hacker
Seguridad

CONSULTORIA DE SEGURIDAD ÉTICA

Introducción

En las últimas décadas ha habido un incremento de la utilización de internet, en la mayoría de casos, el usuario no tiene los conocimientos suficientes, para tratar de no ser atacado por piratas informáticos, haciendo que esta tecnología sea el objetivo principal de los hackers, llamados coloquialmente “crackers” o  “piratas informáticos”. Pero no todos los expertos informáticos, son malos, a continuación explicaremos las diferencias que hay entre los distintos tipos de hacker que existen. Por otro lado también hablaré de la responsabilidad social de las organizaciones, ya que todos sabemos de lo importante que es, en un negocio la optimización de los ingresos, pero todo no está en generar ingresos a toda costa, cueste lo que cueste, por encima de todo esto está la ética, que a la larga puede repercutir positivamente en los ingresos, ya que crea buenas influencias de nuestra empresa u organización al resto del mundo. Además hablaré de lo importante que es, en una organización las reputación así como las confianza que tengan los clientes en nuestra corporación.

Hacker black hat

Son lo más parecidos a delincuentes, se definen generalmente en el mundo informático como los hacker rebeldes contra el sistema, en el que actúan en los límites de la ley, o incluso van más allá. Acceden rompiendo los sistemas, con un interés personal o lucrativo. En este grupo se engloban los crackers, que siente fuerte atracción hacia este lado oscuro. Estos últimos, son el origen de los virus, troyanos y otras amenazas. Cuando actúan de esta manera, con el propósito de dañar a una organización o a personas particulares, se habla de ciberterrorismo.  Se da el caso, en el que las grandes empresas precisan de los grandes conocimientos de estos especialistas, ya que tienes ciertas habilidades muy desarrolladas y pueden ser de gran interés para la organización. Por lo tanto, pueden tener los mismos conocimientos que los otros tipos de hackers, pero el propósito de estos conocimientos, son distintos.

Hacker grey hay

Este tipo de hacker, se puede decir, que es una mezcla entre black hat y el white hat, tiene características de ambos. Se trata de un hacker preparado técnicamente, que actúa a veces con el espíritu de un white hat pero con una filosofía de divulgación diferente. Sus intenciones generalmente no suelen ser malas, pero en ocasiones se meten en algún problema legal.
Por poner un ejemplo probará la vulnerabilidad de algún sistema, si consigue penetrar en él, no dañara el sistema y avisará al propietario para que mejore su seguridad, también lo publicará en la comunidad con fin divulgativo.

Hacker white hat

Técnicamente, las acciones realizadas por los hackers white hat es similar a la de los black hat. La diferencia radica en que tiene metas u objetivos  distintos. El objetivo de los white hackers es ayudar a asegurar los sistemas, sin sacar provecho de manera ilícita. Estos analizan las vulnerabilidades de los sistemas informáticos para poder publicarlas en foros técnicos o blogs de seguridad informática, o proceder a su reparación. Las técnicas son las mismas que las que utiliza un black hat. La principal diferencia es cuando descubren las vulnerabilidades, los white hat, su política es divulgarlos para que el resto de la sociedad pueda tener acceso a esta información, en cambio el black hat prefiere restringir el acceso a esta información y no darla a conocer. Estos hackers dicen actuar siempre dentro de la legalidad, aunque en la actualidad hay países que están ilegalizando estas prácticas, por ejemplo Francia ha introducido una ley reciente que lo prohíbe.

Por poner un ejemplo de ética en la ciberseguridad, en 2017 se sufrió a nivel mundial, un ciberataque llamado Wanacry, un ransomware que encripta el contenido del disco, lo cual lo hace inservible si no pagas la cantidad de chantage que te piden, si querías desencriptar tus datos, luego se comprobó que en la mayoría de ocasiones no se recuperaba la información a pesar de pagar dicha cantidad de dinero. En la empresa telefónica, donde trabaja Chema Alonso, CEO y de los mejores white hacker de España, hicieron público la información sobre el ciberataque, avisando a la Agencia de protección de datos, al centro nacional de protección de infraestructuras criticas, al CNI, al Incibe y alas fuerzas y cuerpos de seguridad del estado, esto evito a muchas empresas ser infectadas por este potente virus. Más tarde fue condecorado con la medalla blanca de la guardia civil, y felicitado por numerosas instituciones Españolas.

Black hat

Responsabilidad Social

La Responsabilidad Social Empresarial es, además del cumplimiento estricto de las obligaciones legales vigentes, la integración voluntaria por parte de la empresa, en su gobierno y gestión, en su estrategia, políticas y procedimientos, de las preocupaciones sociales, laborales y ambientales y de respeto a los derechos humanos que surgen de la relación y el diálogo transparentes con sus grupos de Interés, responsabilizándose así de las consecuencias y los impactos que derivan de sus acciones, normalmente se hace para mejor. Desde las corporaciones más grandes hasta las más modestas, tienen la posibilidad de realizar acciones para el bien de la ciudadanía o el planeta, llamada responsabilidad social, no es más que, destinar una pequeña parte del presupuesto o activos anuales, para fines de ayuda social o ambiental, y que sus empleados estén orgullosos de trabajar en este tipo de empresas y los clientes de estar asociados a ellas. Estas ayudas pueden ser de diferentes formas, por ejemplo en Google, que
apoya las energías renovables, ha reducido un 50% el gasto energético en sus CPDs, y permite a los trabajadores realizar sus tareas en casa  reduciendo la emisión de CO2 a la atmósfera, los fondos que evitan pueden ser destinados a otros fines. En cambio en Xerox tiene varios programas de donación y apoyo a programas de responsabilidad social. Sus empleados se involucran directamente, y en algunos casos los jefes también. Esto ocasiona un reconocimiento de la sociedad. Capgemini por ejemplo, se esfuerzan en reducir el impacto medioambiental negativo, reduciendo el numero de viajes de sus trabajadores, reduciendo el gasto de energía y gestionando adecuadamente los residuos.

También colaboran con las autoridades locales y en organizaciones de proyectos comunitarios, ademas en ellos, participan sus empleados activamente. Dicen, que ya que es una empresa basada principalmente en trabajo personal, se esfuerzan en el desarrollo personal, profesional y bienestar del personal.

Confianza

La confianza es un elemento esencial en la relación con nuestros clientes o
usuarios. Cuando se trata de seguridad en internet, los clientes confían en
nosotros para proteger la información tan importante que nos están prestando o compartiendo, que son sus datos personales. En los negocios, ya sean en las redes sociales o si ofrecemos productos por Internet o cualquier otro tipo de negocio digital. Tenemos que demostrar nuestro compromiso de que vamos a tener a buen recaudo los derechos de los clientes y que vamos a mantener la privacidad de ellos. Si trabajamos con las redes sociales, tenemos que tratar de actuar cumpliendo la legislación vigente, y comportándose de forma respetuosa y transparente. En el uso de envió de correo electrónico, lo haremos siempre con el consentimiento del usuario. También evitaremos que los destinatarios vean por las direcciones de correo, para ellos utilizaremos copia oculta en los gestores de correo. Para mejorar aún más la confianza, podemos adherirnos a los sellos de
confianza que nos ofrecen algunas organizaciones y suscribirnos a códigos tipo proporcionados por la AEPD.

Trabajo en equipo

Las empresas se van dando cuenta, que para defenderse de los
ciberataque, necesitan tener un personal técnico, con un nivel igual o superior que los crackers, para poder protegerse de estos ataques con garantías. Sabiendo de la importancia y valor de los datos que poseen las estructuras profesionales, hace muy importante la tarea de la protección.
A pesar de tener contratados a expertos en seguridad informática, es necesario contar consultorías externas, para poder poner a prueba la red y los sistemas, con pruebas que se asemeje a la realidad. En estas pruebas es muy interesante que esté presente el responsable de seguridad informática para la colaboración. Estos profesionales que realizan la prueba, llamados consultores de seguridad, tienen sentido de la ética y buenas conductas a diferencia de los cracker.

Reputación

La reputación es una característica que puede ser un indicativo positivo o
negativo, y en el que los clientes o demás empresas probablemente se fijen al indagar en nuestra información. Hay empresas que califican esta  reputación, mostrando una lista de las mejores empresas o con más reputación que hay en cada año. Merco es un instrumento de evaluación que mide la reputación de las empresas o corporaciones, compuesta por cinco evaluadores y doce fuentes. En la que tiene a Telefónica España en el puesto número 1. Esta reputación, es ganada con el tiempo, con buenas actuaciones, y con un expediente impecable de buenas prácticas y seguridad en los datos de la empresa o de terceros.

Manual de buenas practicas

Hay una serie de acciones a llevar a cabo, que nos pueden ayudar a mejorar
en seguridad a nuestro sistema u organización, son simples pero deben de
cumplirse por todo el personal sea informático o no. A continuación mostramos unas cuantas:
● Mantener actualizado el SO puede ayudar a prevenir ataques indeseados o robo de información, por ello debemos de tener las licencias de los operativos compradas, y por su puesto actualizados, siempre desde las páginas o aplicaciones oficiales, y sospechar del más mínimo indicio de fraude en cuanto a páginas no oficiales.
● Proteger el SO. por ejemplo desactivando las carpetas compartidas para
evitar gusano, creación de contraseñas fuertes o seguras, creación de perfiles de usuarios con permisos reducidos por último desactivando la
ejecución automática de dispositivos USB.
● Protección del correo electrónico (Spam o phishing), los empleados deberán de no confiar en correos con spam o archivos adjuntos, debiendo de examinar antes de abrirlos, prestar especial atención a las extensiones de los adjuntos, evitar publicar las direcciones de correo en sitios de dudosa reputación, utilizar filtros anti-spam, y enviar correos masivos con copia oculta CCO, utilizar contraseñas seguras y cambiarlas con periodicidad. En cuanto al phishing, tener en cuenta que las entidades bancarias no piden datos de confidencialidad, no clickear en enlaces del cuerpo del mensaje y revisar el certificado digital.
● Seguridad en navegación, debemos a ser posible de leer previamente la
política de privacidad, no instalar barras de tarea, activar antivirus para web en tiempo real, eliminar archivos temporales manualmente o automáticamente, tener actualizados el navegador, evitar la ejecución de
programas desde las páginas web que no nos den confianza.

107 total views, 2 views today

Mostrar
Hide Buttons