¿Acceso a la información? solo el mínimo

/in , /by

El control de acceso a la información en cualquier empresa es fundamental para prevenir situaciones de: espionaje por parte de la competencia, fugas de información por personal interno, borrado de información y otro tipo de acciones que ponen en riesgo nuestros procesos de negocio y que en caso de producirse, tienen unas consecuencias económicas considerables.

Para realizar una política de acceso en nuestra organización seguiremos el principio de mínimo conocimiento, también conocido como “need-to-know”. Principio que al aplicarlo deberá de garantizar que cada persona de la organización accederá a lo que necesita saber, ni más ni menos.

Para aplicar en nuestra organización el principio de mínimo conocimiento “need-to-know”, es necesario en primer lugar, establecer y definir una política de control acceso. En esta política, es esencial que abordemos la identificación de la información que necesitamos controlar de nuestra organización.

Una vez identificada la información, crearemos los grupos que tendrán diferente nivel de acceso e introduciremos a las personas que correspondan en cada uno de los grupos. Una aproximación habitual cuando se realizan estos grupos, es realizar grupos por departamento, como grupo financiero, administración, sistemas, etcétera.

Read more

6 medidas a tomar por los CISO para proteger su empresa

/in , /by

Actualmente, un ataque de ransomware no tiene por qué exponer a una empresa a posibles demandas. Depende del CISO minimizar el riesgo de ataques de ransomware y, si se produce uno, tomar inmediatamente las medidas necesarias para limitar los daños. A continuación presentamos 6 medidas que los CISO pueden tomar para proteger a su empresa contra acciones legales relacionadas con el ransomware.

1. Evaluar el riesgo

La probabilidad de que prospere una demanda depende sobre todo del tipo de ataque de ransomware, así como de la información que se haya robado, si es que la hay. Si estamos operando en un sitio web orientado al consumidor y se bloquea por ransomware, pero no extrae información del consumidor, la probabilidad de una demanda colectiva es mínima. Sin embargo, si el ataque condujo a la extracción de cantidades masivas de datos de los consumidores, entonces las posibilidades de enfrentarse a una demanda colectiva pueden aumentar.

Una evaluación de riesgos adecuada indicará cuáles son los puntos débiles de su empresa en cuanto a permisos de acceso a la red, supervisión y visibilidad de la red, sistemas de copia de seguridad y formación del personal. También debe incluir a sus socios comerciales conectados en el proceso de evaluación, para asegurarse de que han desplegado tecnologías y prácticas de seguridad sólidas.

Read more

La víctima perfecta de Ransomware

/in , /by

El ransomware se ha convertido en el gran problema de seguridad al que se enfrentan empresas, organismos públicos y administraciones. En los últimos 12 meses y en España, se calcula que más de un tercio de las empresas han sufrido un ataque de estas características. El SEPE o el Ministerio de Trabajo y Economía Social han sufrido las consecuencias.

Según un estudio, existen una serie de rasgos característicos que tienen las empresas e instituciones que resultan más atractivas para los cibercriminales y que por lo tanto, tienen más posibilidades de ser futuras víctimas de un ataque ransomware.

Una de las principales conclusiones a las que llega el estudio es que aquellas empresas que teóricamente tienen más capacidad para pagar un rescate, son las que se sitúan entre las más demandadas… Y en este sentido, son empresas americanas con una facturación anual superior a los 100 millones de dólares, las que deben vigilar sus espaldas.

Read more