El Artículo Sobre Ciberseguridad que Debe Leerse Ahora

He aquí un artículo útil para los lectores, tanto profesional como personalmente, y que se adapta al Mes de la Concientización sobre la Ciberseguridad. La mejor manera de prevenir la ciberdelincuencia consiste en mejorar el conocimiento y la concientización, y eso se puede hacer ahora mismo. La concientización sobre ciberseguridad ayudará en el hogar, donde se puede adquirir experiencia práctica mediante la aplicación de los principios de ciberseguridad para proteger a la familia, incluidos los niños y las personas mayores.

Estas habilidades mejoradas se pueden aplicar en el lugar de trabajo. Comprender las amenazas de la ciberseguridad ayuda a detectarlas, convirtiéndolas en un sensor valioso para la organización y no simplemente en una vulnerabilidad a explotar. Los correos electrónicos maliciosos, la ingeniería social y los sofisticados intentos de fraude cibernético son ahora la norma. Las organizaciones están lidiando con la forma de mejorar su postura general de seguridad de la información, y deben darse cuenta de que esto comienza con el conocimiento y la conciencia a todos los niveles. Desde el empleado nuevo hasta el CEO, empleados entrenados y conscientes ayudan a proteger la organización. Las personas deben responder adecuadamente a las amenazas, las políticas y los procedimientos deben redactarse con prudencia, y la dirección debe asignar recursos suficientes a la seguridad. En resumen, la ciberseguridad es ahora responsabilidad de todos, no sólo de los expertos o del departamento de seguridad de la información.

El sector financiero se enfrenta a riesgos de ciberdelincuencia, que afectan a:

  • La propia institución, incluyendo fondos y datos,
  • Los clientes de la institución,
  • El uso potencial de la institución como herramienta por parte de los ciberdelincuentes para transmitir y almacenar fondos.

Esta no es simplemente una visión de Eeyore de las amenazas criminales, es la realidad. La economía de la ciberdelincuencia y el robo de identidad son globales y adaptables, con miles de delincuentes que ejecutan esquemas lucrativos e inventan nuevas estafas para ganar dinero a través del robo. Aparte del robo, existen otros riesgos para la seguridad y la privacidad de las personas y sus familias, y si todo esto no es suficiente, existen mayores requisitos legales y reglamentarios. Afortunadamente, mejorar el conocimiento y las habilidades empodera y protege a los individuos.

Ciberseguridad, Seguridad de la Información y CIA

La ciberseguridad ya no es palabra de moda, sino que se ha incorporado a los reglamentos y marcos de trabajo. Tenga en cuenta que la ciberseguridad se centra en las amenazas basadas en Internet que atacan los datos digitales y forma parte de la disciplina más amplia de la “seguridad de la información”, que también incluye la seguridad física, los controles ambientales, la continuidad del negocio, la recuperación en caso de desastre y la gobernanza de los datos. No hay necesidad de pasar horas debatiendo la diferencia entre “ciberseguridad” y “seguridad de la información”, simplemente abordarlas de forma exhaustiva. La seguridad de la información contempla desastres como inundaciones, terremotos, incendios o incluso ataques terroristas. Tal planificación no sólo es requerida por la regulación, sino que es lo que puede permitir que una organización sobreviva a tales eventos.

Considere tres principios básicos de la seguridad de la información, conocidos por las iniciales CIA [en inglés]:

  • Confidencialidad: Mantenga la información y los sistemas seguros contra el acceso no autorizado (incluyendo la “piratería informática”). Mantenga los datos seguros, evite que las cuentas de correo electrónico se vean comprometidas.
  • Integridad: Evite que se manipulen los datos. Evite que un delincuente envíe mensajes de correo electrónico desde una cuenta comprometida, como si se hiciera pasar por el propietario. Impeda que un delincuente manipule los saldos de las cuentas o los datos comerciales.
  • Disponibilidad: Garantice que los datos y los sistemas sigan siendo accesibles. Ransomware, huracanes y otros desastres podrían afectar la capacidad de continuar con las operaciones comerciales.

Hay una serie de marcos de seguridad de la información de buena reputación para guiar a las grandes organizaciones, incluyendo el Marco de Ciberseguridad del NIST y los Controles de Seguridad Crítica del Centro para la Seguridad de Internet. Para aquellos que se inician en casa, considere el siguiente marco simplificado del libro, Cybersecurity for the Home and Office, The Lawyer’s Guide to Taking Charge of Your Information Security,1 que establece cuatro pilares de la ciberseguridad.

  1. Conocimiento y sensibilización
  2. Dispositivos
  3. Datos
  4. Redes (e Internet).

Cada uno de ellos será tratado por separado.2

El Conocimiento y la Concientización

El conocimiento y la experiencia son los que desarrollan el “sentido común”. Esté atento a los correos electrónicos maliciosos, ya que pueden poner en peligro los equipos y los sistemas de información de una organización. Respete la creatividad y los recursos de los ciberdelincuentes, así como su capacidad para hacer trampas con la ingeniería social. A medida que se implementan controles para reducir un tipo de fraude, los delincuentes se adaptan, improvisan y experimentan.

Asegúrese de que todas las instrucciones de transferencia bancaria -y los cambios en las instrucciones- se verifiquen con una “devolución de llamada” al cliente o al proveedor. Los clientes de una institución probablemente no tienen capacitación en materia de fraude o lavado de dinero, así que utilice esta conversación por teléfono para educar al cliente sobre los esquemas de fraude por cable conocidos como “compromiso de correo electrónico comercial” o “fraude del director ejecutivo”. Estas estafas representan el robo de miles de millones de dólares, devastan a las víctimas y dañan la relación con los clientes. Después de confirmar la identidad del cliente y la autenticidad de la instrucción del cliente, hágale la siguiente pregunta:

“¿Habló con la persona que le envió las instrucciones de cableado?”

Si el cliente no ha tenido una conversación verbal con la persona que le envió las instrucciones de la transferencia bancaria, pídale que lo haga y explique por qué. Además, recuerde que esta llamada es una oportunidad para mejorar la relación personal con el cliente.

Dispositivos

¿Qué dispositivos informáticos se están utilizando?3 Emplee una contraseña de dispositivo, manténgalos libres de malware y con parches, deshabilite o desinstale software o funciones que no sean necesarias, y compruebe la configuración de seguridad y privacidad. Piense en la seguridad física: no pierda un teléfono o una computadora portátil y controle el acceso a la oficina y a la sala de servidores. Cuando los dispositivos ya no sean necesarios, desmantélelos de forma segura para eliminar los datos almacenados y el acceso a las cuentas de la nube.

Datos

Sepa qué datos se acumulan, dónde se almacenan y cuándo deben purgarse. Asegúrese de que los datos se guardan periódicamente en una ubicación segura y que pueden recuperarse en caso de un ataque de rescate, incendio o inundación. Evalúe si los datos deben ser encriptados, como los datos confidenciales que salen de la oficina.

Mantenga el control de las cuentas de correo electrónico y otras cuentas importantes en la nube con contraseñas sólidas y autenticación de dos factores, también conocida como inicio de sesión de dos pasos.

Redes e Internet

Los enrutadores de red deben mantenerse actualizados y requieren nombres de usuario y contraseñas únicos para acceder al portal del administrador, no las contraseñas predeterminadas que los ciberdelincuentes conocen y utilizarán. Evite conectarse a redes Wi-Fi públicas o no confiables, tenga en cuenta que los datos transmitidos a través de Internet son visibles para las computadoras en la red actual y en el camino, a menos que los datos estén encriptados.

Del Hogar a la Empresa

En el hogar, uno es el jefe de seguridad, tratando de proteger los sistemas de información, el hogar y la familia. En el lugar de trabajo, las cosas son más complicadas, pero todos los conceptos aprendidos y practicados beneficiarán a los lectores y a sus organizaciones.

Las políticas escritas de una institución financiera deben cumplir con las leyes y regulaciones relativas a la seguridad de la información, la privacidad y el reporte de incidentes y operaciones sospechosas. Por supuesto, la conducta debe ajustarse a la política. Los delitos cibernéticos deben ser denunciados a la Red de Cumplimiento de Delitos Financieros a través de reportes de operación sospechosa,4 y las instituciones deben cumplir con los requisitos de privacidad y seguridad de la información de la Ley Gramm-Leach-Bliley.5 Si una institución está regulada por el Departamento de Servicios Financieros del Estado de Nueva York, debe cumplir con su Regla 500,6 que incluye tener un programa completo de seguridad de la información por escrito y denunciar los delitos cibernéticos al estado. Además, los estados tienen sus propias leyes con respecto a la notificación de violaciones de datos, la seguridad de la información y la privacidad. Recuerde el espíritu de estas normas y los daños que tratan de evitar, reducir los riesgos de alta prioridad, teniendo en cuenta la eficiencia y las necesidades del negocio.

Cualquiera que sea el conocimiento actual y la postura de seguridad en el hogar y en el trabajo, resuelva mejorarlos continuamente. Esto es bueno para el cumplimiento, los negocios y, lo que es más importante, para la familia.

John Bandler, CAMS, fundador, Bandler Law Firm PLLC, Nueva York, NY, USA JohnBandler@BandlerGroup.com

  1. John Bandler, Cybersecurity for the Home and Office, The Lawyer’s Guide to Taking Charge of Your Information Security, 2017.
  2. Los recursos paralelos al libro están disponibles en línea en https://cybersecurityhomeandoffice.com, incluyendo formularios para usar en casa o en la pequeña oficina mientras se revisa y mejora la seguridad de sus dispositivos, datos y redes. Estos formularios están disponibles en https://cybersecurityhomeandoffice.com/book/forms.
  3. Para las organizaciones, un inventario de dispositivos es el primer paso para implementar los controles de seguridad críticos. Para su casa u oficina pequeña, los formularios para esto y los siguientes pasos están disponibles en https://cybersecurityhomeandoffice.com/book/forms
  4. Advisory to Financial Institutions on Cyber-Events and Cyber-Enabled Crime,” Financial Crimes Enforcement Network, October 25, 2016, https://www.fincen.gov/sites/default/files/advisory/2016-10-25/Cyber Threats Advisory – FINAL 508_2.pdf
  5. La Gramm-Leach-Bliley Act (GLBA) también se conoce como la Ley de Modernización de Servicios Financieros de 1999. Información general sobre GLBA y la Regla de Privacidad y la Regla de Salvaguardias dentro de ella está disponible en el sitio web de la Comisión Federal de Comercio (FTC). FTC, Gramm-Leach-Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act. Su regulador tendrá información más detallada.
  6. La Regla 500 se titula “Cybersecurity Requirements for Financial Services Companies,” citada como 23 NYCRR 500, y está disponible en https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf. Las preguntas frecuentes están disponibles en https://www.dfs.ny.gov/about/cybersecurity_faqs.htm.

Leave a Reply