Confidencialidad: el costo de la ingenuidad

Se habla mucho de confidencialidad, pero se practica poco.

Para ti posiblemente sea un término difuso, difícil de objetivar. Pero hay algo que debes saber:

La confidencialidad es la clave de tu negocio. Cualquier amenaza a la confidencialidad puede suponer el final, no solo en términos económicos, también y fundamentalmente, en términos de confianza y credibilidad.

¿Que significa confidencialidad?

Significa «garantizar que la información es accesible sólo para aquellos autorizados a tener acceso», y es el elemento clave de la seguridad de la información.

Desde el momento en que tienes un negocio, debes garantizar la confidencialidad de la información que recoges, es decir, asegurarte que esa información esté protegida de accesos no autorizados y de posibles filtraciones.

¿Eres consciente de ello?

Datos escalofriantes

Quizás no seas consciente de que los datos son el petroleo del siglo XXI y por eso mismo, un negocio millonario para los cyberdelincuentes.

La confidencialidad es un activo constantemente amenazado.

De hecho, cada día se producen 30.000 ataques a páginas web para sustraer información, arremeter contra la confidencialidad de las empresas, detectar vulnerabilidades, introducir malware avanzado y enviar amenazas a determinados sectores.

En esta web muestran en  tiempo real los ataques que se están produciendo ahora mismo.

Aterrador.

Cada día se envían millones de correos no deseados que apuntan al comercio electrónico, noticias falsas, afiliaciones, pornografía y otras estafas.

Los servicios de hackeo informático son accesibles a cualquier ser maligno que pretenda dañar a otro.

Las tarifas del pánico

Quizás creas que nunca serás el objetivo, eso solo indica que tu ingenuidad hoy mismo es tu principal amenaza y tu talón de Aquiles.

Comprueba lo barato que es dirigir un ataque a tu negocio.

• Hackear una cuenta de Facebook tiene un costo muy bajo: apenas 91 euros
• Bloquear un sitio web cuesta entre 15 y 440 euros, una cifra ridícula para el daño infligido.
• Robar datos de una tarjeta de crédito se pagan la cifra ridícula de 1,8 a 18 euros.
• Mandan SPAM a 1000 usuarios solo cuesta 12 euros pero si se quiere ser mas dañinos y mandar 10.000 correos Spam, el precio por spam se reduce: 0,08 céntimos por email atacado.
• Reventar o crackear un archivo encriptado solo cuesta 40 euros.

Así de barato es destrozar un negocio, tu negocio y tu reputación.

Aquí tienes la fuente con todas las tarifas del terror al completo.

No pretendo impulsarte al pánico ni aterrarte a lo Freddy Krueger, solo pretendo que asumas un nivel de conciencia optimo para que puedas estar preparado y no ser víctima de tu propia ingenuidad.

Porque pocos lo están y en mi campo lo veo cada día.

Empresas y profesionales con enormes caudales de información con las mismas medidas de seguridad que las requeridas en un taller mecánico y nula conciencia sobre la importancia de la protección de datos en sus negocios.

Me deja completamente patidifusa que en el imaginario colectivo se asocie la LOPD con un trámite que hay que cumplir por narices pero sin ninguna relevancia para la empresa.

Pocos parecen percatarse que se trata del mejor escudo defensivo que pueden conseguir y que  el principal objetivo de un trabajo de adecuación a la LOPD es justamente, prevenir las brechas de seguridad que puedan comprometer la seguridad de un negocio.

La anatomía de una amenaza a la confidencialidad

Es importante que conozcas como se produce un ataque y como puedes puedes prevenirlo.

Los mas peligrosos son los ataques persistentes avanzados.

Este sería un esquema típico:

1. El criminal cibernético entra en tu negocio a través de un correo electrónico, un archivo o una aplicación e introduce un malware en tu sistema. La red se considera comprometida, pero no violada.
2. Las sondas de malware avanzan para detectar vulnerabilidades en tu sistema y se comunica con el  control  de servidores para recibir instrucciones adicionales y/o código malicioso.
3. El malware normalmente establece puntos adicionales de compromiso para asegurar que el ataque cibernético puede continuar si un punto está cerrado.
4. Una vez que el hacker maligno determina que el acceso de red es factible,  se sustraen datos de acceso, como los nombres de cuenta y contraseñas. A pesar de que las contraseñas se cifran menudo, el cifrado puede ser violado. Una vez que eso ocurre, el hacker puede identificar y acceder a los datos confidenciales de tu negocio.
5. El malware recoge entonces los datos en un servidor de ensayo, y luego exporta los datos fuera de la red. En este punto, la red se considera violada y tu información confidencial comprometida.
6. Finalmente, como todo buen ladrón de guante blanco, se asegura de eliminar la evidencia del ataque pero la red sigue estando comprometida. El hacker puede volver en cualquier momento para continuar con la violación de datos, ya tiene la puerta abierta.

Frente a estos ataques persistentes, las medidas de seguridad que ya conoces como los cortafuegos y antivirus suelen ser insuficientes.

Como evitar la pesadilla de un ataque a la confidencialidad

Una violación de los datos es despertar a una pesadilla.

Pero muchas empresas pequeñas creen que los hacker solo tienen como objetivo a grandes emporios como eBay, Sony o el portal de citas Ashley Madison.

La realidad es otra.

El 70% de los cyberataques está dirigido a pequeñas empresas y negocios. Lee mas aquí.

Son un blanco fácil.

La brecha en la seguridad digital en las pymes es aprovechada por los hackers en especial las que tienen un portal web.

Algo que he repetido infinitas veces: webs que no cumplen con ningún tipo de adecuación a la LSSI y por ende, no cuentan con ninguna medida de seguridad que proteja la confidencialidad de sus usuarios son las que mas riesgos tienen de sufrir un ataque.

Por eso, como usuario, no deberías dejar nunca, pero nunca, tus datos a una web que no ofrezca unas mínimas condiciones de seguridad. Aprende a ser un usuario PRO que sepa distinguirlas.

Si tienes una web, tengo una noticia para ti:

Los grandes agentes de Internet están penalizando las webs inseguras y desprotegidas, provocando una pérdida notoria de visibilidad en los buscadores, así que deja de invertir tanto tiempo en SEO y empieza a dedicar tiempo a fortalecer la seguridad de tu web y adecuarla a los requisitos de la LSSI-CE

Como quitarte el taparrabo y ser un profesional digital

Sé que soy muy pesada con este tema, pero alguien tiene que dar la vara.

• Pese a la amenaza constante a la que estamos expuestos.
• Pese a los robos masivos de información que se sufren a diario.
• Pese a los ataques que se producen continuamente a empresas.

Seguimos siendo profesionales en taparrabos cuando se trata de confidencialidad y seguridad.

Increíble, no sé si somos hijos del rigor o de la necedad o sencillamente estamos locos.

Si quieres quitarte el taparrabo, te recomiendo que sigas estos pasos:

1. Dedica unos minutos a valorar el coste de una violación de datos en tu negocio en términos económicos y reputacionales.
2. Luego piensa en el costo de adecuar tu negocio a estándares de seguridad y protección.
3. Decide si el riesgo compensa para quedarte como estás.

Debes evaluar adecuadamente el costo del fracaso y la pérdida. Porque un ataque supone ambas cosas:

• Haber fracasado en la protección de tu negocio.
• Perder tu mayor activo: la información y la reputación.

El costo total de una violación de datos es el costo de las medidas de seguridad existentes + los gastos de recuperación + los daños reputacionales + el costo de tratar con el propio incumplimiento a la LOPD + el costo de las pérdidas irrecuperables.

¿Estas dispuesto a asumir todos esos costos?

Hay cambios sencillos que pueden prevenir grandes dramas, como la sensibilización de los empleados y la adopción de buenas prácticas respecto a la información que gestiona tu negocio.

Para eso existe la LOPD, por eso es la mejor defensa para tu negocio, para ayudarte a quitarte el taparrabo.

Ahora dime tu ¿te ayudo a quitarte el taparrabo?

Imagen: Gabriel S. Delgado C.