Capacitación y Auditoría necesarias para la seguridad de la información

Gracias por Compartir

Por: Carlos Jumbo
Gerente General INFORC ECUADOR

Las nuevas dinámicas del negocio exponen agujeros en el perímetro de las empresas y las hace más vulnerables a la fuga de información. En el sector financiero, el auge de la ingeniería social aumenta los ataques de Malware. El más conocido es Carbanak, una campaña de Amenaza Persistente Avanzada, APT, los atacantes se infiltran en la red de la víctima buscando un sistema crítico para extraer dinero. Después de robar una cantidad considerable entre USD 2 500 000 y 10 000 000 de dólares por entidad abandonan a la víctima.

Danabot es una reciente campaña maliciosa de suplantación de identidad. Más del 50% de instituciones financieras sufren amenazas de este tipo. El malware y phishing se convierten en una amenaza constante para Pymes y entidades financieras.

Según Kaspersky Lab, los intentos de infección por malware dirigido a robar dinero a través del acceso en línea a cuentas bancarias crecieron más de 5% en comparación con el primer trimestre de 2018, con un total de 215,762 computadoras de usuarios.

Los valiosos datos corporativos de los clientes con los que se relacionan, así como la propiedad intelectual son señuelos atractivos para los ciberdelincuentes. Se envían correos electrónicos fraudulentos, ya sea en masa con la esperanza de atrapar a los empleados de la empresa sin saberlo, o se envían correos electrónicos personalizados específicamente a determinados miembros de un equipo, como recursos humanos, ventas o contabilidad.

En cualquier tipo de campaña, los correos electrónicos a menudo contienen ejecutables y macros maliciosas incrustadas en documentos de Microsoft Word o enlaces que se conectan a sitios web fraudulentos.

La tecnología por sí sola no resuelve el problema de la seguridad informática, por lo tanto, es recomendable efectuar auditorias de seguridad de forma periódica que contemplen pruebas de penetración, test de vulnerabilidad, pruebas de ingeniería social, etc.; y tomar en serio la formación del personal de la compañía.

Localmente, existen capítulos de organizaciones reconocidas internacionalmente como ISACA Ecuador, ISSA Ecuador, Owasp Ecuador y la recientemente creada Asociación Ecuatoriana de Ciberseguridad (AECI), que aglutinan en sus filas a profesionales de Seguridad de la Información que pueden ayudar a sus organizaciones.

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *