Que en un ataque a una organización o a una persona se produzca un robo de información es casi un clásico en la actualidad. Hasta los ataques de ransomware han evolucionado hacia esa consecuencia. Pero , ¿evaluamos correctamente las organizaciones, o las personas, el riesgo al que nos enfrentamos en caso de sufrir un robo de información?
Una de las preguntas típicas que hago en la primera clase a mis alumnos en materia de ciberseguridad es qué pretendemos proteger cuando establecemos medidas de seguridad en un sistema. Un elevado porcentaje del alumnado se decanta por la respuesta correcta, la información que se trata en dicho sistema, aunque es significativo la porción del alumnado que se decanta por citar la red, o la organización en general, como respuestas.
Cuando les confirmo que, efectivamente, es la información el activo más valioso de las organizaciones, planteo dos preguntas relacionadas. La primera es si creen que la protección de su información, la que llevan en su móvil o la que publican en sus redes sociales merece también ser protegida de forma análoga a la información de las organizaciones, y muchos responden que la importancia de esa información es menor. La segunda pregunta que les hago, especialmente a quienes han contestado así la primera pregunta, es si me pueden apuntar en un papel su nombre y su número de tarjeta de crédito, con su fecha de caducidad, el PIN y el CVV. Aquí automáticamente todos responden que no, que con esa información podría hacer compras en Internet.
Este pequeño experimento social con personas jóvenes, nativos digitales, demuestra a mi entender dos cosas: no hay una sensación de que se está desprotegiendo la información personal al publicar en redes sociales, pero sin embargo, en cuanto se toca el tema económico, la actitud cambia. Y ello se debe a que el dinero sí se percibe por este grupo social (y por casi todos los grupos sociales) como un activo valioso, pero la privacidad no.
En las organizaciones, sobre todo en ciertos tipos de ellas, la conciencia de que toda la información que se maneja ha de ser protegida es mucho mayor, aunque los niveles de protección sean dispares y las actitudes reales antes los costes que esa protección requiere también lo sean. Sin embargo, todas las normas de seguridad de la información ponen el acento, precisamente, en la necesidad de que todos seamos conscientes de que esa información es el activo más valioso de nuestros sistemas, y que probablemente sea el único irremplazable (o con un costo enorme de reemplazo)…
Continuar leyendo…