• 911277300

    Ciberseguridad.com Expertos en Prevención de Riesgos y Seguridad Informática

  • Ciberseguridad y hacking ético para directivos

  • En este post quisiéramos hablar de la Ciberseguridad y hacking ético desde el punto de vista del directivos, indicando por qué debe preocuparse y cómo ayudamos a los profanos en esta materia a entender los riesgos que su organización puede sufrir si la preocupación de la seguridad de la información pasa a un segundo plano.

    Ciberseguridad y hacking ético

    Actualmente, prácticamente todas las organizaciones están conectadas a Internet, de forma directa a través de sus sedes de trabajo o de forma indirecta por sus portales web, ecommerce, Landings, redes sociales o dispositivos móviles. Todo este ecosistema ofrece diferentes riesgos que afectan a diferentes niveles de la organización. Por resumir algunos de ellos:

    1. Incumplimiento legal LOPD y LSSI. El marco legal que las empresas deben cumplir está afectado, en muchas ocasiones, a las buenas prácticas de seguridad de la información; por ejemplo, a la situación y protección de las bases de datos de clientes, contactos, empleados, proveedores, nóminas, etc… que pueden estar expuestas en diferentes sistemas.
    2. Privacidad y confidencialidad. En nuestras auditorias de Hacking ético hemos sido capaces de encontrar y acceder a diferentes bases de datos de usuarios y contraseñas, así como a puertos de acceso a los servidores, basándonos en nuestras pruebas de pentesting. En otras situaciones, nos hemos encontrado con datos e informes confidenciales expuestos por las debilidades de los sistemas de seguridad como, por ejemplo, el plan estratégico de la empresa del siguiente año.
    3. Continuidad del negocio. Actualmente, estamos haciendo una auditoria de ciberseguridad de un importante call center en España donde su portal de atención al usuario debe funcionar 24×7. También estamos trabajando en la auditoria de Hacking ético de un portal ecommerce del sector distribución y, en ambos casos, la continuidad del portal afecta al negocio y sus acuerdos con terceros no les permiten que los servidores puedan estar caídos.

    Por tanto, estamos ante una problemática que no es una cuestión menor o solamente relativa al departamento de informática, sino que afecta transversalmente a toda la organización y es también cultural. Como nosotros decimos, la ciberseguridad es un tema de personas, no de tecnología. Por un lado, de las personas del comité de dirección que deben entender los riesgos a los cuales su empresa, cada día más, se puede encontrar. Por otro lado, las buenas prácticas del resto de usuarios que deben estar formados y preparados.

    La seguridad informática y la ciberseguridad empiezan por el comité de dirección, es soportada por el departamento TI pero es labor de toda la empresa.

    Entendamos que con nuestro laboratorio de hacking ético, de forma consentida siempre por nuestro cliente, somos capaces de:

    1. Averiguar direcciones de sus servidores.
    2. Detectar las versiones del software que tienen instalado así como las vulnerabilidades conocidas.
    3. Conocer usuarios y contraseñas de correo electrónico.
    4. Utilizar ingeniería social para averiguar password de acceso a un sistema de gestión.
    5. Instalar software malicioso.
    6. Conocer puertos TCP y UDP que suponen un riesgo.
    7. Conocer el propietario de ciertos portales, así como acceder al contenido de sus bases de datos.
    8. Otras…

    Entendamos pues que, si nosotros llevando a cabo una auditoria de Hacking ético y de buena fe podemos atacar y averiguar estas cuestiones, más lo podrá hacer un hacker con mala fe, máxime cuando, cada día, se busca más la ganancia económica de sus acciones.

    Por tanto, el directivo debe saber si:

    • ¿Alguien está intentando acceder a la información privilegiada de mi empresa?
    • ¿Mis usuarios están actuando de forma correcta y segura con el uso de sus dispositivos móviles?
    • ¿Mis bases de datos de clientes están seguras aun estando en internet?
    • Si alguien intenta acceder con usuario y contraseña por cualquier método, ¿mi departamento TI podrá detectarlo y detenerlo?
    • ¿Está mi empresa aplicando las medidas adecuadas en materia de seguridad que me asegure que no se me sancionará por no cumplir la LOPD o la LSSI?
    • ¿Puedo demostrar a Gerencia quién y cuándo ha accedido a los planes estratégicos de la empresa y si alguien sin permiso lo ha hecho?

    Sin duda, son cuestiones y preguntas que pueden tener una respuesta incomoda pero, mediante las buenas prácticas que aplicamos en ciberseguridad y hacking ético, se puede reducir su riesgo y ayudar al Comité de Dirección a estar más tranquilo en esta nueva línea, cada día con más protagonismo por los muchos peligros a los que estamos expuestos, denominada ciberseguridad.

    911277300

    info@ciberseguridad.com