2022 era un eventaño completo de seguridad de la información. Vimos ataques cibernéticos entre estados en guerra, estados enteros se desconectan después de los ataques de grupos de delincuentes cibernéticos, y brechas de datos en todo tipo de negocios (Twitter, Marrioty Binance, entre otros). Está claro que la vigilancia es vital para protegerse contra estos ataques, y mantenerse informado sobre las amenazas más recientes es crucial. Para mantenerse a salvo, es importante implementar medidas de seguridad sólidas, realizar una evaluación de riesgos de seguridad interna, educar a los empleados sobre cómo detectar y evitar peligros, y revisar y actualizar periódicamente las prácticas de seguridad.

Y 2023 parece no ser diferente; las estafas en las redes sociales están creando un nuevo (a) campo de batalla de ingeniería social donde los adversarios y los atacantes patrocinados por el estado aprovechan las técnicas de ingeniería social como un primer paso (vector de acceso inicial) en campañas a gran escala. Estos están destinados a entrar en los sistemas, propagar ransomware o robar información confidencial. Los ataques a la infraestructura crítica están en su punto más alto, los ataques falsos profundos son cada vez más convincentes y el auge del metaverso allanará el camino hacia nuevos crímenes cibernéticos.

6 pasos para la evaluación de riesgos de seguridad de su información personal

Pero no todo será pesimismo en 2023. Una encuesta reciente de ClubCISO muestra que el cambio al trabajo remoto e híbrido ha tenido un efecto positivo en las actitudes de los empleados hacia la seguridad. La investigación indica que, con la capacitación constante en materia de seguridad, una buena cultura de seguridad se ha convertido en la norma para muchas organizaciones.

Evaluaciones de Riesgo

Cuando se trabaja en medidas de ciberseguridad e información, las organizaciones dedican mucho tiempo a evaluar y mitigar los riesgos de seguridad. Evaluaciones de riesgo ayudar a proteger contra infracciones, brindar a una organización información crítica sobre sus brechas de seguridad y ayudar a guide inversiones en seguridad. pero con el tendencia continua de trabajar desde casa, parte de la responsabilidad de la seguridad cibernética puede haber pasado de la organización a los hogares de los empleados. Realizar una evaluación de riesgos de seguridad de la información personal en el hogar puede ayudarlo a identificar y mitigar los riesgos potenciales para sus datos personales e información confidencial. Estos son algunos pasos a seguir al realizar una evaluación de riesgos:

1. Identificar activos de información

Haga una lista de todos los con y relacionado con el trabajo datos e información confidencial que almacena en su hogar, incluidos datos financieros, registros médicos e información de identificación personal. Su lista de activos puede incluir:

  • Información de identificación personal (PII): datos confidenciales como su nombre completo, fecha de nacimiento, número de seguro social, información del pasaporte y detalles de la licencia de conducir.
  • Información financiera: información bancaria, detalles de inversiones, números de tarjetas de crédito y otros documentos financieros.
  • Información médica: los registros de salud, la información de recetas y otros documentos médicos pueden considerarse confidenciales.
  • Documentos personales: cualquier documento que contenga información personal, como su certificado de nacimiento, certificado de matrimonio, sentencia de divorcio y contratos legales.
  • Activos digitales: cualquier información digital como fotos, videos, música y documentos importantes almacenados en su computadora, teléfono u otros dispositivos electrónicos.
  • Contraseñas y credenciales de inicio de sesión: estas son piezas valiosas de información que pueden otorgar acceso a sus cuentas, que deben mantenerse seguras y confidenciales.
  • Propiedad intelectual: cualquier trabajo original que haya creado, como música, arte o escritura, que pueda estar protegido por las leyes de derechos de autor.

2. Identificar amenazas

Identifique amenazas potenciales a sus datos e información confidencial, como malware, piratería, phishing, robo físico, pérdida, daño y acceso no autorizado a su red Wi-Fi. Dependiendo de su situación de trabajo desde casa, su lista de amenazas identificadas puede variar. Hay mucha información disponible en Internet sobre las amenazas a la seguridad cibernética (p. aquí). También debe tener en cuenta las amenazas físicas regionales y locales, como la posibilidad de un desastre ambiental o la tasa de criminalidad en su área.

3. Identificar vulnerabilidades

Identifique vulnerabilidades potenciales en su entorno de trabajo desde casa, en su red doméstica y en sus dispositivos. Estas pueden ser contraseñas débiles, obsoletas softwarey redes Wi-Fi no seguras. Ya hablamos de posibles vulnerabilidades en un antiguo post. Una lista de vulnerabilidades podría incluir lo siguiente:

  • Contraseñas débiles: uno de los riesgos más comunes, ya que pueden adivinarse o descifrarse fácilmente. Esto puede conducir al acceso no autorizado a datos personales e información confidencial. Usar la misma contraseña para varias cuentas también es una mala práctica, ya que los delincuentes pueden acceder fácilmente a ellas.
  • Phishing: un tipo de ataque de ingeniería social en el que los ciberdelincuentes envían correos electrónicos, mensajes o textos falsos que parecen provenir de una fuente confiable para engañar a los usuarios para que revelen su información confidencial, como credenciales de inicio de sesión o información financiera.
  • Malware: los virus, troyanos y spyware pueden infectar computadoras y dispositivos móviles, robar información personal y comprometer la seguridad. El malware se puede propagar a través de archivos adjuntos de correo electrónico, sitios web maliciosos o descargar software.
  • Wi-Fi no seguro: las redes Wi-Fi no seguras pueden exponer datos personales e información confidencial a los piratas informáticos. El uso de redes Wi-Fi no seguras también puede aumentar el riesgo de infecciones de malware y otros tipos de ataques cibernéticos.
  • Falta de actualizaciones y parches: falta de actualización software y los sistemas operativos pueden hacer que los dispositivos sean vulnerables a vulnerabilidades y vulnerabilidades de seguridad. Los piratas informáticos pueden explotar estas vulnerabilidades para obtener acceso a datos personales e información confidencial.

4. Determinar el nivel de riesgo

Evalúe la probabilidad y el impacto potencial de cada amenaza y vulnerabilidad identificada para determinar el nivel de riesgo. Hay muchos tutoriales sobre cómo realizar una determinación del nivel de riesgo. Puede usar una matriz de determinación de riesgo simple para evaluar una calificación de riesgo para actuar. A continuación se muestra una matriz típica de 5 × 5, pero puede definir su propia matriz que se adapte a sus necesidades personales.

matriz de riesgo
Matriz de riesgo

Puede evaluar el nivel de riesgo combinando un eje (la probabilidad de un determinado incidente) con el otro eje (el impacto que un incidente podría tener sobre usted cuando suceda). El nivel de riesgo estará donde ambos ejes se encuentren. El impacto podría ser una pérdida monetaria, obligaciones legales o contractuales, o incluso la pérdida de su reputación profesional. El resultado de la tabla nos dice con qué urgencia debemos abordar una amenaza y vulnerabilidad reconocidas.

5. Mitigar los riesgos

Desarrollar un plan para mitigar los riesgos identificados mediante la implementación de controles de seguridad. NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), define los controles de seguridad como “las salvaguardas o contramedidas prescritas para un sistema de información o una organización para proteger la confidencialidad, integridad y disponibilidad del sistema y su información”. Éstas incluyen:

  • Contraseñas seguras
  • Autenticación de dos factores
  • Antivirus software
  • Actualizaciones a software y sistema operativo
  • Protección de redes Wi-Fi
  • Protección física de su oficina en casa/su propia casa física

Sus controles pueden ser físicos, como cerraduras en puertas, una caja fuerte o cualquier tipo de control de acceso físico. Sus contramedidas pueden ser técnicas, como métodos de autenticación mejorados (MFA), antivirus y antimalware softwarey cortafuegos. Incluso cosas como asistir a una capacitación o mejorar la conciencia sobre la seguridad de la información aún cuentan como contramedidas.

6. Supervisar y revisar

Supervise y revise regularmente sus controles de seguridad y contramedidas para asegurarse de que sean efectivos y estén actualizados. En las organizaciones, la efectividad de los controles de seguridad de la información establecidos se verifica mediante el establecimiento de métricas de seguridad (Las 10 principales métricas y KPI de ciberseguridad), evaluaciones periódicas de vulnerabilidad y pruebas de penetracióno auditorías internas. Puede realizar una auditoría de seguridad de la información personal revisando y actualizando sus listas de activos, amenazas y vulnerabilidades. También puede realizar fácilmente pruebas de penetración en su propia red mediante el uso de servicios gratuitos como Intruso. Dependiendo de su nivel de experiencia con software herramientas, puede encontrar algunas opciones avanzadas de código abierto aquí.

Enjuague y repita

Es importante tener en cuenta que una evaluación de riesgos de seguridad debe ser un proceso continuo, ya que pueden surgir nuevas amenazas y vulnerabilidades con el tiempo. Al realizar evaluaciones de riesgo regulares, ayuda a proteger sus datos personales e información confidencial de amenazas potenciales, en línea y fuera de línea.

No deje que los piratas informáticos ganen: manténgase proactivo en la protección de sus activos.