sábado, 15 de diciembre de 2018

¿POR QUÉ ES IMPORTANTE INFORMAR SOBRE LOS ATAQUES DE SEGURIDAD?


Hoy por hoy, ninguna empresa se encuentra libre de sufrir un ataque de seguridad. 
Sin embargo, todas deberán tomar medidas suficientes para prevenirlo. Si, desafortunadamente, tiene lugar es necesario que se corrija lo antes posible.

Si el ataque de seguridad se produce sobre los datos personales de la organización, es esencial reportarlo a la autoridad supervisora correspondiente y a los clientes afectados.

Informar de un incidente no solo protegerá los activos empresariales, sino que ayudará a los responsables de la información a que conozcan lo que está pasando y cómo están actuando los ataques de seguridad. Esta información es de gran utilidad para las autoridades de control, ya que pueden anunciar la amenaza de manera pública y poner sobre aviso al resto de organizaciones.

¿Qué piensan los hackers sobre estos informes?

Es cierto que cada vez se detectan más delitos en cuanto a ataques de seguridad. Una encuesta realizada recientemente por la Agencia Nacional del Crimen del Reino Unido reveló que sólo el 38% de los encuestados confía en los mecanismos de control que respondan de forma adecuada a los ciberataques.



Prevenir es mejor que curar

Las amenazas no van a desaparecer por completo porque se encuentran asociadas al uso de sistemas y redes informáticas. Sin embargo, el foco deberá estar prevenido y ponerle solución. En diferentes ocasiones, el principal problema se encuentra en el escaso conocimiento de los empleados sobre ellas, por este motivo, es necesario que se proporcione formación a todos los trabajadores.

Respecto a las vulnerabilidades técnicas, lo más recomendable es realizar un test de penetración de manera periódica, así los sistemas de seguridad se encuentran evaluados. Existen distintos tipos de pruebas de penetración y, cada una de ellas, se encuentra centrada en un aspecto concreto de la empresa.

Si el ataque de seguridad ha sido siempre importante, la llegada del Reglamento General de Protección de Datos la ha hecho imprescindible. Es necesario que se salvaguarde la información existente en la organización siendo una práctica ineludible para todas aquellas que trabajen con datos personales, de lo contrario, puede incurrir en las altas multas que el reglamento trae consigo.


Ataques de seguridad whaling

El whaling o caza de ballenas es una modalidad de ataque de seguridad en el que se suplanta la identidad cuyo objetivo son los altos cargos de la compañía, es decir, gerentes o altos cargos ejecutivos con acceso directo a la información más valiosa de la organización.

Es una técnica muy pensada que tiene más de ingeniera social que de trucos tecnológicos. Para realizarlo, los hackers utilizan métodos muy sofisticados como la utilización de un lenguaje muy cuidado, detalles de la empresa, datos específicos de la víctima, etc. De tal forma que la persona que recibe el e-mail confía en el emisor y sigue sus indicaciones.

En los correos electrónicos tipo whaling, se suelen incorporar el logo de la compañía para que el e-mail resulte más fiable y creíble. Además, se intenta utilizar el mismo tipo y tamaño de fuente que utiliza el destinatario. Los hackers piden complementar un informe que se encuentra adjunto que, en realidad, es un malware o solicitan que se descarten un software adicional para abrir un texto o programa.

Lo que más preocupa es el número de ataques, que se triplicó en 2017 y se extendió a organizaciones de diferentes tamaños.



¿Cómo se pueden prevenir?

El whaling juega con algo muy importante, cualquier trabajador o alto cargo que reciba un e-mail de la junta directiva responderá al correo y ejecutará el trabajo. En muy pocos casos se percibe que el mensaje es falto dada la depuración de la técnica e, incluso si se duda, en raras ocasiones se pregunta al responsable antes de actuar. Es muy importante estar seguro de que el contenido del mensaje es verídico, de lo contrario estaremos entregando información confidencial a los hackers.

Otro de los recursos habituales de whaling es añadir la palabra “urgente” en el asunto de e-mail.

El mejor consejo es siempre preguntar a la persona en cuestión. No se debe continuar ninguna tarea sin estar seguros de ello. Por otro lado, es bueno tener en mente todas las pautas de prevención de phising como, fijarse muy bien en la firma, se cuestiona el tipo de archivo adjunto o tomarse el tiempo necesario para examinar el e-mail.

Es necesario que se proteja la información de la compañía es fundamental para el buen funcionamiento de la empresa, así como mantener una buena reputación empresarial. La mejor forma de conseguirlo es con el trabajo de todos los empleados, por lo que su formación es clave.

Tomado de: https://www.pmg-ssi.com

LOS INDICADORES Y EL CICLO PHVA

Los indicadores de gestión deben planificarse o diseñarse, ser ejecutados o implantados, verificados y en caso de que sea necesario, ajustarlos.


Por lo tanto, siguen el ciclo PHVA:

  • Planificar: diseño de indicadores. Son los indicadores que deben estar alineados a hechos con base a un elemento. Si existe un indicador que no se encuentra alineados a nada, deberá plantearle para que lo has diseñado. Si el contexto empresarial es nuestro escenario, debemos asegurarnos que el indicador que diseñe se encuentre dirigido al logro de un objetivo o política.
  • Hacer: aplicar medición. Es este momento debemos probar el indicador. Los datos que se están tomando para alimentar la fórmula del indicador deben ser confiables y reales.
  • Verificar: analizar los datos. Es necesario conocer para que se calcula un indicador. No tiene sentido que se diseñe un indicador, tome datos y después no haga nada más. En este momento es en el que realmente se toma valor al uso de los indicadores y es cuando se toman decisiones.
  • Actuar: tomar decisiones. Se ejecutan las decisiones previstas en el paso anterior. Las decisiones pueden significar en el inicio de un nuevo ciclo PHVA. Por ejemplo, si ve que la cosa va bien exígele un poco más, pero si ves que algo no va bien debes hacer algo que lo corrija.

Cómo construir un indicador


Construir o diseñar un indicador se hace según la fase de planificar.

Paso 1: Qué está haciendo

Antes de medir es necesario que sea consciente de las actividades que se están realizando. Si tiene caracterizadas con el detalle de entradas y salidas.

En al ámbito de proyectos o en el sector público el esquema puede ser diferente. Suponemos que el objetivo de estudio el sector académico y nos enfocamos en la problemática de la deserción escolar. Siendo un aspecto que se debe medir como pueden ser las causas de deserción escolar.

Durante este análisis será útil que determines los recursos que lleven a cabo las actividades. Esto permite medir los aspectos que son más importantes.

Paso 2: Definición de variables y fórmula de cálculo

Es necesario que se definan las variables de las que se compone el indicador, la relación que tiene entre sí, y con esto la fórmula de cálculo. La relación se encuentra dada por el tipo de información que quieres conseguir. Por lo que un indicador puede ser:
  • Absoluto: un número que dimensiona un evento o fenómeno según su naturaleza.
  • Razón: es cociente entre dos cantidades que no tiene elementos comunes o cuenta con un atributo de diferencia. De otra forma, toma las unidades que cuentan con un atributo frente a las que no lo tienen.
  • Tasa: es el cociente entre dos variables analizadas en un lugar y tiempo específico.
  • Proporción: siendo la relación entre una cantidad con elementos en común y total de unidades. Dicho de otra manera, es una relación en la que el numerados se encuentra incluido en el denominador.
  • Variación: fija dos elementos que establecen la variación que existe entre uno y otro.
Paso 3: Elección del indicador

Debemos evaluar cada indicador con base a los criterios establecidos. En caso de que nos quedemos sin suficientes indicadores volvemos a ejecutar el paso 1 y 2.

Paso 4: Definiendo las metas de un indicador

Es necesario que las siguientes consideraciones para la definición de las metas de un indicador de gestión. No todos se aplican, pues esto depende de la organización, proyecto, actividad y sector.
  • Valor de actualidad o histórico. Es necesario que se mire atrás en el tiempo para definir la meta. Es común escuchar empresas que definen sus metas con base en los resultados del año pasado. Si no contamos con datos, podemos hacer mediciones a través del tiempo para tener un punto de partida. El valor no menciona el potencial, pero para eso está otro valor.
  • Valor de potencialidad o estándar. Considera una gestión eficaz de recursos, por la que obtendrá otro valor que está orientado a una situación con los recursos disponibles utilizados de la mejor forma.
  • Valor de competencia. No tiene sentido plantearse una meta si sabes que la competencia la supera por mucho.
  • Valor de usuario/cliente. No debes plantear una meta inferior a la exigida por el cliente.
  • Valor teórico. Se encuentra orientado a maquinaria y equipo. Suele estar expresado por el fabricante.
Paso 5: Fuente de información y frecuencia de recolección

Es necesario conocer la información de los indicadores:
  • La información proviene de informes estatales y se consigue mediante el sitio web de presidencia.
  • La información se consigue con el grupo de personas evaluadas y se obtiene mediante encuestas y su análisis.
  • La información proviene de las bases de datos del cliente y se obtiene por envío de correo electrónico mensual.
Paso 6: Responsables del indicador

Define las diferentes responsabilidades que se encuentran asociadas al indicador.
  • Quién trabaja para que se establezca la información.
  • Quién recolecta la información.
  • Quién analiza dicha información.
  • Quién reporta o presenta la información del indicador.
Paso 7: A quién está dirigida la información del indicador

Con base al destinatario, puede ser posible que se modifique la frecuencia del cálculo del indicador o una presentación específica.

Paso 8: Frecuencia de cálculo

No podemos confundir frecuencia de cálculo con frecuencia de recolección de información. Es necesario que se cuente con una hoja de control de proveedor donde se anota la gestión semanal.

Paso 9: Ficha de indicadores

En este caso se especifican los elementos que componen cada indicador. Es muy útil realizar un resumen de todas las consideraciones que deben tener en cuenta a la hora de realizar la planificación de los indicadores.


Tomado de: https://www.isotools.org