Con la proliferación de las Tecnologías de la Información y las Comunicaciones (TIC), el trabajo cotidiano de las personas y las organizaciones se encuentra cada vez más vinculado con el uso de las tecnologías digitales.
Estas tecnologías se consolidan como poderosas y dinámicas herramientas que permiten el almacenamiento de una cantidad inimaginable de datos relativos a la identidad, los hábitos y las transacciones de los individuos, las empresas y de todo tipo de entidades.
La Asociación Mexicana de la Industria de Tecnologías de Información (AMITI) brinda un soporte estratégico a través de la generación de documentos con los lineamientos, recomendaciones y mejores prácticas en temas específicos de interés para las empresas usuarias de tecnologías de información, y uno de ellos es Ciber-segurízate, una guía para concientizar sobre la importancia de la protección de la información y de los datos.
En materia tecnológica, existen una gran cantidad de riesgos para las empresas. Algunos pueden ser provocados por los cibercriminales que buscan obtener algún beneficio económico basado en el uso potencial de los datos que roban, pero otros están vinculados con el deseo de los atacantes de demostrar sus habilidades técnicas para la consecución de infiltraciones de gran calibre, las cuales suelen derivar en actos de extorsión.
Sin embargo, existen ataques de otro tipo como pueden ser las acciones de espionaje a nivel personal, corporativo o incluso nacional. Asimismo, existen amenazas que tienen su origen en situaciones no intencionales y difíciles de prevenir, como los desastres naturales, accidentes y otros eventos fortuitos, cuyas consecuencias pueden dañar la información o infraestructura computacional de las organizaciones.
Todo esto se encuentra en nuestro entorno sin que seamos plenamente capaces de controlarlo o evitarlo, pero existen factores que sí dependen de nuestras decisiones que aumentan los niveles de riesgo de nuestras organizaciones:
1. Pocos controles
Significa que la exposición de nuestros datos, información e infraestructura relacionada, son de fácil acceso para terceros.
2. Alta motivación
Un potencial atacante estará más interesado en nosotros en la medida en que el beneficio percibido de hacerlo sea mayor, esto es, en la medida en que afectar la reputación, sustraer la información estratégica o robar los recursos sea más redituable, por lo tanto, debemos tener cuidado de la información que hacemos pública acerca de nuestras actividades.
3. Impunidad
Si los potenciales atacantes tienen un amplio rango de anonimato, se dificultará la trazabilidad de sus acciones y, por lo tanto, les será más fácil y conveniente el atacarnos.
4. Multiplicación de eventos
Si ante los ataques y accidentes que nos afectan no existe nunca una respuesta adecuada, los delincuentes o las amenazas se multiplicarán y podrán provocar daños más constantes y severos.
Decálogo básico de seguridad de información y datos personales
Adicionalmente, existen una serie de acciones que los individuos y miembros de organizaciones pueden llevar a cabo para evitar futuros ataques:
- Elaborar un inventario de la información que deba estar sujeta a un estándar de confidencialidad y datos personales, así como de los sistemas de tratamiento.
- Determinar las funciones y obligaciones de las personas que traten información confidencial y datos personales, y asignar responsables dentro de la organización, tanto para la protección de datos personales como para la seguridad de la información.
- Identificar y establecer medidas de seguridad físicas, administrativas y técnicas idóneas para proteger la información confidencial y datos personales de posibles vulneraciones.
- Contar con análisis de riesgos de información confidencial y datos personales que identifiquen los peligros y estimen los riesgos a los que están sujetos.
- Realizar un “análisis de brecha” que consiste en ubicar la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la correcta protección de la información confidencial y los datos personales.
- Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha.
- Llevar a cabo revisiones o auditorías periódicas, tanto internas como externas.
- Capacitar al personal en materia de preservación de la información confidencial y protección de datos personales.
- Contar con procedimientos de atención inmediata y, en su caso, notificación de vulneraciones de seguridad.
- Asegurarse de que los proveedores de servicios en la nube efectivamente cumplen con los principios afines a la Ley y el Reglamento.
Para acceder a la guía completa de AMITI, ingresa aquí. En ella encontrarás información sobre los peligros a los que las empresas se enfrentan y más recomendaciones para proteger los datos e información de las empresas e individuos.