La seguridad de la información como un factor de riesgo a considerar en nuestros proyectos

Francisco Tejera (PMP)

CEO en InnoQualitas, SL

Un 80% de los fallos de seguridad que se producen en nuestros sistemas informáticos son provocados por errores o falta de conocimiento de los usuarios. Este dato es un factor importante a considerar a la hora de analizar y remediar nuestros riesgos en un proyecto, ya que un uso indebido o malintencionado de la información puede tener consecuencias negativas en la reputación de la organización, e inclusive generar pérdidas económicas y retrasos considerables.

La forma para poder mitigar este riesgo es concienciar a la organización sobre buenas prácticas en el ámbito de la seguridad informática y tener unos sistemas de control anti virus actualizados.

1. Cuidado con el software malicioso

Este software está diseñado para afectar a tu sistema informático teniendo un impacto negativo en la integridad de la información pudiendo destruir ficheros o impedir el acceso a los servicios críticos del ordenador.

¿Cómo entra en el PC, Smartphone o tablet? Puede entrar a través de ficheros adjuntos en tu e-mail, descargas de ficheros de fuentes no seguras como websites maliciosas, instalándose software sin licencia, o a través de fuentes de almacenamiento externo como USBs infectados.

2. Virus, gusanos y troyanos.

El término de virus de ordenador generalmente cubre programas que modifican la forma en que trabaja el ordenador, incluyendo datos y auto ejecutables. Un virus verdadero requerirá que se instale un programa.

Un gusano no requerirá que se instale un programa. Es una aplicación que se replica por si misma y se comunica a través de la red.

Un troyano es un programa que ofrece realizar alguna cosa, cuando la realidad es que realiza otra muy distinta, permitiendo en muchos casos acceder al disco duro dañándolo, o crear una puerta de acceso permitiendo a un usuario externo acceder al sistema.

3. ¿Cómo reducir el riesgo?.

Las medidas que se pueden tomar para reducir el riesgo tienen dos partes diferenciadas, los departamentos de TI y los usuarios.

Los departamentos de TI deben tener antivirus actualizados instalados en PCs, portátiles y servidores para poder detectar y eliminar el software malicioso, teniendo acuerdos de colaboración con proveedores de servicios de informática especializados en la lucha de esta amenaza.

Los usuarios de sistemas informáticos deben de recibir la formación pertinente para ampliar su conocimiento y concienciación permitiendo que:

No abran emails con ficheros adjuntos sospechosos.
No instalen software sin el conocimiento del departamento de TI.
No deshabiliten o manipulen el antivirus instalado en el equipo de trabajo
Escanear con el antivirus el contenido de ficheros almacenados en dispositivos externos antes de copiarlos al equipo.
Asegurarse que tienen en su equipo de trabajo el antivirus actualizado

4. Otras formas de amenaza en nuestros sitemas

a. La ingeniería social

La ingeniería social es el arte de manipular personas para que realicen acciones o divulguen información confidencial. Este es un truco para obtener información, realizar un fraude, u obtener el acceso al sistema.

b. El Phishing

Es phishing es una forma de ingeniería social para engañar a la gente haciéndose pasar por una fuente de confianza oficial. Se hace generalmente vía email y mensajes por las redes sociales.

Algunos trucos para reconocer phishing en emails son:

Los mensajes de phishing contienen frecuentemente caracteres extraños
El mensaje suele ser urgente
El lenguaje utilizado es diferente del idioma que normalmente usa para comunicarse con el emisor.
Al pasar por encima de la vinculación con el puntero del ratón puede indicar que el enlace real no coincide con el resto del enlace.
Después de hacer click en un vínculo, es posible que vea que la URL que aparece en la barra de direcciones de su navegador de internet no coincida con la dirección web normal, siendo demasiado tarde si nos ha llevado a un sitio web infectado.

¿Qué puedo hacer?

Si recibe un mensaje inusual de alguien conocido, evitar la curiosidad y hacer click en el enlace.
Cualquier comunicación que solicitan información personal o de la empresa deben de despertar sospechas.
Nunca proporcione información de cuenta o contraseña a través de correo electrónico.
Use códigos encriptados para envío de información por email
Evite los spam (e-mail no solicitado)
Use las redes sociales de forma segura no dando por supuesto que su correspondencia es privada.