Mpolishuk's Blog

Negocios, Tecnología y Sentido Común

Seguridad integral: La clave para no ser una víctima

leave a comment »


SOLDADO INGLESMiles de años en el pasado, Sun Tzu, filósofo y estratega de guerra comentaba que cuando se conoce al enemigo y al terreno se ganará siempre; cuando solo se conoce uno de éstos 2 a veces se ganará y a veces se perderá, y si no se conocen ambos siempre se perderá la guerra.

Esto llevado a nuestros días sigue vigente.

El inventario de las amenazas

Si bien es cierto la evolución de la ciencia y tecnología nos permite vivir tiempos increíbles también podemos decir que existe una serie de amenazas o “inventario” de éstas donde podemos decir que van de las más fáciles o concretas a resolver a las más complicadas. Yendo de menor a mayor riesgo y relevancia podemos decir que el orden dichas amenazas es:

  1. Tecnológicas: vulnerabilidad de la tecnología, las aplicaciones y la información digital, tales como el espionaje comercial por vulnerar hardware y/o software, las redes inalámbricas (en especial en espacios públicos), el surgimiento de drones para observar o transportar diversas amenazas, el equipo de copiado e impresión que puede llegar a retransmitir ilegalmente lo que procesa o la seguridad lógica, que va en expansión con el internet de las cosas, los sitios “bot” o de engaño y/o el spoofing que “enmascara” la dirección real de quien perpetra un ataque.
  2. Perimetrales: La protección de instalaciones, edificaciones o terrenos en toda su extensión y periferia. El dicho dice que “una cadena se rompe por su eslabón más débil” y de la misma manera las preguntas a hacerse en éste sentido son si el 100% de los accesos y/o el perímetro se encuentran resguardados y si por igual se cuenta con métodos de redundancia  de tipo visual, movimiento, custodios para tal efecto. Por último, en México prácticamente no se practica la política de “need to know only” que obedece a que aun siendo un interno de la organización se tiene que justificar por qué se encuentra en una determinada zona u oficina si realmente no tiene un propósito específico para estar allí.
  3. De clientes y proveedores: No basta resolver los problemas de la organización, es importante que se homologuen los niveles de seguridad en la interacción resultante entre los clientes y proveedores con los que se interactúa. Esta tendencia se origina desde el análisis que derivó en lo que se conoció como el problema del año 2000, donde de nada sirve que una organización esté totalmente blindada si no va a poder recibir los insumos de sus proveedores o no va a poderle entregar a sus clientes lo que se produce. De allí que, no se puede decir que el cliente tenga la razón cuando se escatima la seguridad que dará viabilidad a las operaciones entre ambos y como mejor práctica se debe de homologar o “federar” por un tercero la certeza de las interacciones entre los miembros de la cadena de valor resultante de una organización con sus respectivos clientes y proveedores
  4. Humanas: Estas son las más complicadas pues los internos con algún tipo de mala intención son los más complicados de distinguir y evitar. Sin duda se lucha con mucha dificultad contra las amenazas humanas que se escudan en la ignorancia como la razón para vulnerar la seguridad o bien por la falta de investigación y perfilamiento de los prestadores de servicios que interactúan con la organización, sus externos y/o internos.
  5. Dados los planteamientos anteriores, realmente se debe de pensar por lo tanto en 3 escenarios que denomino Anticipar vs Suceder vs Responder así como el impacto financiero que cada uno representa.

Anticipar vs Suceder vs Responder y su impacto financiero

Cuando se anticipa, se vislumbra de forma amplia toda posible consideración y se prepara en “frio” contra ella, logrando contemplar cualquier escenario. Típicamente el máximo valor para proteger “el todo” jamás excede al riesgo de su pérdida. En otras palabras, el máximo valor a pagar si sucede un incidente previsto es nunca más del 10% del valor de lo que se protege y la reacción es la más ágil.

Cuando sucede un incidente en el cual no todo fue contemplado, se incurren en gastos superfluos ante una crisis que implicará gastar hasta un 50% del valor de lo protegido y el tiempo de recuperación es mucho mayor que si se hubiera anticipado.

Cuando solo se puede responder por no haber considerado nada se puede decir que dependiendo del incidente puede no poderse resolver en tiempo y forma lo cual implica pérdida del negocio, confianza de clientes y proveedores y gastos para establecer la normalidad de entre 70% a 150% del valor de lo protegido además de pérdidas consecuenciales del abandono de clientes que no van a permitir un segundo riesgo de éste tipo y emigrarán a otra empresa que los apoye.

La ingeniería social

Dentro del aspecto humano, hay una creciente explosión de situaciones que obedecen a la Ingeniería social o Influencia y persuasión para manipular a las personas convenciéndolas de que se es alguien que en realidad no es.

La ingeniería social toma ventaja de las personas para obtener información, evitar protocolos de reacción y hasta la misma tecnología. Dentro de los propósitos principales de la ingeniería social está el obtener información de manera ilegal, tomar control sobre algún proceso o servicio, sabotaje, espionaje, robo, terrorismo, vulnerar la credibilidad del afectado y/o secuestro.

Amenazas sin violencia

Siguiendo con las amenazas, van en aumento aquellas denominadas “sin violencia”, que son de tipo:

  • Psicológicas: como la manipulación por coerción de personal de forma virtual, o la de enamoramiento ficticio de personal.
  • Robos de información derivados del BYOD: BYOD significa “traer su propia tecnología al trabajo”, esto es su propia tableta, computadora, etc. En estos casos los custodios son cuidadosos en la validación de números de serie de los equipos sin pensar en que los robos serán por la toma de videos, fotografías o sustracción de información.
  • Robo de información: ésta puede suceder al copiar información de una máquina descuidada copiando en una memoria USB o fotografiando la información o inclusive haciéndose de la documentación que se tira en la basura.

Redes sociales

Una nueva amenaza son los riesgos que detonan las redes sociales. Basta con ver el estilo de vida de la persona para poder anticipar los bienes a sustraer en una propiedad por solo ver el entorno de las fotografías, el “catálogo” de las personas para un secuestrador que solo debe de ver la información de sus posibles víctimas que no se preocupan por asignar permisos correctos a su información , el estilo de vida y viajes que permite saber inclusive cuánto gana la persona o cuando no está en su residencia y los errores en custodios o personal de seguridad que anticipa a los maleantes de lo que está haciendo en el trabajo.

Conclusión

Como conclusión, una solución óptima de seguridad tendrá que decidir el adquirir o no todo el blindaje necesario de uno o varios proveedores, teniendo las mejores prácticas en custodia, alarmas, circuito cerrado, GPS del personal, Software, hardware y políticas contra la ingeniería social y/o el robo de información sin violencia.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: