos personales debe contar con autorización expresa de la persona dueña de dichos datos. Te recomendamos siempre estar consciente con tu entorno, ser desconfiado, aprender el fino arte de las contraseñas complicadas y recordarlas, compartir información de manera responsable en tus redes sociales y reportar los incidentes de seguridad.

Comparte en