En un contexto de grandes innovaciones tecnológicas y un entorno que muestra amenazas también en constante evolución, las empresas y organizaciones deben buscar maneras para trabajar en forma segura. En la Masterclass Virtual “Ciberseguridad para la toma de decisiones” se dieron pistas para adecuarse a esta consigna.
Las empresas y organizaciones, así como los usuarios, pueden ser vulnerables a distintos tipos de ataques cibernéticos, con graves consecuencias personales y para sus negocios, ya sea desde el robo de datos y el sabotaje de sistemas, hasta el fraude y la estafa, entre otros.
Para analizar los posibles escenarios con fuga de información que pueden ocurrir en un establecimiento hotelero o gastronómico, y concientizar sobre la importancia de las medidas de identificar, prevenir y reducir posibles riesgos, FEHGRA dictó la Masterclass Virtual “Ciberseguridad para la toma de decisiones”.
Organizada por el Departamento de Capacitación y Formación Profesional de la Federación, en conjunto con la Universidad Siglo 21, a través de la propuesta FEHGRA EDUCA, el seminario estuvo a cargo del experto en Seguridad Informática y Cibercrimen, magister Luciano Monchiero, quien es instructor experto para Interpol, profesor experto para Europol y miembro de la División en Cibercrimen de la Sociedad Americana de Criminología.
En la apertura Belén García Bertone, a cargo del Departamento de Capacitación y Formación Profesional, se refirió a la importancia del tema para los empresarios del sector, y anunció que los últimos miércoles de cada mes se realizarán Masterclass Virtuales -ya están en agenda los siguientes temas: Sustentabilidad hotelera y gastronómica, Liderazgo 4.0, y Customer experience en hotelería y gastronomía-. También participó de la apertura del Seminario, Cristina Soria, responsable de la Gestión Académica de la Universidad Siglo 21.
¿Qué activos hay que proteger?
La ciberseguridad es la práctica de proteger información digital, dispositivos y activos, a través del tratamiento de amenazas que los ponen en riesgo.
Con la definición del tema, el especialista Luciano Monchiero inició una charla de dos horas, que convocó a empresarios de todo el país, y tuvo el objetivo de plantear buenas prácticas, transmitir recomendaciones para la prevención y detección temprana de problemas, y despejar dudas.
Se refirió a los distintos tipo de activos que las empresas deben proteger:
• Activos de Información: software; sistemas operativos; datos digitales, que incluye bases de datos, copias de seguridad y claves; activos tangibles, como correos, llaves, libros; activos intangibles, como patentes, conocimientos, relaciones.
• Activos Físicos: infraestructura Tecnología Informática (IT), edificios, oficinas, armarios; hardware, como son las estaciones de trabajo, los servidores o computadoras; y el entorno, como aire acondicionado y alarmas.
• Activos de Servicios: relacionados al servicio de autenticación, servicios de red, y de desarrollo.
• Activos humanos: empleados, tercerizados, contratados, mantenimiento.
La clave es la confianza
Para proteger los activos de la organización, hay que considerar los tres pilares de la Seguridad de la Información. El primero es la Confidencialidad. La consigna es evitar el acceso no autorizado de terceros ajenos a la información. Consideró importante hacer firmar acuerdos de confidencialidad con los empleados. El segundo es la Disponibilidad. Propuso mantener disponible el acceso a la Información a aquellas personas autorizadas, y que solo puedan acceder dependiendo el nivel de acceso que tengan. El tercero, la Integridad. En este punto, planteó establecer políticas de seguridad interna, y conservar la información inalterable, salvo que sea modificada por personal autorizado.
Entre las causas de la fuga de información, detalló que el 90% es por errores humanos, solo el 10% se debe a falla de los sistemas. A su vez, indicó que muchas veces el problema es debido a empleados maliciosos. También son causa de fuga de información la falla o negligencia de empleados, las fallas de IT y, por último, los ataques externos.
Entre los perjuicios y pérdidas que pueden impactar en las empresas, se cuentan la pérdida de dinero o de información crítica para administrar el negocio, sufrir daños en su reputación que afecten la confianza del cliente, pérdida de ingresos como consecuencia de la interrupción de su actividad, recibir sanciones por parte de los entes de control y vigilancia como consecuencia del mal uso de la información, o ser demandados o recibir reclamos por parte de personas afectadas por el mal uso de la información, entre otros.
Invertir en seguridad
Para alcanzar un nuevo estándar de confianza, las empresas deben implementar nuevas reglas para las relaciones digitales.
En este sentido, Luciano Monchiero explicó qué es el método ROSI (por sus siglas en inglés Return On Security Invesment) o Retorno de la Inversión en Seguridad de la Información, que trabaja sobre cinco puntos básicos: identificar el área que maneja la información, analizar los costos materiales, costo de personal y sus horas extras, los costos legales, y la pérdidas directas.
El disertante puso ejemplos puntuales de ataques a hoteles y establecimientos gastronómicos, y habló de clonación de bandas magnéticas en cajeros automáticos, o de tarjetas de crédito o débito. También compartió recomendaciones, entre ellas, contar con un plan de contingencia en caso de incidentes, aplicar medidas de ciberseguidad mínimas en la organización, capacitar al personal de manera constaste, realizar backups cada 15 días. Habló del phishing, un método para engañar con el objetivo de obtener contraseñas, números de tarjeta de crédito, y otra información confidencial, haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica. Planteó el uso de algunas herramientas como, por ejemplo, el sitio unshorten.it, para chequear URL que llegan acortadas con el objetivo de confirmar o validar su procedencia. Y el site VirusTotal, que proporciona de forma gratuita el análisis de archivos y páginas web a través de antivirus.
Ante una situación de ciberfraude, aconsejó: no eliminar datos, realizar la denuncia en la Comisaria o Fiscalía, y aportar todos los elementos de prueba. En casos más complejos, recurrir a un especialista en ciberseguridad, realizar auditoria de la empresa, reforzar la capacitación a los empleados, y generar nuevas políticas de seguridad.
Y dejó un mensaje para los empresarios del sector: Como existe la posibilidad de clonar tarjetas de crédito o de débito, es buena idea implementar medidas para que el cliente no pierda de vista sus tarjetas a la hora de pagar la cuenta, con el objetivo de darle confianza sobre la seguridad de sus datos.