Seguridad en América | Post

¿ES NECESARIA LA CIBERSEGURIDAD EN MIS VACACIONES O TRABAJO REMOTO?

Hemos atravesado sin duda alguna el cambio más drástico para la humanidad en temas de hiperconectividad, trabajo remoto y migración de nuestros centros de trabajo a destinos de playa o algunos otros destinos turísticos, es decir algunos de nosotros permanecemos en esquema de trabajo remoto y podemos laborar desde un Airbnb, algún hotel, casa de descanso o simplemente desde nuestros hogares, es por ello que es indispensable conocer algunos riesgos comunes que cometemos cuando nos encontramos en estos lugares, ya sean públicos o privados podemos exponer información importante de nuestra organización o nuestros proyectos.

¿CÓMO DETERMINAR LOS RIESGOS?

Vamos a hablarlo de forma clara para que todos entendamos, ISO 31000 que se especializa en la gestión de riesgo, define riesgo y algunos otros términos de la siguiente forma:

•    Riesgo: efecto de la incertidumbre sobre nuestros objetivos.

•    Debemos entender como “efecto” una desviación de algo que se espera, ya sea positivo o negativo. Normalmente el riesgo viene expresado como una combinación de las consecuencias de un evento y la probabilidad de que ocurra.

•    Por “incertidumbre” entendemos el estado de deficiencia de información ligada a la comprensión o conocimiento de un evento, su consecuencia o probabilidad.

•    Establecimiento del contexto: definición de los parámetros internos y externos que han de ser tenidos en cuenta para gestionar el riesgo y establecer el alcance y los criterios del riesgo.

•    Contexto externo: ambiente externo en el cual la organización desea lograr sus objetivos. El contexto externo puede ser el ambiente cultural, social, político, legal, financiero, tecnológico, competitivo, cualquier tendencia que tenga impacto en los objetivos y relaciones con las partes interesadas.

•    Contexto Interno: ISO 31000 define al contexto interno como el ambiente interno en el que la organización desea lograr sus objetivos. Puede ser la estructura organizacional, las políticas, funciones, estrategias, las capacidades de la organización, los flujos de información y procesos para tomar decisiones, la cultura de la organización.

•    Parte involucrada: persona u organización que puede afectar o verse afectada por una decisión o actividad.

•    Evento: presencia o cambio de un conjunto particular de circunstancias. Para ISO 31000 un evento es una o más ocurrencias, pudiendo tener varias causas. También puede ser algo que no está sucediendo.

•    Consecuencia: resultado de un evento y que afecta a los objetivos. Un evento puede dar lugar a un rango de consecuencias. La consecuencia puede ser cierta o incierta y puede implicar efectos positivos o negativos sobre los objetivos de la organización. Las consecuencias pueden ser expresadas cualitativa o cuantitativamente.

•    Probabilidad: para ISO 31000 la probabilidad es la oportunidad de que algo suceda. En el contexto de gestión del riesgo, el término probabilidad es utilizado para hacer referencia a la oportunidad de que algo suceda, esté definido o no, medido o determinado de forma objetiva o subjetiva, de modo cuantitativo o cualitativo. Si alguna vez lees este término en inglés debes saber que la forma correcta es ‘Likelihood’, aunque también suele usarse ‘Probability’ que está más asociado a las matemáticas que a la gestión del riesgo.

•    Perfil del riesgo: descripción de cualquier conjunto de riesgos. El conjunto de riesgos puede contener aquellos que se relacionan con la organización en su totalidad o con parte de ella.

•    Análisis del riesgo: proceso llevado a cabo para comprender la naturaleza del riesgo y determinar el nivel de riesgo. Para ISO 31000 el análisis del riesgo proporciona las bases para la evaluación del riesgo y la toma de decisiones sobre su tratamiento. El análisis del riesgo incluye la estimación del mismo.

•    Criterios del riesgo: términos a tomar como referencia ante los cuales se evalúa la importancia de un riesgo determinado. Los criterios del riesgo deben estar basados en los objetivos y en el contexto interno y externo de la organización. En ocasiones los criterios del riesgo vienen derivados de requisitos como leyes, normas, o políticas.

•    Nivel de riesgo: magnitud de un riesgo o de una combinación de varios. Se expresa en términos de combinación de la probabilidad y las consecuencias de los mismos.

•    Evaluación del riesgo: proceso de comparación de los resultados del análisis de riesgos con los criterios de los riesgos. Así se determinará si el riesgo, su magnitud, o ambos en conjunto son tolerables o aceptables. La evaluación del riesgo es una gran ayuda para tomar decisiones sobre el tratamiento del riesgo.

•    Tratamiento del riesgo: para ISO 31000 este concepto define el proceso para modificar el riesgo. El tratamiento del riesgo puede implicar evitar el riesgo decidiendo no iniciar o continuar la actividad que lo causó, incrementar el riesgo para conseguir una oportunidad, suprimir la fuente del riesgo, cambiar la probabilidad, cambiar las consecuencias o retener el riesgo mediante una decisión informada. Normalmente se hace referencia a tratamientos ligados con consecuencias negativas tales como mitigación del riesgo, eliminación del riesgo, prevención del riesgo, aceptación del riesgo y transferencia del riesgo. Hay que tener en cuenta que el tratamiento del riesgo puede crear nuevos riesgos o modificar los ya existentes.

•    Control: medida que modifica al riesgo. Los controles, para ISO 31000, incluyen procesos, políticas, prácticas, acciones en definitiva que sirven para modificar el riesgo y sus consecuencias o impactos.

•    Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado los controles. También es conocido como riesgo retenido. Puede ser que contenga un riesgo no identificado.

TOP 10 DE RECOMENDACIONES

1. Identifica los riesgos que hay en tu entorno y aplícales algún tratamiento de los antes mencionados.

2. Implementa controles que protejan tu información, tales como respaldos, antivirus, antimalware, doble factor de autenticación, etc.

3. Mantén un orden de la información que compartes, cómo y a quién se la compartes.

4. Ten cuidado con las herramientas gratuitas, al final pueden exponer tus datos.

5. No dejes tus dispositivos sin bloquear o sin uso de contraseñas.

6. Actualiza los sistemas donde almacenas, procesas o transmitas información, las actualizaciones también contienen parches de seguridad importantes.

7. Genera siempre un respaldo de la información valiosa y resguárdalo de forma correcta, recuerda que es tu salvavidas ante ciertos ciberataques.

8. Evita darles diversos usos a tus dispositivos laborales, es decir si el equipo es corporativo o personal, sólo dedícalo a dicho fin y no lo compartas con terceros, como hijos, familia, etc.

9. Ten cuidado con las redes libres, algunos hoteles no implementan las medidas necesarias y pueden exponer tus datos, sobre todo los bancarios.

10. Cuando vayas a ingresar a tus cuentas bancarias es preferible compartir internet desde tu celular hacia tu equipo o hacerlo a través de las apps certificadas de los bancos con tus datos móviles.