Una historia de ciberseguridad: proteger los datos de la empresa II

Recientemente, dos empresas de inteligencia sobre ciberamenazas -Digital Shadows y Onapsis- llevaron a cabo una amplia investigación sobre los sistemas ERP e identificaron varias amenazas y vulnerabilidades relacionadas con estos sistemas. Estas amenazas se han considerado lo suficientemente importantes como para que el Departamento de Seguridad Nacional de Estados Unidos advierta contra los ciberataques a los sistemas ERP.

 

Algunos piensan erróneamente que la ciberdelincuencia es un riesgo puramente tecnológico y que los técnicos y sus herramientas deben gestionarlo.  Pero no es así. La ciberdelincuencia es un riesgo comercial y las empresas deben abordarlo centrándose en tres factores: tecnología, política y personas.

 

Eso no significa que el director financiero tenga que entender al detalle el panorama técnico cuando dirija la conversación sobre ciberseguridad.  Por ejemplo, como profesional de las finanzas, usted no accedería a la web oscura (o permítame que lo diga de otro modo: Como profesional de las finanzas, por favor, ¡no acceda a la web oscura!), pero necesita apreciar los riesgos y las oportunidades delictivas que presenta.

 

El director financiero debe centrarse en aplicar las políticas que sustentan la tecnología. Hagamos bien lo básico:

 

    Uso aceptable: Para qué pueden utilizar los empleados los equipos de la empresa y para qué no. El portátil de empresa no es muy diferente del coche de empresa. Si no te permiten utilizar el coche de empresa para irte de vacaciones, quizá tampoco te deberían permitir utilizar el portátil de empresa para buscar alojamiento.

    Contraseñas: Normas sobre el formato y la actualización de las contraseñas y su reutilización. (No, señora, no puede poner su contraseña en una nota adhesiva en el monitor de su ordenador).

    Traiga su propio dispositivo (BYOD): Cómo deben usar, conectar y cifrar los empleados los dispositivos personales que utilizan para asuntos de la empresa. Hoy en día, la proliferación de dispositivos del Internet de las Cosas (IoT) crea un nuevo modo de ataque. Espiar ya no es algo que hace una madre preocupada desde la puerta de un adolescente.  Es una técnica real utilizada para recuperar la comunicación entre objetos IoT.

    Correo electrónico/comunicación: Uso aceptable del correo electrónico, las redes sociales y el teléfono. Ese archivo adjunto a un correo electrónico de aspecto inocente sigue siendo un vehículo viral de código malicioso, aunque venga en forma de meme de un gatito de peluche de tu abuelita.

 

La ciberseguridad de su empresa es tan fuerte como su eslabón más débil, y de vez en cuando, ese eslabón son las personas que trabajan en su empresa. Su comportamiento puede crear riesgos, ya sea por ingeniería social sofisticada (como el spear phishing) o por error humano (como la pérdida de un dispositivo).  Sólo a través de la educación y la concienciación podemos reforzar este último eslabón. Dale pescado al hambriento y lo alimentarás durante un día. Pero enséñales sobre el phishing y estarán debidamente paranoicos (y más seguros) de por vida.

¿Interesado en un ERP fabricación industrial? Galdón Software puede ayudarle.