Servicio específico de prevención de brechas de seguridad

Este mes de agosto, y a pesar de los turnos organizados, hemos tenido que alternar las vacaciones con la gestión de las brechas de seguridad que han sufrido algunos de nuestros clientes.

El crecimiento experimentado en el número de brechas gestionado se debe, principalmente, al incremento del reporte interno de incidentes ocasionados por la pérdida o el robo de ordenadores portátiles y teléfonos móviles que antes no se llegaban a conocer.

La aplicación del RGPD ha obligado a realizar acciones de formación y concienciación, y a establecer la obligación de comunicar internamente cualquier incidente de seguridad, incluida la pérdida y el robo de dispositivos informáticos, por lo que las empresas están recibiendo más información de incidentes que antes no se reportaban.

Teniendo en cuenta que en todas las empresas se pierden o se producen robos de dispositivos móviles, podríamos decir que, en relación a este aspecto, este tipo de incidentes se dividen en dos categorías:

  1. Los que son gestionados como un incidente de seguridad.
  2. Los que simplemente son tratados como un activo informático a reponer.

La diferencia entre ambos enfoques puede tener efectos jurídicos y económicos importantes, ya que, ignorar este tipo de incidentes ayuda a tener unas estadísticas saneadas en materia de seguridad, pero impide realizar un tratamiento adecuado de los riesgos asociados y de la actividad preventiva.

En otras palabras, tener pocos incidentes de seguridad no es un indicador de la eficacia de las medidas de seguridad. Es muy probable que sea un indicador del nivel de desconocimiento de los incidentes que se producen en la empresa.

Otra causa importante de brechas de seguridad han sido los ciberataques en general y los ataques de phishing en especial. El perfeccionamiento de las técnicas de suplantación de identidad, los clics realizados sin un mínimo de reflexión previa y la falta de experiencia en la identificación de los mensajes fraudulentos están haciendo que este tipo de ataques sigan triunfando.

Gracias a la aplicación de un protocolo que permite excluir los incidentes que no han generado una violación de la confidencialidad, la integridad y la disponibilidad de los datos, así como los que no han supuesto un riesgo para los derechos y libertades de los afectados, sólo un pequeño porcentaje de los incidentes gestionados se ha tenido que comunicar a la Agencia Española de Protección de Datos.

En cualquier caso, si unimos la experiencia adquirida en la gestión de brechas a la información suministrada por los incidentes de seguridad publicados y las estadísticas y las resoluciones de la AEPD, podemos decir que existe conocimiento suficiente para identificar:

  1. Las causas más habituales de las brechas de seguridad.
  2. Los errores más habitualmente cometidos por las empresas.
  3. Las medidas concretas que habrían evitado la brecha, pero no se aplicaron.
  4. Las medidas y argumentos en los que la AEPD se ha basado para archivar el expediente sancionador de una brecha.

Con este conocimiento hemos diseñado un servicio específico de prevención de brechas de seguridad que se une al protocolo de gestión de incidentes de seguridad que ya incluía  nuestra aplicación Compliance 3.0.

Si deseas más información sobre este servicio, puedes enviarme un mensaje a xavier.ribas@ribastic.com

Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.

ISO 37001 – 01 Datos estadísticos de la corrupción en España

Primera entrega de la presentación que realicé el 12 de enero de 2017, en el primer acto de celebración de mis 30 años de especialización.

Deseo expresar mi más sincero agradecimiento a las más de cien personas que asistieron a este acto y a todos los que me han apoyado durante estos 30 años.

La presentación versa sobre la ISO 37001 y el sistema de gestión anticorrupción que permite a una empresa integrar medidas de prevención de la corrupción en el marco de un programa de compliance. Se muestran ejemplos de cómo gestionar las medidas anticorrupción mediante el uso de la aplicación Compliance 3.0 desarrollada por Ribas y Asociados.

ACTUALIZACIÓN – Nuevos datos de Transparencia Internacional sobre la percepción de la corrupción en 2016: https://xribas.com/2017/01/25/publicado-el-indice-de-percepcion-de-la-corrupcion-de-2016/