Evitar el fraude online

s21sec1La empresa española S21sec ha publicado unos decálogos de buen uso para evitar ser víctima del fraude online.

Consejos para las organizaciones

1.- Sea consciente de que la seguridad es un aspecto crítico para su negocio. En nuestros días, el valor fundamental de una compañía son los activos intangibles. Un fallo en el funcionamiento de los sistemas informáticos de la compañía o una pérdida o robo de información pueden suponer un tiempo de inactividad –con las consiguientes pérdidas económicas- o, incluso, la desaparición para un negocio. Además, en determinados sectores, como la banca y el comercio electrónico, es necesario generar confianza en los consumidores y usuarios actuales y potenciales, y sólo un adecuado nivel de seguridad garantiza la credibilidad del negocio.

2.- Cuente los recursos destinados a proteger la seguridad de sus sistemas de información como una inversión, no como un gasto. Se trata de mantener la seguridad de un aspecto crítico para su negocio. Por tanto, debe abordarlo como un aspecto global, que debe impregnar todas y cada una de las rutinas y procesos que tengan lugar en la organización.

3.- Conozca sus debilidades. Encargue a profesionales especializados un estudio de vulnerabilidades de sus sistemas de información, para conocer en detalle los riesgos a los que está expuesta su organización, tanto externos (atacantes, código malicioso…) como internos (mal uso de la información por parte de empleados o acceso de éstos a información confidencial).

4.- Actualice el software, antivirus y cortafuegos de su empresa. Aunque no es suficiente para alcanzar un grado óptimo de seguridad, mantener al día los programas informáticos con parches de seguridad y actualizaciones, antivirus y cortafuegos de la empresa ayudará a mantener a raya a virus, troyanos y otros tipos de código malicioso.

5.- Vigile los accesos y el tráfico de información de sus sistemas informáticos. Hoy día, los profesionales especializados pueden monitorizar permanentemente las entradas y salidas a los sistemas de información de una organización y todo el tráfico que se produce dentro de los mismos. Relacionando todos esos datos entre sí, se pueden detectar intentos de acceso fraudulento o extracciones anómalas de información y comprobar si efectivamente se trata de un intento de delito, lo que permite, en caso de que así sea, tomar las medidas oportunas.

6.- Manténgase atento a los movimientos sospechosos que puedan producirse en su entorno. Los servicios de vigilancia digital permiten detectar el registro de dominios o sitios web que intenten suplantar el nombre de la organización, copiar su home o utilizar fraudulentamente su marca. Atajar estos movimientos a tiempo puede evitar que la organización sea víctima de un futuro fraude o vea seriamente dañada su credibilidad.

7.- Establezca una política clara de acceso a la información. Ya sea a través de un sistema de claves o de cualquier otro, defina claramente quién puede acceder a cada información y en qué condiciones. De esta forma, podrá controlar mejor la seguridad de sus activos digitales.

8.- Ponga en marcha un plan de formación interna en materia de seguridad. Todos los miembros de la organización, así como clientes, proveedores y todo aquel que tenga acceso a los sistemas de información deben recibir formación en materia de seguridad e implicarse en la tarea de mantenerla, desde el director general hasta el último trabajador.

9.- Deje la seguridad de la organización en manos de profesionales. Sólo los expertos podrán analizar sus necesidades y ofrecerle lo que más le conviene, protegiendo sus sistemas de información y liberando al personal interno de esa tarea.

10.- Instaure una verdadera cultura de la seguridad en su organización. Implíquese, implique a todos los miembros de su equipo, trate la seguridad como un aspecto estratégico para su negocio y déjela en manos de expertos. Si, a pesar de todo, su empresa es víctima de un delito, póngalo en conocimiento de los profesionales y de las autoridades y ellos actuarán para minimizar en lo posible el impacto de ese ataque.

Consejos para los particulares

1.- Acceda siempre a la web de su banco o a los portales de comercio electrónico desde un ordenador de su confianza. No realice transacciones electrónicas, en especial aquellas que impliquen la introducción de claves privadas, a través de un ordenador de uso público.

2.- Mantenga el navegador y el antivirus actualizados y con los últimos parches de seguridad instalados. De esta forma, estará más protegido ante cualquier código malicioso que busca introducirse en su ordenador para capturar las claves cuando usted las introduce.

3.- Manténgase informado de las últimas novedades en materia de seguridad informática. Lea también las recomendaciones y avisos de seguridad que su banco o caja publica a través de su web.

4.- No facilite nunca sus claves personales a terceros por teléfono, fax o por correo electrónico. Su banco nunca le contactará por estas vías para pedirle este tipo de información.

5.- Desconfíe de los correos electrónicos que le soliciten sus claves con urgencia. Suelen utilizar argumentos como la detección de un posible fraude, problemas técnicos o concursos, y amenazan con cerrar o bloquear su cuenta si no envía sus claves por correo o las introduce en una web a la que se accede a través de un enlace adjunto. Si sospecha, contacte directamente con su banco o caja.

6.- Acceda a su banco o a los portales de comercio electrónico tecleando siempre la dirección URL en el navegador. No acceda a estos sitios web a través de enlaces proporcionados por terceros: pueden conducirle a una copia de la web auténtica creada para capturar sus claves.

7.- Cuando se disponga a realizar transacciones electrónicas, asegúrese de que la web utiliza un protocolo seguro. Esto puede comprobarse fácilmente observando si la URL comienza por https://, donde la “s” indica que se trata de un sitio seguro. También debe aparecer un candado en la parte inferior derecha de la pantalla. Dado que algunos delincuentes falsifican este símbolo, es conveniente comprobar su autenticidad haciendo doble clic sobre él: de esta forma, aparecerá la autoridad certificadora de la seguridad del sitio.

8.- Compruebe regularmente los movimientos de su cuenta bancaria. De esta forma podrá saber si se ha producido alguna transacción que usted no ha ordenado y actuar en consecuencia.

9.- Si en algún momento sospecha que se encuentra ante un caso de phishing, o que usted ha sido víctima de un delito de este tipo, contacte con su entidad bancaria. Ellos se encargarán de minimizar el impacto del ataque y de tomar las medidas oportunas para atajar el ataque a tiempo.

10.- Actúe en todo momento con sentido común: sea cauto. Ante la más mínima sospecha, contacte con su proveedor de servicios financieros. Ellos resolverán sus dudas.

Decálogo de protección contra las fugas de información

1.- Definir los niveles de clasificación de la información dentro de una empresa (sensible, confidencial, top secret…) y aplicar estos niveles a toda información ya sea digital o en papel.

2.- Establecer en la política de seguridad de la empresa buenas prácticas relacionadas (tiempo para acceder a lo imprimido, mesas limpias de documentos, destrucción de información importante (papel, copias de seguridad, etc).

3.- Acceder a la información importante sólo desde dispositivos y redes autorizadas (evitar cibercafés, ordenadores de casa, redes públicas wireless, etc).

4.- Utilizar el “need to know”, es decir, evitar el acceso a la información si realmente no existe una necesidad.

5.- Monitorizar el acceso y uso de la información importante (herramientas de gestión de logs y herramientas DLP: Data Loss Prevention).

6.-
Monitorizar la información que existe en Internet sobre la organización

7.- Establecer sesiones de formación dentro de la organización para los empleados en temas de concienciación tests anuales (ingeniería social, clasificación de la información…).

8.- Conocer las últimas técnicas utilizadas en delitos de ciberespionaje o conseguir un asesoramiento por parte de empresas especializadas.

9.- Establecer capas de seguridad a todos los niveles (perímetro, puesto de usuario, salida…) para evitar posibles intrusiones tanto externas como internas.

10.- Realizar tests de intrusión tanto externos como internos para conocer los riesgos existentes.

A %d blogueros les gusta esto: