Ciberseguridad es uno de los términos más utilizados y escuchados en los últimos tiempos a nivel mundial. Solo hay que hacer una búsqueda en Google para encontrarnos con millones de resultados de páginas web en las que se utiliza el término de ciberseguridad.
En su definición más general se indica que se trata de la práctica de proteger todos aquellos elementos utilizados para la gestión de la información, como PC, servidores, móviles, sistemas electrónicos, redes, etc., de ataques maliciosos.
CEA dispone de un equipo humano y tecnológico que vigila y aplica todos los controles a su alcance para evitar en la medida de lo posible (la seguridad total no existe), que se pueda producir un acceso no autorizado a los sistemas de información.
Para ello CEA además de las herramientas de control utilizadas para este fin, mantiene un protocolo de actuación basado en el cumplimiento de las vigentes leyes 2016/679 de protección de datos de persona físicas (RGPD), y 34/2002 de Servicios de la sociedad de la información y de comercio electrónico (LSSI-CE). Así mismo CEA dispone del Certificado ISO 27001 de Sistemas de Gestión de Seguridad de la Información otorgada por la auditoria en AENOR en reconocimiento a la responsabilidad al tratar los datos personales de nuestros clientes, lo que nos obliga aún a ser más estrictos con el cuidado y salvaguarda de todos nuestros activos.
¿Qué es la ISO 27001?
Es una norma internacional y un estándar en la gestión de riesgos creada con el objetivo de garantizar y asegurar la seguridad y ciberseguridad de la información de una empresa.
Entre sus funciones está mantener la integridad, confidencialidad y disponibilidad de la información que pueda tener una organización sobre sus clientes; además, cuenta con sistemas y aplicaciones ideales para tratar la información de forma correcta y segura.
La norma ISO 27001 define cuáles son los estándares que deben tomarse en una empresa (internos o externos) para tratar la información, con sus procesos y controles bien definidos. Asimismo, detalla como debe planificarse, implantarse, verificarse y controlar un Sistema de Gestión de Seguridad de la Información.
Entre los detalles del proceso, explica que elementos deben incluirse en el proceso de planificación, como lo es: definir la política de seguridad, la evaluación de riesgos y su gestión, los objetivos de control y aplicabilidad, entre otros.
Términos como phishing, smishing, ramsomware, virus, gusano, troyano y muchos más, nos son cada vez más familiares y debemos de ser muy rigurosos con nuestra manera de tratar la información.
Ejemplo: El Phishing
Es un ataque que se basa en ingeniería social y que consiste en que el ciberdelincuente envía un mensaje utilizando el correo electrónico, las redes sociales o aplicaciones de mensajería instantánea. El remitente parece ser una entidad de confianza, y suele contener un mensaje con una promoción interesante para que se pinche en un enlace a una web que ha sido suplantada, y que en apariencia parece ser la legítima. Todo esto con un objetivo que es conseguir que le facilitemos datos personales y/o del banco.
También puede venir con un archivo adjunto que al abrirlo nos infecta el dispositivo, pudiendo tomar desde ese momento el control del mismo.
Algunas recomendaciones
Fijarse en el remitente
Los correos de este tipo suelen tener remitentes que no coinciden con la empresa a la que se supone representan. Este es el primer indicador que ha de comprobarse. Otras veces, los ciberdelincuentes usan la técnica email spoofing, que consiste en falsear el remitente, haciendo que parezca proceder de la entidad legítima cuando en realidad no es así.
Urgencia
Pretenden provocar que se tomen decisiones sin pensar, siendo generalmente estas acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc.
Enlaces falsos
Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para verificar a dónde nos lleva realmente el enlace, conviene situar el ratón encima, y ver en la parte inferior de la pantalla la verdadera dirección, o utilizar herramientas online.
Comunicaciones no personalizadas
Cuando se reciben de entidades de confianza suelen referirse al destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.
Errores ortográficos y gramaticales
Una comunicación de garantía cuida muy mucho que no existan errores ortográficos o gramaticales, ya que la imagen con sus clientes es un aspecto muy cuidado.
En CEA estamos muy sensibilizados y de manera sistemática y periódica se realizan jornadas de concienciación a su personal para seguir las reglas más recomendadas, y así tratar de evitar caer y picar en estas trampas.
Manuel Herrero - Responsable de Seguridad de la Información
