|
|
Administre el Riesgo (II)
José Camilo Daccach T.
El alto nivel de conectividad impone también altos riesgos. El riesgo no se puede eliminar, es necesario administrarlo. Segunda Parte.
El alto nivel de conectividad impone también altos riesgos. Es claro que estos riesgos traídos por la conectividad se pueden eliminar, y hasta en una forma muy sencilla: eliminar las conexiones. Sin embargo, esta no es una alternativa válida. El riesgo no se puede eliminar, es necesario administrarlo.
En la medida que la conectividad avanza tanto en la empresa como en la cantidad de personas que pueden tener acceso a la información (clientes, proveedores, y hasta los hackers), aumenta también el riesgo y el impacto que pueden tener estos riesgos en la organización.
En la Edición Anterior analizamos los riesgos de los virus y el spam, dentro de la filosofía que el riesgo no se puede evitar sino que se debe administrar. En esta edición manejamos los temas de robo de identidad y depredadores en línea.
Depredadores en Línea: Los depredadores en línea son un símil de los depredadores en el mundo real. Están siempre al acecho buscando su presa y el mejor momento para dar el zarpazo. Esta modalidad se inició y es en gran parte desarrollada por acosadores sexuales de niños. Los depredadores establecen contacto con los niños a través de conversaciones en salas de Chat, mensajería instantánea, correo electrónico o paneles de discusión. Numerosos adolescentes utilizan los foros en línea de ayuda mutua para tratar sus problemas. Los depredadores suelen ir a estas áreas en línea para buscar víctimas vulnerables.
Los depredadores en línea intentan seducir gradualmente a sus víctimas mediante atención, afecto, amabilidad e, incluso, regalos; normalmente dedican mucho tiempo, dinero y energías a este empeño. Tienen conocimiento de la música y las aficiones más recientes que puedan interesar a los niños. Los escuchan y simpatizan con sus problemas. Para intentar que los jóvenes se desinhiban, paulatinamente introducen material sexual en las conversaciones o les muestran material sexual explícito.
Algunos depredadores actúan más rápido que otros y les hacen participar en conversiones de sexo explícito inmediatamente. Este enfoque más directo puede incluir acoso o que el depredador aceche a la víctima. Los depredadores también pueden considerar a los niños que conocen en línea para un contacto cara a cara.
Esta práctica se ha visto utilizada también a nivel corporativo, donde se efectúan "amistades" en línea, ya no con propósitos sexuales, sino con propósitos de espionaje empresarial. La comunicación "informal" a través de mensajería instantánea por ejemplo, manejada por un experto depredador, puede obtener información importante y de impacto económico, como por ejemplo identificar si alguna empresa va a participar o no en una licitación.
Este riesgo es difícil de administrar en forma técnica, ya que el impacto o la efectividad se basan en la construcción de relaciones a través de la red, una de las bondades de la misma. La creación de una cultura de seguridad, y de formación permanente para mantener alerta a los usuarios de los posibles peligros, conforma la mejor defensa.
Robo de identidad. Una modalidad reciente que no es más que hacerse pasar por otro, y actuar a nombre del otro. No es tan sencillo como suena, ya que las personas intentando este robo de identidad deben recopilar suficiente información de la víctima para poderlo suplantar sin lugar a dudas. Podríamos indicar que mucha de la prevención depende de la sagacidad con la que respondamos a toda información que se nos solicite.
El robo de identidad puede generar grandes perdidas a una empresa, simplemente con un proceso, por ejemplo, de suplantación donde se informe que la cuenta bancaria donde hoy consignan los clientes sus pagos ha cambiado por otra (obviamente no de propiedad de la empresa) y que se "agradece que los pagos de las facturas emitidas sean canceladas en esta nueva cuenta".
Desde el punto de vista informático, es indispensable que la información pertinente a la identidad de la compañía y sus funcionarios, incluido ahora las "firmas digitales" sea guardada con recelo y manejada bajo estrictas normas de seguridad, de tal manera que no haya una posible fuga por descuido interno. El dejar un PC prendido con acceso a la información corporativa, en un punto de acceso gratuito, como por ejemplo un aeropuerto o un café Internet puede ser una invitación para que personas inescrupulosas utilizando fraudulentamente su identidad accedan y ejecuten procesos que de otra manera no podrían hacer.
Existen herramientas como las claves "volátiles" que solo sirven para una sesión, y tienen una duración asignada para ser usadas, tarjetas físicas que deben acompañar la clave del usuario para garantizar su ingreso al sistema. Sin embargo la clave en la administración del riesgo contra el robo de identidad es la cultura de seguridad informática y el estado de alerta que deben mantener los usuarios.
Se debe estar alerta para detectar si se ha sido víctima de un robo de identidad. La no llegada de facturas en las fechas respectivas, la disminución de la correspondencia, si están llegando tarjetas de crédito que no ha solicitado o si le están negando créditos u otorgándoselos en condiciones no favorables. Hay indicios que pueden alertar, pero no ayudan mucho a prevenir.
En la próxima y última entrega analizamos el Phishing y el Pharming como los riesgos máximos a los que se deben definir políticas de administración de riesgo.
Administre el Riesgo - Virus y Spam
|
