ISO 27001

Las 5 principales
maneras en que
sus colaboradores
pueden ser
hackeados y
cómo evitarlas
Un negocio pequeño es un gran negocio para los criminales cibernéticos
El 50% de todos los ataques cibernéticos tienen como objetivo a las pequeñas empresas. Los hackers se
aprovechan del hecho de que las pequeñas empresas no tienen el mismo nivel de defensa cibernética de las
grandes organizaciones.

A diferencia de la creencia Un modelo formal para la implementación

popular, las pequeñas en toda la organización es la norma
internacional del sistema de gestión de la
empresas son mucho más seguridad de la información (ISO 27001)
susceptibles a ataques (Tecnología de la información – Técnicas
de seguridad – Sistemas de gestión de
cibernéticos que las seguridad de la información – Requisitos).
grandes organizaciones, Esta proporciona a las organizaciones
constituyendo casi el 50% de un modelo de mejores prácticas para
identificar, analizar y a continuación,
todos los ataques virtuales2. implementar controles para gestionar los
Cuando consideramos que riesgos de seguridad de la información
los empleados transportan y proteger la integridad de los datos
esenciales para el negocio.
datos corporativos confiden-
ciales en sus computadoras Incluso antes de que su organización
obtenga formalmente la certificación para
portátiles, smartphones y la ISO 27001, ya es posible comenzar a
tabletas 56% de las veces3, promover una cultura de ‘concientización
la adopción de alguna mejor cibernética’ entre sus colaboradores.
práctica de ciberseguridad En las cinco principales maneras en que
se vuelve esencial para los empleados pueden ser hackeados
y los hábitos simples que se pueden
proteger la resiliencia de implementar para fortalecer la resistencia
su organización. de su organización frente a las amenazas
de ataques cibernéticos.
Lo que la
certificación 27001
significa para su
organización
Cuando los sistemas de
seguridad de la información
no se administran y
mantienen correctamente, las
organizaciones corren el riesgo de
sufrir graves pérdidas financieras
y de reputación.
La ISO 27001 puede ayudar a
asegurar que su organización
tenga los controles adecuados
en vigor para reducir el riesgo de
graves amenazas a la seguridad
de los datos y evitar que se
exploten los puntos débiles del
sistema.

http://www.inc.com/joseph-steinberg/small-businesses-beware-half-of-all-cyber-attacks-target-you.html
2

http://blog.trendmicro.com/trendlabs-security-intelligence/the-weakest-link-in-data-protection-infographic/
3

Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 1
1. Phishing de e-mail
Phishing es una de las técnicas más
comunes usadas por los criminales
virtuales para engañar a las personas en
línea.
Los autores de fraudes tratan de extraer
información personal confidencial
e instalar software malicioso en los
dispositivos que utilizan el correo
electrónico.
Diversos tipos diferentes de ataques de
phishing de correo electrónico se utilizan
dependiendo de la víctima-objetivo:

Phishing en masa Spear phishing Whaling

Los invasores promueven una gran red de Ataques personalizados dirigidos a un Una forma de spear phishing cuyos
ataques con la esperanza de que alguien grupo o individuo específico utilizando objetivos son ejecutivos importantes
caiga en la trampa información personal información dentro de una organización, como un
personal

Blancos de phishing de e-mail

CFO RHHH Financiero Pagamentos COO Especialistas

47% 25% 13% 8% 5% 1%

Source: Proofpoint

Hay también el voice phishing (o vishing), pasar por una autoridad usando tácticas texto para engañar a las personas y
en el que el autor del ataque solicita de intimidación y el phishing por SMS (o hacer que revelen información privada o
información personal o financiera en el smishing) en que los autores del fraude infecten sus smartphones con malware.
teléfono, haciéndose usan mensajes de

2. Phishing en medios sociales

Los sitios de medios sociales son el lugar perfecto para los criminales virtuales. Los informes anteriores estimaron que los costos
anuales de los delitos virtuales en Estados Unidos podrían llegar a los 100 mil millones de dólares.

Probablemente esto ocurre porque

interactuamos en medios sociales Siempre utilizamos centros de datos en conformidad
bajo la falsa sensación de privacidad y
familiaridad al conectarnos con personas con Cyber Essentials e ISO 27001 para alojar nuestra
que ya conocemos. plataforma y adoptamos procedimientos internos que
Si su organización tiene equipos que demandan altos niveles de seguridad de la información
manejan bastante con los medios de
comunicación social como parte de sus Esta acreditación fortalece aún más nuestra posición
trabajos diarios, como Atención al Cliente,
Marketing Digital o departamentos
como socios de confianza..”
de Comunicación, deben saber cómo David Cocks
identificar posibles puestos peligrosos. CEO da CloudTrade
Las repercusiones de los fraudes,
cuyos autores utilizan la marca de su
organización para dar golpes en clientes
reales, pueden ser extremadamente
dañinos, no sólo financieramente, sino
también en términos de reputación.

Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 3
3. Puntos de acceso a través de WiFi públicos
Las redes WiFi públicas están en todas
partes - cafeterías, hoteles, aeropuertos,
entre otras áreas de uso colectivo.
Incluso el colaborador con mayor
‘concientización cibernética’ entre los
demás puede caer en la trampa debido a
su necesidad de mantenerse conectado a
redes WiFi sin seguridad.
4. Transacciones en línea, aplicaciones móviles y descargas de software
Tendemos a pensar que las actividades
en línea ‘inofensivas’, como la descarga
de software, el procesamiento de pagos
y el acceso a datos relacionados con el
trabajo en nuestros smartphones, no
ponen en riesgo la seguridad virtual.
Muchas veces, los empleados no son
conscientes de los riesgos, pudiendo
inadvertidamente instalar un malware en
dispositivos suministrados por la empresa
o dar a los criminales virtuales acceso a
redes corporativas.
5. Colaboradores deshonestos
Tendemos a bajar nuestra guardia
cuando se trata de los dispositivos en
nuestro lugar de trabajo.
Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 4
Los datos transmitidos en una red WiFi Si los hackers obtienen las contraseñas,
sin seguridad pueden ser fácilmente ellos los usar para acceder a otras
hackeados por otra persona en la cuentas, incluyendo perfiles de medios
misma red. Una vez conectados, los sociales, a partir de los cuales se involucra
intrusos pueden acceder a dispositivos en violaciones más graves como el robo
remotamente - desde fotos personales de identidad en línea.
hasta ese correo electrónico altamente
confidencial de su CFO.
La decisión de obtener la certificación ISO 27001
nunca fue sólo por obtener una certificación de
aprobada solamente. Era una cuestión de fortalecer el
crecimiento de nuestros negocios y sus actividades,
para proporcionar los niveles de resiliencia y
confianza esperados por los clientes que utilizan
nuestros servicios.”
John Hall
CEO da MyLife Digital
A pesar de que muchas veces confiamos estar compartiendo una oficina con
en nuestros colegas, con el espionaje un colaborador deshonesto que esté
virtual en ascenso, todos necesitamos tratando de perjudicar los sistemas de TI
ser conscientes de que podemos de la organización.
Cómo proteger su organización de
ataques cibernéticos
Si usted, así como el 74% de las empresas, cree que los empleados son su eslabón más débil
en términos de ciberseguridad, entonces las posibilidades de que su empresa se mantenga
resiliente aumentan considerablemente cuando los colaboradores están equipados con las
herramientas adecuadas para la protección de los activos digitales de la organización, así
como de sí mismos.
Considere estos consejos
básicos para fortalecer la
resiliencia virtual de su
organización:
Determinar un entrenamiento
básico de seguridad de la
información
El entrenamiento de los colaboradores
debe estar asociado a la promoción
de una cultura de concientización de
los riesgos cibernéticos en toda la
organización. Asegúrese de que todos
tengan al menos un entendimiento básico
sobre la seguridad de la información y
lo que esto significa para los negocios.
Como parte del entrenamiento, les
presenten hábitos sencillos que se
adapten a sus cotidianos, como el
bloqueo de sus dispositivos siempre
que estén distantes; nunca conectar
dispositivos USB desconocidos en sus
portátiles; y saber cómo identificar las
actividades de phishing en línea. Por
ejemplo, un mantra simple para combatir
el phishing de correo electrónico es “En
la duda, eliminar!” El entrenamiento es
importante, pero nunca debe ser tratado
como una única línea de defensa contra
cualquier riesgo virtual sustancial.
Observa que nadie está seguroe
Comprender que todo el mundo es un
objetivo potencial representa la mitad
de la batalla ganada. Ayúdeles a conocer
las realidades de un ataque cibernético y
analícelo de una manera que sea simple
de entender y fácil de compartir con otras
personas. Es importante concientizarse
sobre el hecho de que estar sujetos a un
crimen virtual es básicamente el mismo
que tener sus coches robados o sus casas
rotas cuando menos se espera.
Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 5
Implemente una copia de Nunca comparta su contraseña
seguridad
Cada colaborador que accede a un
Si a menudo realiza una copia de sistema debe tener credenciales únicas
seguridad de datos importantes en redes de inicio de sesión. Este enfoque no
remotas, es probable que una copia sólo mejora la capacidad de auditar las
reciente sea accesible si se produce un actividades de las personas en caso de
ataque cibernético, de modo que los violación, pero también las estimula a
datos se mantienen separados de la proteger mejor sus contraseñas. No hay
fuente de la violación. necesidad de contarle a alguien cuál es su
contraseña, y si lo hace, la cambie lo más
Utilice el máximo de criptografía rápido posible.
Implemente una política para
En el mundo de la ciberseguridad, nunca
se está totalmente seguro. Hoy en día, el contraseñas
almacenamiento de datos, confidenciales
o no, en un formato cifrado es tan Se suele exigir contraseñas complejas,
simple como comprar un dispositivo de pero eso hace que las personas las
almacenamiento USB pre-encriptado. La escriban o reutilicen variaciones de
criptografía también está integrada en ellas. Una estrategia simple es pensar en
muchas versiones de Windows y además una sentencia como ‘Kevin es el padre
hay varias herramientas de encriptación número 1 del mundo!’ Y construirla
gratuitas disponibles. como una contraseña ‘Keep#1dM!’ Para
sistemas extremadamente confidenciales,
Adapte los niveles de acceso considere formas más fuertes de
del empleado siempre que sea autenticación como la biométrica o que
necesario involucra varios factores.
A menudo, un hacker realiza una
infiltración intencional al ser contratado
como colaborador por horas o de nivel
estratégico bajo. Cuando los niveles de
acceso de los empleados se suministran
de acuerdo con la función estratégica
desempeñada por éstos dentro de la
empresa, esto reduce las posibilidades de
una situación de ataque y fuga. Incluso
si un hacker viola la seguridad de una
sola persona que ocupa un cargo mayor,
limitar su influencia en otras partes
del sistema puede ayudar a contener
el alcance de los daños. En resumen,
proporcione a las personas acceso
a los sistemas y datos que necesitan
estrictamente para realizar sus trabajos, y
no para todo lo demás.
Reconozca el lado sombrío de
los medios sociales
El phishing en los medios sociales puede
ser una pesadilla para las organizaciones.
El robo de identidad en línea tiene
serias consecuencias y un único perfil
falso puede destruir el valor de la marca
construido a lo largo de décadas. Para
empeorar la situación, el 66% de los
usuarios de Facebook en Estados Unidos
no saben cómo utilizar los controles de
privacidad, y el 15% admite que nunca
ha comprobado su configuración de
privacidad y seguridad. Implementar una
tecnología para garantizar que los medios
sociales se mantengan dentro de límites
de seguridad tolerables y concientizar a
los colaboradores sobre cómo identificar
intentos de phishing en los diversos
canales de los medios sociales.
Instale un software de seguridad
Los empleados que acceden a sistemas
corporativos a través de sus portátiles
personales o smartphones presentan
el riesgo de contaminación cruzada
a partir de actividades personales de
navegación. Si se permite a las personas
utilizar dispositivos personales para
actividades relacionadas con el trabajo, es
bueno asegurarse de que hay seguridad
adecuada en esos dispositivos e imponer
el uso por medio de tecnología.
Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 6
La contaminación cruzada de Algunas de las ventajas de la
dispositivos personales es real certificación ISO 27001 son:
Los empleados que acceden a sistemas • – Como la única norma internacional
corporativos a través de sus portátiles auditable que define los requisitos
personales o smartphones presentan de SGSI, la certificación ISO 27001
el riesgo de contaminación cruzada garantiza el cumplimiento de los
a partir de actividades personales de requisitos legales, contractuales y
navegación. Si se permite a las personas regulatorios.
utilizar dispositivos personales para
actividades relacionadas con el trabajo, es • Flexibilidad para integrar la ISO
bueno asegurarse de que hay seguridad 27001 a otros sistemas de gestión
adecuada en esos dispositivos e imponer importantes como la ISO 9001 y la ISO
el uso por medio de tecnología. 14001, teniendo en cuenta que
la versión más reciente de la norma
Considere la está alineada con la estructura de alto
nivel.
certificación ISO 270011
• Tener un modelo de gestión en
La cosa más peligrosa que usted
vigor para todas las organizaciones,
puede hacer es subestimar el valor
independientemente del tamaño,
que un profesional de seguridad
del sector o local, como un punto
de la información puede traer a su
organización. Los proveedores de
de partida para gestionar los riesgos
cibernéticos.
servicios de auditoría externos e
independientes como LRQA pueden
• Obtener ventaja competitiva,
ayudar con la elaboración de su
mejorando la capacidad de su
enfoque y modelo para implementar la
organización para conquistar nuevos
ciberseguridad en toda la organización.
negocios y retener la base existente de
clientes.
El costo de la contratación de un
especialista pagará por sí mismo muchas
• Reducir los costos involucrados al
veces, en términos de tiempo, dinero y
tener que programar auditorías
problemas ahorrados. Después de todo,
repetidas de clientes y proteger contra
no es una cuestión de “si”, pero “cuando”
pérdidas financieras asociadas a
su organización se convierta en un blanco.
violaciones de datos.
Las pequeñas empresas cometen el
• Mayor concientización cibernética de
error costoso de encontrar que sus datos
toda la organización, y no sólo de la
tienen poca importancia comparados
TI, al establecer con claridad el riesgo
a las grandes organizaciones y, por
cibernético aplicado al trabajo diario
lo tanto, descuidan cualquier forma
de los colaboradores.
de ciberseguridad. Los hackers se
aprovechan de esa creencia, lo que
explica por qué las pequeñas empresas
son las víctimas el 50% de las veces.
Con una política y un modelo fuertes de
seguridad de la información en vigor, su
organización estará más apta para evitar
y prever problemas de ciberseguridad y
tendrá los procesos correctos establecidos
para lidiar con ellos cuando surgen.
La forma más reconocida de hacer esto es
a través de la certificación para la norma
ISO 27001. En resumen, la ISO 27001 es el
‘lenguaje común’ del mundo cuando se
trata de evaluar, tratar y gestionar riesgos
relacionados con la información.

Nuestra especialidad
La información es uno de los activos más
valiosos y esenciales para los negocios
para cualquier organización. En el mundo
actual hiperconectado, las organizaciones
están expuestas a amenazas en grande
escala a la seguridad de la información
y a ataques cibernéticos devastadores,
independientemente del tamaño, sector
o región.
Cuando los sistemas de seguridad de
la información no son debidamente
gestionados y mantenidos, las
organizaciones corren el riesgo de
sufrir graves pérdidas financiera y de
reputación.
Asegúrese de que su organización tenga
los controles adecuados en vigor para
reducir el riesgo de amenazas serias a
la salud seguridad de los datos y evitar
que los puntos débiles del sistema se
explorados ya no es opcional.
Esto es así principalmente desde la
publicación del Reglamento Europeo
de Protección de Datos (EU General
Data Protection Regulation – GDPR) que
impone requisitos más estrictos y multas
más severas a las organizaciones en caso
de violaciones de datos.
LRQA es pionero en el desarrollo de
normas y está involucrado con la auditoría
y certificación de sistemas de gestión de
seguridad de la información (SGSI) desde
hace muchos años.
Las 5 principales maneras en que sus colaboradores pueden ser hackeados y cómo evitarlas | 7
Nuestra cartera de clientes destacados
en los sectores de finanzas,
telecomunicaciones, software, Internet,
consultoría, justicia y gubernamentales
cree en la capacidad de de entregar
auditorías de alta calidad, consistentes
e imparciales con el total apoyo de un
paquete de soporte especializado.
Nuestros auditores son expertos en
sistemas de gestión, con calificación
en seguridad de la información y otros
aspectos de TI, cuya visión objetiva le
dará la confianza en sus propias medidas
de seguridad, consideradas las mejores
prácticas del sector.
Sobre LRQA
LRQA es líder en servicios de auditoría
profesionales con reconocimiento
mundial. Estamos especializados en la
conformidad de sistemas de gestión en
un amplio espectro de normas, esquemas
y servicios de mejora de negocios,
incluyendo programas personalizados
de capacitación y auditoría. Somos
reconocidos por cerca de 50 organismos
de acreditación y ofrecemos nuestros
servicios a clientes en más de 120 países.
Nuestra exclusiva metodología de
auditoría lleva a sus sistemas de gestión
de la conformidad hasta el desempeño,
a fin de reducir el riesgo de negocio y
aumentar la eficacia, la eficiencia y la
mejora.
LRQA forma parte del Grupo LRQA y
en nuestra esencia se encuentra la
institución sin fines de lucro, la Fundación
LRQA.
Con su gran variedad de servicios de
auditoría y capacitación, LRQA está
ayudando a las organizaciones de
todo el mundo a realizar la transición
a las normas ISO nuevas y revisadas.
Ofrecemos diversos servicios de auditoría,
así como cursos públicos y en sitio, todos
con el objetivo de ayudar a garantizar que
las organizaciones, en todo el mundo,
tengan una transición efectiva a las
nuevas normas.
La metodología exclusiva de
auditorías de LRQA ayuda
a administrar sus sistemas
y riesgos para mejorar y
proteger el desempeño actual
y futuro de su organización.
Nuestros Servicios Certificación Vigilancia
de Evaluación y En general, se trata de un proceso de Una vez que hayamos aprobado su
Capacitación en dos fases, que consiste en el análisis SGSI, realizamos las visitas de vigilancia
del sistema y en una evaluación inicial, regulares, para verificar la efectividad
Seguridad de la cuya duración depende del porte y de la constante de su sistema. Esto le da a usted
Información naturaleza de la organización. y a la alta dirección la garantía de que los
Nuestro gerente de desarrollo de negocios sistemas de gestión están funcionando y
Ofrecemos una variedad de servicios elaborará una solución para satisfacer sus mejorando de forma continua.
de evaluación presenciales y on-line, necesidades específicas, mientras que
adecuados para organizaciones de todos nuestros auditores estarán disponibles Auditoría
los tamaños y regiones, ayudando a su para ayudarle con la adopción de una
empresa a aprovechar al máximo las metodología práctica. Proporcionamos Auditorías de
normas. Impacto para la Protección de Datos
Esta es una de las varias maneras de a organizaciones que quieren cumplir
Capacitación agregar valor al proceso de auditoría. con los nuevos requisitos introducidos
La variedad de servicios de capacitación por la EU GDPR (European General Data
Gap Análisis Protection Regulation).
personalizados y paquetes de cursos de
LRQA ayuda a organizaciones en cualquier
Esta actividad proporcionada por el Las empresas que buscan combinar su
etapa de su SGSI.
auditor ofrece la oportunidad de centrarse sistema de gestión de seguridad de la
en áreas críticas, de alto riesgo o débiles información con un sistema de gestión
Nuestros cursos incluyen: de su sistema para crear un sistema existente (como el de calidad) también
certificable. También puede ver cómo pueden beneficiarse de una auditoría y un
• Introducción a la ISO 27001:2013 los sistemas de gestión existentes o los
programa de vigilancia coordinados. Este
Interpretación de la ISO 27001:2013 procedimientos se pueden utilizar dentro
servicio está en continuo desarrollo.
• ISO 27001:2013 Auditor Interno de su norma elegida.
• Capacitación de concientización
sobre EU GDPR (presencial, en sitio o Ya sea que se encuentre en las primeras
e-learning) etapas de la implementación de su
sistema de gestión o busque un ensayo
antes de la visita de evaluación, el alcance
del Gap Análisis puede decidirse con
su gerente de desarrollo de negocios
o auditor y le da flexibilidad al elegir el
alcance y la duración de la visita..

Póngase en contacto
LRQA México
www.lrqa.com/mx
+52 (81) 8152-1000

LRQA Sudamérica
www.lrqa.com/cl
+56 (32) 221-7665

Se tiene el cuidado de garantizar que toda la información brindada sea precisa y actualizada. Sin embargo, LRQA no acepta ninguna responsabilidad por imprecisiones o cambios en la información.
Para obtener más información, consulte www.lrqa.com/entities © LRQA Group Limited 2021